En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. La liste suivante, mise à jour périodiquement, donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons.

Berne, le 15.12.2022 – Les élections et les votations à tous les niveaux de l’État suisse se déroulent dans la réalité globale du numérique. Les acteurs du processus politique de formation d’opinion se servent d’instruments numériques pour véhiculer des messages aussi ciblés que possible auprès des électeurs. Dès lors, les risques pour l’autodétermination informationnelle et la vie privée des personnes concernées sont importants. Un guide actualisé permet de s’informer sur ces questions dans la perspective des élections fédérales de 2023.

Toute personne traitant des données dans un contexte d’élections et de votations doit savoir que le droit en vigueur, de même que la nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre 2023, juste avant les élections pour le renouvellement intégral, considère les informations sur les opinions politiques et philosophiques comme des données sensibles.

Dans la nouvelle version de leur guide, le Préposé fédéral à la protection des données et à la transparence (PFPDT) et la Conférence des préposés suisses à la protection des données (privatim) mettent en particulier l’accent sur l’importance du principe de la transparence pour la protection des données dans le contexte des élections et des votations. Les électeurs ont le droit de connaître les méthodes de traitement des données et les technologies numériques utilisées pour les approcher.

Guide relatif aux élections et aux votations – version actualisée en décembre 2022

Ces derniers mois, plusieurs gouvernements cantonaux ont publié leurs décisions quant à l’utilisation de « Microsoft 365 » (M365) dans l’administration. La décision du Conseil d’Etat du Canton de Zurich (RRB 542/2022 du 30 mars 2022) a retenu toute l’attention.

En février 2022, privatim a édité un « Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud » qui permet aux organes publics d’évaluer, notamment, l’utilisation de M365. Fondamentalement, la décision du Conseil d’Etat du Canton de Zurich ne signifie pas que les organes publics peuvent s’écarter du contenu de cet aide-mémoire et de la procédure qu’il recommande. C’est ce que suggèrent les déclarations à la suite de cette décision et privatim est amenée à prendre position sur quelques points du RRB qui exercent un effet au-delà du Canton de Zurich.

En vue des nouveaux développements et de l’évolution des connaissances en matière des technologies basées sur le cloud, privatim a entièrement révisé son aide-mémoire sur les risques et mesures spécifiques au cloud. Le bureau de privatim a adopté la nouvelle version 3.0 le 3 février 2022. Elle remplace la version 2.1 du 17 décembre 2019.

Vous trouverez l’aide-mémoire révisé ici.

Berne, 28.01.2021 – Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite déjà les cantons à moderniser leur législation. Depuis plusieurs années, les autorités de protection des données de la Confédération et des cantons ont mis en place une collaboration étroite et pragmatique. La pandémie ayant donné un coup d’accélérateur à la digitalisation, ces autorités doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

Nos données personnelles sont de plus en plus traitées de manière globale et automatisée. Même si la digitalisation gagnait déjà du terrain dans tous les domaines de la vie, la pandémie, qui a obligé une grande partie de la population à travailler en ligne depuis la maison, a bouleversé la donne. Dans ce contexte mouvant, les préposé-e-s à la protection des données de la Confédération et des cantons s’engagent pour le respect de la sphère privée et de l’autodétermination des citoyens garanti par la constitution fédérale.

(lire la suite…)

Le vaste lockdown mis en place pour faire face à la crise du Covid-19 a provoqué (et dans certains cas provoque encore) des écarts des standards normaux en matière de protection de données, notamment sur les deux points suivants : D’une part, la pondération des intérêts et des risques, toujours nécessaire, a pu conduire à des résultats différents. Ainsi, pour pouvoir remplir la mission éducative des écoles, l’utilisation de solutions de vidéoconférence ne répondant pas toujours (ou pas encore) pleinement aux exigences applicables en termes de protection de données semblaient se justifier. D’autre part, les solutions adoptées n’ont parfois pas été examinées du tout ou seulement de manière très sommaire par les autorités de protection des données.

Avec le retour à la normale – comme par exemple la reprise de l’enseignement présentiel à l’école obligatoire – la pesée des risques aussi doit de nouveau s’effectuer normalement, et les solutions TIC introduites en raison de la crise doivent être examinées comme il se doit – si nécessaire en ayant recours aux autorités de protection des données – et elles doivent, le cas échéant, être améliorées ou remplacées par des solutions conformes à la loi.

Il convient de noter que la rapidité et l’ampleur des mesures d’assouplissement varient d’un domaine administratif à l’autre ; par conséquent, l’évaluation des risques et le degré d’approfondissement de l’examen peuvent varier pour un même produit en fonction de l’autorité et des tâches concernées. Dans des cas individuels, il est même concevable qu’une autorité continue à privilégier une solution provisoire dans certains domaines (par exemple pour les contacts avec des enfants qui, en raison des risques encourus, continuent à recevoir un enseignement à distance), mais n’utilise que des produits correctement testés et conformes à la loi dans tous les autres.

Actuellement, les administrations publiques et les écoles cherchent d’urgence des solutions numériques pour assurer la coopération pendant la situation extraordinaire provoquée par la crise du Covid-19.

Les situations extraordinaires appellent des mesures extraordinaires. C’est pourquoi l’utilisation de services/solutions dont la conformité avec la protection des données n’est pas pleinement garantie peut sembler admissible pendant la durée d’une situation extraordinaire.  Pour l’utilisation après la fin de la situation extraordinaire, les conditions normales s’appliquent de nouveau.

Le préposé à la protection des données du canton de Zurich, en coopération avec d’autres membres de privatim, vérifie constamment des services/solutions utilisés. Les résultats sont compilés et mis à jour dans une liste (en allemand uniquement). Y sont répertoriés d’une part les services/solutions jugés conformes à la protection des données et dont l’utilisation peut être recommandée, et d’autre part les services/solutions dont l’utilisation peut être jugé possible pendant la durée de la situation extraordinaire due à la crise du Corona, mais pour lesquels les conditions préalables pour une utilisation après la situation extraordinaire ne sont actuellement pas remplies (par exemple, Office 365 en dehors du secteur de l’éducation). Pour cette deuxième catégorie, il faut veiller à ce qu’il soit possible d’en sortir complètement à la fin de la situation extraordinaire et que les conditions ordinaires soient de nouveau respectées.

Les organes publics continuent à être responsables de l’utilisation de ces services/solutions. En particulier, la garantie de la sécurité des informations nécessaire doit toujours rester assurée. Une cyber-attaque réussie sur le système informatique (par exemple d’un hôpital) peut causer bien plus de dommages qu’une coopération numériquement suboptimale aurait pu causer au préalable.

Pendant la crise du Covid-19 aussi, les préposés cantonaux à la protection des données sont à disposition des organes publics pour les conseiller sur l’utilisation de ces services/solutions et ils restent responsables de la surveillance.

Vous trouverez la liste des services/solutions ici: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

Dans notre société moderne, les exigences à l’égard d’une mobilité à la fois multimodale et durable sont élevées. Toutefois, les grands projets numériques ne peuvent emporter l’adhésion des citoyens que si la sphère privée des usagers est protégée. Les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs concernés à investir en amont dans des concepts favorisant la protection des données. De plus, pour une surveillance efficace, il convient de mener à terme la révision urgente de la loi fédérale sur la protection des données, lors de la session de mars 2020.

Des projets numériques durables sont élaborés pour concilier les exigences croissantes en termes de mobilité avec la raréfaction des réserves de terrain et d’énergie, ainsi qu’avec la nécessité de préserver le climat. Des données sur la mobilité sont enregistrées en permanence, et utilisées de manière intensive par les entreprises, tant publiques que privées, ainsi que par les autorités, ce qui tend à augmenter la pression sur la sphère privée des usagers des transports. C’est pourquoi, de l’avis des préposé(e)s à la protection des données de la Confédération et des cantons, une politique des transports ne peut être durable que si elle instaure la confiance par des investissements en faveur de la protection de la sphère privée et de l’autodétermination informationnelle des citoyennes et des citoyens.

De nos jours, toute personne qui se déplace sur la route, sur les rails ou dans les airs est accompagnée numériquement. Les applications sur le trafic, les capteurs des particuliers et des autorités ou les véhicules connectés enregistrent et mesurent nos déplacements dans l’espace public ainsi que le temps que nous passons dans les lieux privés. L’analyse de ces données combinées peut donner lieu à l’établissement de profils de déplacement et de personnalité. Certaines technologies, telles que la reconnaissance faciale, menacent même d’abolir la liberté et l’anonymat des déplacements dans l’espace public au profit d’une surveillance totale. Face à ces risques, les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs de projets numériques de mobilité à investir suffisamment tôt dans des concepts offrant des garanties adéquates en matière de protection de la sphère privée et d’autodétermina-tion informationnelle des usagers de la route. (lire la suite…)

Le 20 décembre 2019, la Conférence des gouvernements cantonaux (CdC) adopte, après le Conseil fédéral, la nouvelle stratégie suisse de cyberadministration de la Confédération, des cantons et des communes pour les années 2020-2023. Un nouvel élan doit ainsi être donné à la digitalisation des administrations publiques. Pour cela, des ressources personnelles et financières sont attribuées à tous les niveaux de l’Etat.

La digitalisation de l’administration amène de nouveaux défis pour la protection de la sphère privée des personnes concernées. Les principes « digital first » et « once only », ainsi que la gestion commune de données à travers tous les niveaux étatiques créent de nouveaux risques. La digitalisation de l’administration ne peut être couronnée de succès que si la confiance des citoyennes et citoyens est acquise. Il sera là décisif de garantir la protection de leur droit fondamental à la protection des données et à l’autodétermination informationnelle aussi au sein de l’administration digitale.

Les chef(fe)s de projets de digitalisation, dont la complexité augmente, ont besoin de partenaires compétents pour traiter des questions difficiles de protection des données. Les autorités de protection des données sont là pour cela. Mais les ressources nécessaires leur manquent. En juin 2018, privatim, la conférence des préposé(e)s suisses à la protection des données, a rendu attentif à la situation précaire en matière de ressources dans la majorité des cantons. Les recommandations après l’évaluation Schengen 2018 pointent également du doigt ce point faible. Dans quelques cantons, des augmentations timides des ressources des autorités de protection des données ont eu lieu ou sont planifiées. Dans la grande majorité des cantons, les ressources ne suffisent néanmoins toujours pas aux autorités de protection des données pour accomplir leurs tâches.

privatim saisit l’occasion de l’adoption de la stratégie suisse de cyberadministration 2020-2023 pour indiquer une fois de plus que la digitalisation a besoin de confiance. La protection des données la crée. Elle a besoin d’autorités compétentes, indépendantes et efficaces. Et pour cela, celles-ci ont besoin des ressources personnelles et financières nécessaires pour accomplir leurs tâches.

Les préposé(e)s à la protection des données sont encouragé(e)s à annoncer leur besoin en ressources auprès des cantons. Les parlements sont encouragés à accepter les ressources personnelles et financières nécessaires à l’accomplissement des tâches légales dans les budgets des autorités de protection des données.

Berne, le 18 décembre 2019

Personnes de contact:
(français) Christian Flückiger, membre du bureau de privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch
(allemand) Beat Rudin, président de privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch 

Lire en version PDF

privatim a révisé et complété son aide-mémoire sur les risques et mesures spécifiques à la technologie du Cloud computing publié en février 2019 par des informations relatifs au CLOUD Act américain. Selon ce décret, les fournisseurs de cloud computing soumis à la loi CLOUD doivent garantir aux autorités américaines l’accès aux données stockées, même si ces dernières ne sont pas stockées aux Etats-Unis mais, par exemple, dans un Etat membre de l’UE ou en Suisse. Ce risque créé par la législation américaine doit être pris en compte dans l’analyse globale des risques que tout organe public est obligé d’effectuer avant d’être autorisé à utiliser des services Cloud.

Vous trouverez l’aide-mémoire complété ici.

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene. 
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

On peut avoir la démocratie, on peut avoir une société de surveillance, mais on ne peut pas avoir les deux, plaide Shoshana Zuboff, sociologue et professeure à Harvard dans une longue tribune parue dans le «New York Times».

12.5.21, Le Temps

Un passeport digital à la disposition de ceux qui le désirent, pourquoi pas? Mais avec un prix clair et sans collecte de données.
14.2.21, Le Temps

La pandémie, qui a obligé une grande partie de la population à télétravailler, inquiète les autorités de protection des données.

28.1.21, 24Heures

La publication d’une nouvelle version des conditions d’utilisation de WhatsApp le 4 janvier a entrainé un vaste mouvement de migration des utilisateurs sur d’autres services comme Telegram ou Signal. En cause: la possibilité de partager les données personnelles avec le propriétaire de l’application de messagerie aux deux milliards d’utilisateurs, Facebook. Face à cet exode, WhatsApp a annoncé le 15 janvier repousser de trois mois le changement.

19.1.21, Heidi.news