Protection des données: l’actualité en Suisse

État des révisions de la loi sur la protection des données dans les cantons (20 avril 2021).

En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. Au 20 avril 2021, cles révisions étaient achevées dans sept cantons et déjà en vigueur dans six d’entre eux. La liste suivante donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons. Ella sera mise à jour périodiquement.

Journée internationale de la protection des données 2021: pas d’érosion de la sphère privée – malgré la pandémie

Berne, 28.01.2021 – Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite déjà les cantons à moderniser leur législation. Depuis plusieurs années, les autorités de protection des données de la Confédération et des cantons ont mis en place une collaboration étroite et pragmatique. La pandémie ayant donné un coup d’accélérateur à la digitalisation, ces autorités doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

Nos données personnelles sont de plus en plus traitées de manière globale et automatisée. Même si la digitalisation gagnait déjà du terrain dans tous les domaines de la vie, la pandémie, qui a obligé une grande partie de la population à travailler en ligne depuis la maison, a bouleversé la donne. Dans ce contexte mouvant, les préposé-e-s à la protection des données de la Confédération et des cantons s’engagent pour le respect de la sphère privée et de l’autodétermination des citoyens garanti par la constitution fédérale.

(lire la suite…)

Collaboration digitale: repercussions de l'assouplissement

Le vaste lockdown mis en place pour faire face à la crise du Covid-19 a provoqué (et dans certains cas provoque encore) des écarts des standards normaux en matière de protection de données, notamment sur les deux points suivants : D’une part, la pondération des intérêts et des risques, toujours nécessaire, a pu conduire à des résultats différents. Ainsi, pour pouvoir remplir la mission éducative des écoles, l’utilisation de solutions de vidéoconférence ne répondant pas toujours (ou pas encore) pleinement aux exigences applicables en termes de protection de données semblaient se justifier. D’autre part, les solutions adoptées n’ont parfois pas été examinées du tout ou seulement de manière très sommaire par les autorités de protection des données.

Avec le retour à la normale – comme par exemple la reprise de l’enseignement présentiel à l’école obligatoire – la pesée des risques aussi doit de nouveau s’effectuer normalement, et les solutions TIC introduites en raison de la crise doivent être examinées comme il se doit – si nécessaire en ayant recours aux autorités de protection des données – et elles doivent, le cas échéant, être améliorées ou remplacées par des solutions conformes à la loi.

Il convient de noter que la rapidité et l’ampleur des mesures d’assouplissement varient d’un domaine administratif à l’autre ; par conséquent, l’évaluation des risques et le degré d’approfondissement de l’examen peuvent varier pour un même produit en fonction de l’autorité et des tâches concernées. Dans des cas individuels, il est même concevable qu’une autorité continue à privilégier une solution provisoire dans certains domaines (par exemple pour les contacts avec des enfants qui, en raison des risques encourus, continuent à recevoir un enseignement à distance), mais n’utilise que des produits correctement testés et conformes à la loi dans tous les autres.

Collaboration digitale pendant la crise du Corona

Actuellement, les administrations publiques et les écoles cherchent d’urgence des solutions numériques pour assurer la coopération pendant la situation extraordinaire provoquée par la crise du Covid-19.

Les situations extraordinaires appellent des mesures extraordinaires. C’est pourquoi l’utilisation de services/solutions dont la conformité avec la protection des données n’est pas pleinement garantie peut sembler admissible pendant la durée d’une situation extraordinaire.  Pour l’utilisation après la fin de la situation extraordinaire, les conditions normales s’appliquent de nouveau.

Le préposé à la protection des données du canton de Zurich, en coopération avec d’autres membres de privatim, vérifie constamment des services/solutions utilisés. Les résultats sont compilés et mis à jour dans une liste (en allemand uniquement). Y sont répertoriés d’une part les services/solutions jugés conformes à la protection des données et dont l’utilisation peut être recommandée, et d’autre part les services/solutions dont l’utilisation peut être jugé possible pendant la durée de la situation extraordinaire due à la crise du Corona, mais pour lesquels les conditions préalables pour une utilisation après la situation extraordinaire ne sont actuellement pas remplies (par exemple, Office 365 en dehors du secteur de l’éducation). Pour cette deuxième catégorie, il faut veiller à ce qu’il soit possible d’en sortir complètement à la fin de la situation extraordinaire et que les conditions ordinaires soient de nouveau respectées.

Les organes publics continuent à être responsables de l’utilisation de ces services/solutions. En particulier, la garantie de la sécurité des informations nécessaire doit toujours rester assurée. Une cyber-attaque réussie sur le système informatique (par exemple d’un hôpital) peut causer bien plus de dommages qu’une coopération numériquement suboptimale aurait pu causer au préalable.

Pendant la crise du Covid-19 aussi, les préposés cantonaux à la protection des données sont à disposition des organes publics pour les conseiller sur l’utilisation de ces services/solutions et ils restent responsables de la surveillance.

Vous trouverez la liste des services/solutions ici: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

 

Communiqué de presse Journée internationale de la protection des données 2020

Dans notre société moderne, les exigences à l’égard d’une mobilité à la fois multimodale et durable sont élevées. Toutefois, les grands projets numériques ne peuvent emporter l’adhésion des citoyens que si la sphère privée des usagers est protégée. Les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs concernés à investir en amont dans des concepts favorisant la protection des données. De plus, pour une surveillance efficace, il convient de mener à terme la révision urgente de la loi fédérale sur la protection des données, lors de la session de mars 2020.

Des projets numériques durables sont élaborés pour concilier les exigences croissantes en termes de mobilité avec la raréfaction des réserves de terrain et d’énergie, ainsi qu’avec la nécessité de préserver le climat. Des données sur la mobilité sont enregistrées en permanence, et utilisées de manière intensive par les entreprises, tant publiques que privées, ainsi que par les autorités, ce qui tend à augmenter la pression sur la sphère privée des usagers des transports. C’est pourquoi, de l’avis des préposé(e)s à la protection des données de la Confédération et des cantons, une politique des transports ne peut être durable que si elle instaure la confiance par des investissements en faveur de la protection de la sphère privée et de l’autodétermination informationnelle des citoyennes et des citoyens.

De nos jours, toute personne qui se déplace sur la route, sur les rails ou dans les airs est accompagnée numériquement. Les applications sur le trafic, les capteurs des particuliers et des autorités ou les véhicules connectés enregistrent et mesurent nos déplacements dans l’espace public ainsi que le temps que nous passons dans les lieux privés. L’analyse de ces données combinées peut donner lieu à l’établissement de profils de déplacement et de personnalité. Certaines technologies, telles que la reconnaissance faciale, menacent même d’abolir la liberté et l’anonymat des déplacements dans l’espace public au profit d’une surveillance totale. Face à ces risques, les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs de projets numériques de mobilité à investir suffisamment tôt dans des concepts offrant des garanties adéquates en matière de protection de la sphère privée et d’autodétermina-tion informationnelle des usagers de la route. (lire la suite…)

Résolution: Manque de ressources au sein des autorités de protection des données

Le 20 décembre 2019, la Conférence des gouvernements cantonaux (CdC) adopte, après le Conseil fédéral, la nouvelle stratégie suisse de cyberadministration de la Confédération, des cantons et des communes pour les années 2020-2023. Un nouvel élan doit ainsi être donné à la digitalisation des administrations publiques. Pour cela, des ressources personnelles et financières sont attribuées à tous les niveaux de l’Etat.

La digitalisation de l’administration amène de nouveaux défis pour la protection de la sphère privée des personnes concernées. Les principes « digital first » et « once only », ainsi que la gestion commune de données à travers tous les niveaux étatiques créent de nouveaux risques. La digitalisation de l’administration ne peut être couronnée de succès que si la confiance des citoyennes et citoyens est acquise. Il sera là décisif de garantir la protection de leur droit fondamental à la protection des données et à l’autodétermination informationnelle aussi au sein de l’administration digitale.

Les chef(fe)s de projets de digitalisation, dont la complexité augmente, ont besoin de partenaires compétents pour traiter des questions difficiles de protection des données. Les autorités de protection des données sont là pour cela. Mais les ressources nécessaires leur manquent. En juin 2018, privatim, la conférence des préposé(e)s suisses à la protection des données, a rendu attentif à la situation précaire en matière de ressources dans la majorité des cantons. Les recommandations après l’évaluation Schengen 2018 pointent également du doigt ce point faible. Dans quelques cantons, des augmentations timides des ressources des autorités de protection des données ont eu lieu ou sont planifiées. Dans la grande majorité des cantons, les ressources ne suffisent néanmoins toujours pas aux autorités de protection des données pour accomplir leurs tâches.

privatim saisit l’occasion de l’adoption de la stratégie suisse de cyberadministration 2020-2023 pour indiquer une fois de plus que la digitalisation a besoin de confiance. La protection des données la crée. Elle a besoin d’autorités compétentes, indépendantes et efficaces. Et pour cela, celles-ci ont besoin des ressources personnelles et financières nécessaires pour accomplir leurs tâches.

Les préposé(e)s à la protection des données sont encouragé(e)s à annoncer leur besoin en ressources auprès des cantons. Les parlements sont encouragés à accepter les ressources personnelles et financières nécessaires à l’accomplissement des tâches légales dans les budgets des autorités de protection des données.

Berne, le 18 décembre 2019

Personnes de contact:
(français) Christian Flückiger, membre du bureau de privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch
(allemand) Beat Rudin, président de privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch 

Lire en version PDF

Révision de l'Aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing

privatim a révisé et complété son aide-mémoire sur les risques et mesures spécifiques à la technologie du Cloud computing publié en février 2019 par des informations relatifs au CLOUD Act américain. Selon ce décret, les fournisseurs de cloud computing soumis à la loi CLOUD doivent garantir aux autorités américaines l’accès aux données stockées, même si ces dernières ne sont pas stockées aux Etats-Unis mais, par exemple, dans un Etat membre de l’UE ou en Suisse. Ce risque créé par la législation américaine doit être pris en compte dans l’analyse globale des risques que tout organe public est obligé d’effectuer avant d’être autorisé à utiliser des services Cloud.

Vous trouverez l’aide-mémoire complété ici.

Services d‘identification électronique

Loi sur les services d‘identification électronique (objet no 18.049)
Prise de position de privatim du 4 octobre 2018

Compte tenu des effets étendus de l’e-ID, privatim prend position comme suit par rapport au projet actuel de la loi fédérale sur les services d‘identification électronique (ci-après: LSIE) :

Le numéro d’enregistrement de l’e-ID

Proposition

L’utilisation et le traitement du numéro d’enregistrement de l’e-ID doit être restreint. Le numéro d’enregistrement de l’e-ID ne doit être utilisé que pour la communication entre la Confédération et les fournisseurs de services d’identification (ci-après: IdP) ou entre les IdP.

Exposé

Le numéro d’enregistrement de l‘e-ID permet d’identifier une personne de manière univoque à travers ses transactions digitales avec toutes les institutions. Dans l’actuel projet de loi, le numéro ne change plus dès l’attribution de l’e-ID et est utilisé de façon illimitée par tous les services. Ceux-ci peuvent donc l’utiliser à d’autres fins. En définitive, on est confronté à une ID univoque, pouvant être utilisée aussi bien par les prestataires des services étatiques que privés. Si l’e-ID obtient la diffusion souhaitée, on doit admettre qu’il crée une «obligation de fait» de son utilisation dans le cadre des transactions digitales. Cela a pour conséquence de conduire à une «utilisation incontrôlée» du numéro d’enregistrement de l‘e-ID avec un risque d’une interconnexion de données personnelles entre les divers systèmes (comme cela est décrit au point 1.2.6.3 du message concernant la loi sur les services d‘identification électronique par rapport à la relation existant entre le numéro d’enregistrement e-ID et le numéro d’AVS, NAVS13).

(lire la suite…)

Journée de la protection des données 2019 – Trois priorités pour la Confédération et les cantons

À l’occasion d’une présentation aux médias, les autorités de protection des données de la Confédération et des cantons ont abordé les défis communs qui les attendent en matière d’élections, de police et de numéro AVS. Elles ont publié un guide consacré à l’élection du Conseil national cet automne ; par ailleurs, la nouvelle loi, peu connue, sur la protection des données Schengen entrera en vigueur le 1er mars. Une modification législative doit en outre permettre à toutes les autorités d’utiliser systématiquement le numéro AVS.

2019 est une année électorale. Les élections organisées par les cantons pour le renouvellement du Parlement fédéral et des parlements cantonaux se déroulent dans un environnement numérique caractérisé par des procédés de traitement de données qui sont en constante mutation et qui ne restent pas sans effets sur le comportement des électeurs. Avec leur guide du 1er décembre 2018 concernant le traitement numérique de données personnelles dans le cadre d’élections et de votations en Suisse, les autorités de protection des données de la Confédération et des cantons apportent leur contribution à la libre formation de l’opinion des citoyens et des citoyennes et à l’expression fidèle et sûre de leur volonté, garanties par la Constitution.

(lire la suite…)

Comment concevoir des portails web conformes aux exigences de la protection des données

Dans l’administration numérisée, les portails web font l’interface entre l’administration et les citoyens. Les technologies actuelles permettent de mettre à disposition et d’utiliser ces services 24 heures sur 24. privatim, la Conférence des préposé(e)s suisses à la protection des données, a publié un guide indiquant la marcha à suivre pour protéger la vie privée des citoyens et assurer la sécurité de leurs données. Ce document montre, à l’aide d’exemples concrets, quelles exigences légales et techniques sont à respecter.

Avec la publication du guide sur les portails web de l’administration publique, privatim apporte une contribution importante à une conception de guichet virtuel pour les citoyens garantissant le respect de la protection des données en ligne. En effet, la protection et la sécurité des données sont encore trop souvent négligées dans les projets de numérisation, soit à cause du manque de connaissances techniques nécessaires au projet, soit parce que les autorités responsables de la protection des données ne sont pas impliquées.

Pour bénéficier durablement des opportunités offertes par la numérisation, une évaluation continue des risques et la mise en place de mesures de sécurité nécessaires s’impose. Le guide publié par privatim soutient l’administration publique dans la planification et l’exploitation de portails web en montrant qu’avec des mesures juridiques et techniques appropriées, il est possible de mettre en œuvre des solutions numériques aux service des citoyens respectant les dispositions légales en matière de protection des données.

Guide portails web

Contact: Bruno Baeriswyl, préposé à la protection des données du canton de Zurich,
043 259 39 99

tous les posts

privatim lit

Le coup d’Etat dont nous ne parlons pas

On peut avoir la démocratie, on peut avoir une société de surveillance, mais on ne peut pas avoir les deux, plaide Shoshana Zuboff, sociologue et professeure à Harvard dans une longue tribune parue dans le «New York Times».

12.5.21, Le Temps

Pour une identité numérique suisse à la hauteur

Un passeport digital à la disposition de ceux qui le désirent, pourquoi pas? Mais avec un prix clair et sans collecte de données.
14.2.21, Le Temps

La protection des données ébranlée par le coronavirus

La pandémie, qui a obligé une grande partie de la population à télétravailler, inquiète les autorités de protection des données.

28.1.21, 24Heures

Whats up, WhatsApp?

La publication d’une nouvelle version des conditions d’utilisation de WhatsApp le 4 janvier a entrainé un vaste mouvement de migration des utilisateurs sur d’autres services comme Telegram ou Signal. En cause: la possibilité de partager les données personnelles avec le propriétaire de l’application de messagerie aux deux milliards d’utilisateurs, Facebook. Face à cet exode, WhatsApp a annoncé le 15 janvier repousser de trois mois le changement.

19.1.21, Heidi.news

Une loi sur les données peu contraignante

La révision du cadre réglementaire suisse, actée vendredi, oblige les entreprises du pays à davantage de transparence sur l’utilisation qu’elles font des data de leurs clients. Sans risquer beaucoup de sanctions en cas de violations.

1.10.20, Le Temps

tous les posts