Archives par mot-clé : Protection des données

ATFA A-3548/2018 (d) du 19.03.2019 – Traitement des données par «Helsana+» en partie illicite

Arrêt du Tribunal administratif fédéral ATFA A-3548/2018 (d) du 19.03.2019

 

Communiqué de presse du Tribunal administratif fédéral du 29.03.2019 disponible ici

Arrêt du TAF consultable ici

 

La collecte des données dans le cadre du programme de bonus « Helsana+ », disponible sous forme d’appli, ne satisfait pas complètement les dispositions de la loi sur la protection des données. Mais l’utilisation de données acquises légalement auprès de personnes au seul bénéfice de l’assurance de base est licite. Telle est la décision du Tribunal administratif fédéral.

Le programme de bonus « Helsana+ », sous forme d’appli, est géré par la société Helsana Assurances complémentaires SA. Par le biais de diverses activités, les participants au programme collectent des points Plus qu’ils peuvent ensuite convertir en versements en espèces, prestations concrètes ou bons pour des entreprises partenaires. Seuls les assurés du groupe Helsana, comprenant Helsana Assurances complémentaires SA, Helsana Assurances SA et Progrès Assurances SA, ont droit aux bonus. Les personnes ayant conclu exclusivement l’assurance de base auprès de la caisse-maladie font également partie des bénéficiaires. Pour procéder aux contrôles nécessaires, Helsana Assurances complémentaires SA exige, lors du processus d’inscription sur l’appli, une autorisation des participants lui permettant d’accéder aux données de l’assurance obligatoire des soins.

 

Plainte du PFPDT

Considérant ce procédé comme une violation des dispositions en matière de protection des données, le préposé fédéral à la protection des données et à la transparence (PFPDT) a édicté en avril 2018 des recommandations à l’attention de Helsana Assurances complémentaires SA. Il estime ainsi que la caisse-maladie doit renoncer, dans le cadre du programme « Helsana+ », à saisir et traiter des données issues de l’assurance de base et à demander une autorisation pour ledit traitement. Il conviendrait également qu’elle évite le versement de remboursements en espèces aux personnes couvertes exclusivement par l’assurance de base. Helsana Assurances complémentaires SA a refusé de mettre en œuvre ces recommandations, sur quoi le DFPDT a déposé plainte en mai 2018 auprès du Tribunal administratif fédéral (TAF).

 

Collecte de données illicite

Dans son arrêt, le TAF constate que l’autorisation obtenue par l’appli pour la collecte de données personnelles auprès des assurances de base du groupe Helsana (Helsana Assurances SA et Progrès Assurances SA) ne répond pas aux prescriptions du droit de la protection des données. En conséquence, Helsana Assurances complémentaires SA n’est pas autorisée à utiliser les données collectées et doit renoncer dès à présent à collecter ces données sous cette forme.

 

Utilisation des données conforme à la loi

Si les données concernant des personnes couvertes uniquement par l’assurance de base sont collectées de manière licite, leur utilisation n’est en soi pas contraire à la loi sur la protection des données. Et quand bien même la caisse-maladie poursuivait ainsi un but illégal, notamment le remboursement indirect des primes de l’assurance obligatoire des soins, son comportement ne s’avérerait contestable au regard du droit de la protection des données que si elle violait une norme visant à protéger la personnalité des débiteurs de prime. Or, les dispositions de la loi sur l’assurance-maladie ne prévoient rien de tel. Dans ce sens, le traitement de données dans le cadre du programme de bonus « Helsana+ » est donc licite du point de vue de la loi sur la protection des données. Compte tenu de cette issue, il n’est plus nécessaire d’examiner la question de savoir si le programme de bonus équivaut à une réduction dissimulée des primes et si, de ce fait, Helsana Assurances complémentaires SA violerait la loi sur l’assurance-maladie.

 

Cet arrêt est susceptible de recours au Tribunal fédéral.

 

 

Arrêt ATFA A-3548/2018 consultable ici

Communiqué de presse du 29.03.2019 du Tribunal administratif fédéral disponible ici

Communiqué de presse du 29.03.2019 du Préposé fédéral à la protection des données et à la transparence (PFPDT) disponible ici

 

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

 

Communiqué de presse du Conseil fédéral du 07.11.218 consultable ici

 

 

Le Conseil fédéral veut rendre plus efficaces les procédures administratives en étendant l’utilisation contrôlée du numéro AVS (NAVS). Lors de sa séance du 7 novembre 2018, il a mis en consultation un projet de modification de la loi AVS allant dans ce sens. Les nouvelles dispositions habiliteront les autorités à utiliser le NAVS de manière générale. Cela permettra de faciliter les tâches administratives et d’en réduire les coûts. La protection des données et la sécurité de l’information resteront garanties. La consultation durera jusqu’au 22 février 2019.

Le Conseil fédéral entend répondre aux desiderata des autorités des trois niveaux politiques, qui souhaitent utiliser davantage le NAVS dans l’accomplissement de leurs tâches administratives. Il a mis en consultation un projet de modification de la loi AVS ; la procédure se terminera le 22 février 2019. Selon ce projet, la règle générale est que les autorités de la Confédération, des cantons et des communes puissent utiliser systématiquement le NAVS dans l’accomplissement de leurs tâches légales. Par contre, les institutions qui, sans avoir le caractère d’une autorité, sont chargées de l’exercice d’un mandat public pourront continuer d’utiliser le numéro AVS, pour autant qu’une base légale spécifique l’autorise.

 

Des procédures administratives plus efficaces et moins coûteuses grâce au NAVS

L’utilisation systématique du NAVS comme identificateur de personnes permet de mettre à jour les attributs personnels en cas de changement d’état civil de manière automatique, précise et rapide. Le travail administratif en lien avec les banques de données s’en trouve réduit. Au lieu d’utiliser plusieurs attributs d’identification, un seul numéro permet de saisir correctement des données associées à un titulaire, même s’il porte le même nom, le même prénom, voire la même date de naissance qu’une autre personne ou lorsque les noms sont orthographiés de plusieurs manières. Cela permet d’éviter non seulement des corrections coûteuses, mais encore les conséquences fâcheuses d’une confusion pour les personnes concernées.

 

Mesures efficaces pour protéger les données et garantir la sécurité de l’information

Même si le NAVS est utilisé à plus large échelle, la sécurité des systèmes d’information de la Confédération, des cantons, des communes ou des autres utilisateurs visés par une loi spéciale restera garantie. Le risque d’abus n’augmentera pas. La Confédération et les cantons devront néanmoins veiller à un contrôle permanent. Quiconque est autorisé à utiliser le NAVS devra garantir la protection des données et la sécurité de l’information. Ainsi, le projet de loi demande que l’accès aux banques de données soit sécurisé de manière optimale (en particulier par une limitation des droits d’accès, l’authentification des personnes ayant accès aux données, des modes de transmission sécurisés, un cryptage, des protections antivirus et des pare-feu). Les principaux processus des systèmes informatiques devront être documentés et évalués. L’absence de mesures, la négligence ou une exécution défaillante des mesures de sécurité seront punies par la loi.

La modification de loi n’aura pas pour conséquence une multiplication des appariements de données provenant de différentes banques de données, car les exigences légales rigoureuses imposées pour ces procédés restent en place. L’utilisation du NAVS ne facilite qu’imperceptiblement les possibilités d’appariement de données et n’incitera donc pas davantage à regrouper des banques de données de manière illicite.

 

Le numéro AVS anonyme est déjà très utilisé

Le NAVS est aujourd’hui déjà utilisé comme identificateur personnel, en particulier dans les assurances sociales. Il peut également être utilisé en dehors des assurances sociales, à condition qu’un tel usage soit expressément prévu dans une base légale fédérale, cantonale ou communale. Pour chaque champ d’application, celle-ci doit préciser qui peut recourir au NAVS et à quelle fin. L’utilisation du NAVS doit être signalée à la Centrale de compensation du 1er pilier. Depuis l’introduction du numéro AVS à treize chiffres en 2008, son utilisation en dehors du système de sécurité sociale a beaucoup augmenté.

Le NAVS est un identificateur de personne qui – contrairement à l’ancien numéro AVS –, ne renferme aucune information sur son titulaire. Généré par un processus aléatoire, le NAVS est unique et attribué une fois pour toutes

 

 

Communiqué de presse du Conseil fédéral du 07.11.218 consultable ici

Fiche d’information « Utilisation accrue du numéro AVS : quid de la protection des données ? » du 07.11.2018 disponible ici

Rapport explicatif de l’OFAS pour la procédure de consultation disponible ici

Projet de modification de la LAVS consultable ici

 

Protection des données : la réforme sera traitée en deux temps

Protection des données : la réforme sera traitée en deux temps

 

Communiqué de presse du Parlement du 11.09.2018 consultable ici

 

La grande réforme de la législation sur la protection des données sera traitée en deux temps. Suivant le National, le Conseil des Etats s’est contenté mardi de donner son aval au volet le plus urgent visant notamment à reprendre une directive liée à Schengen.

Le “gros morceau” attendra. Au National, la droite a jugé les propositions du Conseil fédéral trop complexe et souhaite se donner le temps de les analyser. La gauche la soupçonne de vouloir au final imposer un régime très libéral en deçà des exigences européennes déjà en vigueur depuis le 25 mai.

La Chambre du peuple pourrait trancher lors de la session d’hiver. Au nom de la commission sénatoriale, Pascale Bruderer (PS/AG) a souligné l’urgence de l’ensemble du dossier et regretté le découpage opéré au National. Même amertume du côté de la conseillère fédérale Simonetta Sommaruga.

Reste que le temps presse encore plus pour le premier volet: la mise en œuvre de la directive européenne devait en principe avoir eu lieu au 1er août.

 

Retouches

La loi sur la protection sur les données n’a été retouchée qu’en quelques points. Le Parlement a précisé que le Préposé fédéral ne pouvait pas, non seulement recevoir, mais aussi solliciter d’instructions. Et ce aussi bien de la part d’une autorité que d’un tiers.

Le Préposé se verra confier la mission de sensibiliser le public à la protection des données personnelles. Son mandat ne pourra être renouvelé que deux fois.

Le Préposé ne pourra exercer aucune activité accessoire. Il pourra néanmoins y être autorisé par le Conseil fédéral pour autant que cette activité n’affecte pas l’exercice, l’indépendance et la réputation de la fonction du Préposé. Le Conseil des Etats ayant revu la formulation de cette disposition, le National doit à nouveau se prononcer.

Soutenue par Simonetta Sommaruga, la gauche s’est battue en vain pour que les opinions et activités syndicales continuent d’être explicitement mentionnées dans la loi et pas inclues dans celles politiques ou philosophiques.

 

Schengen

Pour le reste, les autres modifications législatives, dont une loi d’application parallèle ad hoc, adoptées par le Conseil des Etats règlent le traitement des données dans le cadre d’une poursuite pénale et de la coopération policière et judiciaire avec les pays membres de l’espace Schengen. Il s’agit de la reprise d’une directive de l’UE qui vise à garantir un niveau élevé de protection tout en facilitant l’échange.

La communication de données vers Schengen ne devra pas être soumise à des règles plus strictes que pour la transmission aux autorités pénales suisses. Les personnes concernées pourront demander au Préposé dans certains cas de vérifier si les données les concernant sont traitées licitement, voire demander une enquête.

Les autorités pénales veilleront à distinguer les différentes catégories de personnes concernées et les données fondées sur des faits de celles fondées sur des appréciations personnelles. La loi sur l’entraide pénale internationale a été revue. Une nouvelle disposition introduit un droit d’accès aux données personnelles visées par une demande de coopération.

Ce droit n’est pas absolu. L’autorité compétente peut refuser, restreindre ou différer la communication si cela peut compromettre une enquête ou une procédure, si un intérêt public prépondérant l’exige ou s’il en va de la protection des intérêts d’un tiers.

 

Extradition

Une restriction d’accès vise par ailleurs les données traitées dans le cadre de demandes d’arrestation en vue d’une extradition. Le but est d’éviter que des personnes recherchées puissent savoir dans quels pays elles peuvent se rendre sans risquer de se faire arrêter.

L’Office fédéral de la justice (OFJ) répondra toujours qu’aucune donnée n’est traitée illicitement et que l’on peut se tourner vers le Préposé pour vérification. Celui-ci répétera la réponse de l’OFJ ou se contentera d’indiquer qu’il a ouvert une enquête.

La personne visée par une demande de coopération internationale aura par ailleurs le droit d’exiger l’effacement ou la rectification des données inexactes le concernant. A elle d’apporter les preuves. Ce droit ne vaudra pas pour les données collectées à titre probatoire ou concernant les infractions fondant la demande de coopération. Il faudra alors s’adresser à l’Etat requérant.

Dans certains cas, l’autorité pourra limiter le traitement de données plutôt que de les effacer. La directive règle par ailleurs le transfert de données vers des pays tiers ou des organisations internationales.

 

 

Communiqué de presse du Parlement du 11.09.2018 consultable ici

 

 

 

Le Conseil fédéral prend acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données»

Le Conseil fédéral prend acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données»

 

Communiqué de presse du Conseil fédéral du 10.09.2018 consultable ici

 

Lors de sa séance du 05.09.2018, le Conseil fédéral a pris acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données». Le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) a été chargé d’examiner d’ici la fin du premier semestre 2019, en collaboration avec tous les départements concernés, les 51 recommandations formulées par le groupe d’experts et de présenter au Conseil fédéral les travaux de suivi correspondants.

Après trois ans de travail, le groupe d’experts interdisciplinaire institué par le Conseil fédéral et composé de représentants issus des milieux scientifiques, économiques et administratifs a établi un rapport concernant l’avenir du traitement et de la sécurité des données. Dans ce rapport, le groupe d’experts présidé par l’ancienne conseillère nationale Brigitta M. Gadient a examiné des questions liées à l’évolution technologique, économique et politique du traitement des données, aux conséquences de cette évolution pour la société et l’économie suisses et à la viabilité du cadre légal. Le rapport tient compte du passage au numérique dans tous les domaines de notre quotidien.

Les recommandations se concentrent sur la sécurité du traitement des données, la protection de la sphère privée, l’autodétermination en matière d’information et la valeur des données. Des chapitres distincts sont consacrés à des sujets spécifiques tels que les chaînes de blocs, le rôle de l’éthique et l’importance des algorithmes. Le rapport comprend 51 recommandations qui portent sur des défis juridiques, techniques, organisationnels et politiques. Le DETEC a été chargé par le Conseil fédéral d’examiner le rapport et de définir la suite des travaux d’ici le milieu de 2019, en collaboration avec les départements concernés. Les recommandations urgentes devront si possible être traitées avant.

 

 

Communiqué de presse du Conseil fédéral du 10.09.2018 consultable ici

Rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données» du 17.08.2018 (en allemand) consultable ici

 

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

 

Communiqué de presse du Préposé fédéral à la protection des données et à la transparence du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw

 

L’application «Helsana+» traite les données des clients qui ne disposent que de l’assurance de base auprès du groupe Helsana à des fins de remboursement partiel de leurs primes. Faute de base légale, le Préposé a recommandé de cesser ce traitement.

Le 11.10.2017, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert une procédure d’établissement des faits contre la société Helsana Assurances complémentaires SA en vertu de la loi fédérale sur la protection des données concernant le programme de bonus «Helsana+», lancé le 25.09.2017. Ce programme vise à inciter les participants à adopter un mode de vie sain et sportif : en téléchargeant l’application «Helsana+» sur leur téléphone mobile, les clients d’Helsana peuvent ainsi récolter des « points Plus » pour toute une série d’activités et les échanger contre des versements en espèces et des offres de partenaires.

 

Pas de flux de données issues de l’assurance de base lors de l’enregistrement

En s’enregistrant sur l’application Helsana+, les assurés d’Helsana Assurances complémentaires SA donnent leur accord à ce qu’on vérifie qu’ils sont assurés auprès du groupe Helsana pour l’assurance de base. Faute de base légale, la récolte de ces données relatives à l’assurance de base par l’assurance complémentaire et leur traitement subséquent par l’assurance complémentaire sont illégaux du point de vue de la protection des données et le consentement recueilli par l’application n’a aucun effet juridique. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme à ce traitement de données de l’assurance de base. Il se félicite qu’Helsana ait annoncé qu’elle allait suivre sa recommandation, même si elle conteste toute obligation légale, en adaptant volontairement le processus d’enregistrement, du moins jusqu’à ce que les tribunaux rendent une décision et que celle-ci soit entrée en force.

 

Pas de traitement de données visant à obtenir des remboursements de primes

Les points récoltés grâce au programme de bonus peuvent être convertis en avantages pécuniaires, sous la forme de versements en espèces ou de rabais auprès d’entreprises partenaires d’Helsana. Tant les personnes disposant d’une assurance complémentaire auprès d’Helsana que celles qui n’ont conclu que l’assurance de base avec elle ont cette possibilité. Pour ces dernières, les versements en espèces sont plafonnés à 75 francs par an. Faute de base légale, cette prestation s’avère illégale étant donné qu’elle revient à rembourser une partie des primes de l’assurance de base. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme au traitement de données visant à calculer et à effectuer des remboursements sous forme pécuniaire pour les clients qui ne disposent que de l’assurance de base auprès d’Helsana.

Helsana Assurances complémentaires SA a 30 jours pour communiquer au PFPDT si elle accepte ou refuse cette recommandation. En cas de refus ou de non-observation de la recommandation, le PFPDT peut porter l’affaire devant le Tribunal administratif fédéral.

 

 

Communiqué de presse du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw

 

 

Législation sur la protection des données : révision en deux étapes

Législation sur la protection des données : révision en deux étapes

 

Communiqué de presse du Parlement du 12.01.2018 consultable ici : http://bit.ly/2r8gmxd

 

La Commission des institutions politiques du Conseil national reconnaît la nécessité d’adapter la protection des données aux évolutions technologiques et sociétales, comme le propose le Conseil fédéral. Elle souhaite cependant échelonner la révision prévue : dans un premier temps, il faudra opérer les adaptations au droit européen qui s’imposent, avant de procéder, dans un deuxième temps, à la révision totale de la loi sur la protection des données.

La Commission des institutions politiques du Conseil national reconnaît la nécessité d’adapter la protection des données aux évolutions technologiques et sociétales, comme le propose le Conseil fédéral. Elle souhaite cependant échelonner la révision prévue : dans un premier temps, il faudra opérer les adaptations au droit européen qui s’imposent, avant de procéder, dans un deuxième temps, à la révision totale de la loi sur la protection des données.

La Commission des institutions politiques du Conseil national (CIP-N) est entrée en matière sans opposition sur le projet du Conseil fédéral concernant la révision totale de la loi sur la protection des données et la modification d’autres lois fédérales pertinentes (17.059). Parallèlement, elle a adopté, par 14 voix contre 8 et 2 abstentions, une motion d’ordre demandant la scission du projet.

Cette mesure permettra à la commission d’examiner tout d’abord la mise en œuvre du droit européen (directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le domaine du droit pénal) qui, en vertu des accords de Schengen, doit avoir lieu dans un délai donné. La CIP-N pourra ensuite s’atteler à l’examen de la révision totale de la loi sur la protection des données sans être contrainte par le temps; une telle procédure paraît judicieuse compte tenu de la grande complexité du sujet. Une minorité de la commission s’oppose à la scission du projet, considérant que deux révisions de la loi sur la protection des données se suivant à peu d’intervalle entraîneraient un surcroît de travail et une insécurité juridique pour les acteurs concernés.

La commission a siégé le 11 janvier 2018 à Berne, sous la présidence du conseiller national Kurt Fluri (RL/SO).

 

 

Communiqué de presse du Parlement du 12.01.2018 consultable ici : http://bit.ly/2r8gmxd

Objet du Conseil fédéral 17.059 « Loi sur la protection des données. Révision totale et modification d’autres lois fédérales » consultable ici : http://bit.ly/2B1nVWj

 

 

Protection des données : L’utilisation du numéro AVS présente des risques élevés

Protection des données : L’utilisation du numéro AVS présente des risques élevés

 

Article de la Conférence des préposés suisses à la protection des données du 16.10.2017 consultable ici : http://bit.ly/2gK0869

 

Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les risques pour la protection et la sécurité des données des citoyens associés à cette pratique sont très élevés. Les préposés cantonaux, membres de privatim, la Conférence des préposés suisses à la protection des données, exigent des gouvernements cantonaux de renoncer à l’utilisation du numéro d’AVS comme identifiant personnel universel.

 

Afin d’approfondir davantage les risques spécifiques aux identificateurs, l’Office fédéral de la justice (OFJ) et le Préposé fédéral à la protection des données et à la transparence (PFPDT) ont conjointement donné un mandat externe en vue d’une évaluation des risques. Celle-ci devait préciser en particulier si des risques – et, le cas échéant, quel type de risques – peuvent survenir lors de l’utilisation du numéro AVS et d’identificateurs alternatifs. L’étude, menée par Monsieur David Basin, professeur de sécurité de l’information à l’EPF de Zurich, est maintenant accessible en ligne.

privatim a déjà souligné à plusieurs reprises que le large recours au numéro AVS dans les banques de données de l’administration publique constitue une menace pour les droits fondamentaux des citoyens. L’expertise présentée par David Basin, professeur de sécurité de l’information à l’EPF de Zurich, précise l’ampleur des risques et montre que ceux-ci augmentent avec l’utilisation toujours plus répandue du numéro de sécurité sociale.

Il suffit en effet de connaître le nom, le prénom et la date de naissance pour identifier 99,98% de la population de manière univoque. Le fait qu’actuellement plus de 14’000 registres gouvernementaux aient recours en sus au numéro AVS comme identifiant personnel unique facilite la mise en relation des données et augmente le risque de leur utilisation frauduleuse. S’y ajoute le fait que les mesures de sécurité mises en place sont souvent insuffisantes pour protéger ces bases de données les rendant vulnérables aux piratages informatiques. Une fois tombées enter les mauvaises mains, les données dérobées peuvent facilement être liées à d’autres informations sensibles sur les citoyens.

Dans son analyse, le Prof. Basin montre que l’introduction du numéro AVS comme identifiant personnel unique, tel qu’il est préconisé dans le cadre des initiatives d’administration électronique (e-government), est irresponsable du point de vue de la protection des données personnelles.

privatim s’est prononcé plusieurs fois en faveur de l’utilisation d’un identifiant sectoriel de personnes, comme le prévoient la loi sur le dossier électronique du patient et le registre du commerce. Or, l’expertise démontre que même si cette mesure limiterait les risques d’abus à un seul secteur, elle n’offre pas une sécurité suffisante à elle seule. privatim souscrit donc aux conclusions du Prof. Basin qui demande qu’à l’avenir ne soient introduits que des identifiants sectoriels ne pouvant pas être directement liés à des données de personnes identificatrices, mais nécessitant des procédés spécialement sécurisés pour qu’un tel lien puisse être établi. Cette approche permettrait de réduire de façon substantielle le risque lié à l’utilisation de plus en plus répandue du numéro AVS.

Il incombe désormais au Conseil fédéral de tirer, au niveau fédéral, les conséquences qui s’imposent de cette analyse des risques approfondie. Les préposés cantonaux, membres de privatim, la Conférence des préposés suisses à la protection des données, s’adressent en même temps aux gouvernements cantonaux leur demandant d’assurer la protection et la sécurité des données des citoyens au niveau cantonal et de renoncer à l’utilisation du numéro AVS dans les registres et bases de données.

 

 

Article de la Conférence des préposés suisses à la protection des données du 16.10.2017 consultable ici : http://bit.ly/2gK0869

Rapport du Prof David Basin du 27.09.2017 « Évaluation des risques de l’utilisation du numéro AVS » (en anglais) : http://bit.ly/2hIlmRu

Résumé du rapport « Évaluation des risques de l’utilisation du numéro AVS », en français : http://bit.ly/2ys3V1o

Chapitre 5 (Analyse des risques) du rapport « Évaluation des risques de l’utilisation du numéro AVS », en français : http://bit.ly/2yrSl6C

 

 

Projet de révision totale de la loi sur la protection des données (LPD) : une meilleure protection des données et un renforcement de l’économie suisse

Projet de révision totale de la loi sur la protection des données (LPD) : une meilleure protection des données et un renforcement de l’économie suisse

 

Communiqué de presse du Conseil fédéral du 15.09.2017 consultable ici : http://bit.ly/2fhkxBQ

 

Face à la révolution numérique, le Conseil fédéral juge nécessaire d’adapter la protection des données et de renforcer les droits des citoyens. Il entend en outre harmoniser le droit suisse en la matière avec les standards de protection de l’UE et du Conseil de l’Europe. Il s’agit d’assurer la libre transmission des données entre les entreprises suisses et européennes, en réponse aux vœux de l’économie. Le Conseil fédéral a adopté un message en ce sens lors de sa séance du 15.09.2017.

 

Le Conseil fédéral a adopté un projet de révision totale de la loi sur la protection des données (LPD) qui permettra de mieux protéger les citoyens. Ces derniers seront mieux renseignés sur les traitements par des entreprises des données qui les concernent et acquerront une plus grande maîtrise de ces données. La révision est également un pas important pour l’économie suisse. En adaptant la législation suisse au standard européen, le Conseil fédéral crée les conditions requises pour assurer la transmission sans obstacles de données entre la Suisse et les États de l’UE.

Afin de rester pratiques pour l’économie, les nouvelles dispositions légales ne vont pas plus loin que ce qui est exigé par le droit européen. Il n’y aura pas de “plus” suisse. Le Conseil fédéral tient ainsi compte des remarques reçues lors de la consultation externe.

 

Plus de transparence pour les particuliers

La révision apporte aux particuliers une meilleure protection. Ils devront désormais être informés lorsqu’une entreprise collecte des données à leur sujet, quel que soit le type de données collectées. En outre, les entreprises seront tenues de prendre en considération les enjeux de protection des données dès la mise en place de nouveaux traitements. Le projet de loi encourage par ailleurs l’auto-règlementation : chaque branche aura la possibilité d’adopter un code de conduite.

 

Renforcement de l’indépendance du préposé

Le projet de loi renforce le statut et l’indépendance du Préposé fédéral à la protection des données et à la transparence (PFPDT). Alors qu’il ne peut aujourd’hui émettre que des recommandations aux entreprises, il pourra à l’avenir ordonner des mesures provisionnelles et prendre des décisions contraignantes, au terme d’une enquête ouverte d’office ou sur dénonciation. Il ne pourra toutefois pas décréter de sanction administrative. Seuls les tribunaux auront cette prérogative.

En parallèle, la liste des comportements punissables s’allonge en même temps que celle des obligations des responsables du traitement. De plus, le montant maximal des amendes est porté à 250 000 francs. La liste des infractions et le montant maximal de l’amende ont été réduits par rapport à l’avant-projet, suite aux critiques exprimées lors de la consultation, et la négligence n’est plus punissable.

 

Avantages pour l’économie suisse

La révision de la loi tient compte des récents développements des textes de l’UE et du Conseil de l’Europe. Le projet reprend les exigences de la directive européenne 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins pénales. En effet, il importe que la Suisse puisse remplir ses engagements au titre des accords Schengen. Il s’agit en outre d’harmoniser le droit suisse avec le règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Enfin, la révision vise à permettre à la Suisse de signer aussi tôt que possible la nouvelle version de la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

L’adaptation au droit européen est nécessaire pour que la Commission européenne reconnaisse la Suisse comme État tiers offrant un niveau de protection des données adéquat. Telle est la condition pour que les échanges de données transfrontières restent possibles, chose extrêmement importante pour l’économie suisse. Un standard élevé de protection, reconnu sur le plan international, est également propice au développement des nouveaux secteurs économiques dans le domaine de la société numérique.

 

 

Communiqué de presse du Conseil fédéral du 15.09.2017 consultable ici : http://bit.ly/2fhkxBQ

Rapport de l’Office fédéral de la justice (OFJ), « Synthèse des résultats de la procédure de consultation », du 10.08.2017 : http://bit.ly/2jFCWKb

Message du Conseil fédéral concernant la loi fédérale sur la révision totale de la LPD et sur la modification d’autres lois fédérales du 15.09.2017 : http://bit.ly/2xikQTj

Loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales (projet) : http://bit.ly/2yloOca

Arrêté fédéral (projet) portant approbation de l’échange de notes entre la Suisse et l’Union européenne concernant la reprise de la directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (Développement de l’acquis de Schengen) : http://bit.ly/2wD9qFV

 

 

Arrêt de la CrEDH – Affaire Bărbulescu c. Roumanie (Requête no 61496/08) du 05.09.2017 – Respect de la correspondance – Respect de la vie privée

Arrêt de la CrEDH – Affaire Bărbulescu c. Roumanie (Requête no 61496/08) du 05.09.2017

 

Consultable ici : http://bit.ly/2gLhte3

 

Respect de la correspondance – Respect de la vie privée

 

 

Faits

Le requérant, né en 1979, fut employé d’une société commerciale roumaine de droit privé (« l’employeur »), du 01.08.2004 au 06.08.2007, comme ingénieur chargé des ventes. À la demande de son employeur, il créa, pour répondre aux questions des clients, un compte de messagerie instantanée Yahoo Messenger (service de messagerie en ligne offrant une transmission de texte en temps réel sur internet). Il avait déjà un autre compte Yahoo Messenger personnel.

Le règlement intérieur de l’employeur prohibait l’usage par les employés des ressources de l’employeur, en ces termes : « Il est strictement interdit de troubler l’ordre et la discipline dans les locaux de l’entreprise, et en particulier : (…) d’utiliser les ordinateurs, les photocopieurs, les téléphones, les téléscripteurs ou les télécopieurs à des fins personnelles. »

Ce règlement ne comportait par ailleurs aucune mention relative à la possibilité pour l’employeur de surveiller les communications de ses employés.

Le requérant avait été informé du règlement intérieur de l’employeur et l’avait signé, après avoir pris connaissance de son contenu, le 20.12.2006.

Le 03.07.2007, le bureau de Bucarest reçut et distribua à tous les employés une note d’information (« la note d’information ») rédigée et envoyée le 26.06.2007 par le bureau central de Cluj. L’employeur demanda aux employés qu’ils prennent connaissance de cette note et qu’ils la signent. En ses parties pertinentes, la note est ainsi rédigée : « 1. (…) Le temps passé dans l’entreprise doit être du temps de qualité pour tout le monde ! Venez au travail pour vous occuper des problèmes de l’entreprise, des problèmes professionnels, et pas de problèmes privés ! Ne passez pas votre temps à occuper les lignes d’internet, le téléphone ou le télécopieur avec des questions qui ne concernent ni le travail ni vos tâches. [L’éducation élémentaire], le bon sens et la loi vous y obligent ! L’employeur se voit dans l’obligation de vérifier et de surveiller le travail des employés et de prendre des mesures de sanction envers les personnes en faute ! Vos fautes seront attentivement surveillées et réprimées ! 2. En raison de fautes répétées [d’indiscipline commises] envers son supérieur, [ainsi que] de l’utilisation [qu’elle a faite] d’internet, du téléphone et du photocopieur à des fins privées, de sa négligence et du non-accomplissement de ses tâches, Melle B.A. a été licenciée pour motifs disciplinaires ! Tirez les leçons de cet exemple négatif ! Ne commettez pas les mêmes erreurs ! 3. Lisez attentivement la convention collective, le règlement interne de l’entreprise, le descriptif de votre poste et le contrat de travail que vous avez signé ! Ceux-ci sont la base de notre collaboration ! Celle entre l’employeur et l’employé ! (…) »

Le requérant prit connaissance de cette note et la signa entre le 03.07.2007 et le 13.07.2007.

Du 05.07.2007 au 13.07.2007, l’employeur enregistra en temps réel les communications du requérant sur Yahoo Messenger.

Le 13.07.2007 à 16h30, le requérant fut convoqué par son employeur. La convocation l’informait que ses communications sur Yahoo Messenger avaient été surveillées et qu’un certain nombre d’éléments indiquaient qu’il avait utilisé internet à des fins personnelles, contrairement au règlement intérieur. Y étaient joints des graphiques indiquant que son trafic internet était supérieur à celui de ses collègues. À ce stade, on ne l’informa pas si la surveillance de ses communications avait également visé leur contenu. La convocation était rédigée en ces termes : « Vous devrez expliquer pourquoi vous utilisez à des fins personnelles les ressources de la société (connexion internet, Messenger) pendant les heures de travail, comme le montrent les graphiques ci-joints. » Le requérant répondit par écrit à l’employeur qu’il n’avait utilisé Yahoo Messenger qu’à des fins professionnelles.

Le même jour, à 17h20, l’employeur le convoqua une seconde fois. La convocation était rédigée en ces termes : « Expliquez pourquoi toute la correspondance que vous avez échangée entre le 5 et le 12 juillet 2007 en utilisant l’identifiant du site [internet] de S. Bucarest poursuit des buts privés, comme le démontrent les 45 pages ci-jointes. » Les 45 pages mentionnées dans la convocation étaient la transcription de communications que le requérant avait eues avec son frère et sa fiancée pendant la période où il avait été surveillé ; ces communications portaient sur des questions privées et certaines avaient un caractère intime. La transcription comportait également cinq messages que le requérant avait échangés avec sa fiancée depuis son compte Yahoo Messenger personnel ; ces messages ne comportaient pas d’informations de nature intime.

Toujours le 13.07.2007, le requérant informa par écrit son employeur qu’il l’estimait responsable de la commission d’une infraction pénale, à savoir la violation du secret de la correspondance.

Le 01.08.2007, l’employeur mit fin au contrat de travail du requérant.

Le requérant contesta la décision de licenciement devant le tribunal départemental de Bucarest. Sur le fond, se fondant sur l’arrêt Copland c. Royaume-Uni (no 62617/00, §§ 43-44, CEDH 2007‑I), il arguait que les communications par téléphone ou par courrier électronique qu’un employé fait depuis son lieu de travail sont couvertes par les notions de « vie privée » et de « correspondance » et, dès lors, bénéficient de la protection de l’article 8 de la Convention. Il soutenait également que la décision de licenciement était illégale et qu’en surveillant ses communications et en accédant à leur contenu, son employeur avait enfreint la loi pénale.

Par un jugement du 07.12.2007, le tribunal départemental rejeta l’action du requérant et confirma la licéité de la décision de licenciement.

Le requérant contesta ce jugement devant la cour d’appel de Bucarest. Il répétait les arguments présentés devant la juridiction de premier ressort et soutenait en outre que celle-ci n’avait pas ménagé un juste équilibre entre les intérêts en jeu et avait injustement fait prévaloir l’intérêt de l’employeur à disposer discrétionnairement du temps et des ressources de ses employés. Il arguait également que ni le règlement intérieur ni la note d’information n’indiquaient que l’employeur pouvait surveiller les communications des employés.

La cour d’appel rejeta ce recours par un arrêt du 17.06.2008.

 

Cour européenne des droits de l’homme (CrEDH)

En droit – Article 8

a) Applicabilité

Le type de messagerie instantanée sur internet en question est une forme de communications faisant partie de l’exercice d’une vie privée sociale. Par ailleurs, la notion de « correspondance » s’applique à l’envoi et à la réception de messages, même depuis l’ordinateur de l’employeur.

Le requérant avait bien été informé de l’interdiction d’utiliser internet à des fins personnelles posée par le règlement intérieur de son employeur. Toutefois, il n’a pas été informé à l’avance de l’étendue et de la nature de la surveillance opérée par son employeur ni de la possibilité que celui-ci ait accès à la teneur même de ses communications.

Il n’est pas certain que les règles restrictives de l’employeur aient laissé au requérant une attente raisonnable en matière de vie privée. Cela étant, les instructions d’un employeur ne peuvent pas réduire à néant l’exercice de la vie privée sociale sur le lieu de travail. Le respect de la vie privée et de la confidentialité des communications continue à s’imposer, même si ces dernières peuvent être limitées dans la mesure du nécessaire.

Ainsi, les communications que le requérant a effectuées depuis son lieu de travail étaient couvertes par les notions de « vie privée » et de « correspondance ». Il s’ensuit que l’article 8 de la Convention est applicable en l’espèce.

b) Fond

Compte tenu des circonstances particulières de l’espèce, à la lumière de la conclusion relative à l’applicabilité de l’article 8 et compte tenu de ce que l’atteinte à l’exercice par le requérant de son droit au respect de sa vie privée et de sa correspondance a été le fait d’un employeur privé, il y a lieu d’analyser le grief sous l’angle des obligations positives de l’État.

Peu d’États membres ont encadré de manière explicite la question de l’exercice par les employés de leur droit au respect de leur vie privée et de leur correspondance sur leur lieu de travail. Ainsi, les États contractants doivent se voir accorder une marge d’appréciation étendue pour évaluer la nécessité d’adopter un cadre juridique régissant les conditions dans lesquelles un employeur peut adopter une politique encadrant les communications non professionnelles, électroniques ou autres, de ses employés sur leur lieu de travail.

Cependant, la proportionnalité et les garanties procédurales contre l’arbitraire sont des éléments essentiels. Dans ce contexte, les autorités nationales devraient tenir compte des facteurs suivants : L’employé a-t-il été informé de la possibilité que l’employeur prenne des mesures de surveillance de sa correspondance et de ses autres communications ainsi que de la mise en place de telles mesures ? Quels ont été l’étendue de la surveillance opérée par l’employeur et le degré d’intrusion dans la vie privée de l’employé ? L’employeur a-t-il fourni des raisons à l’appui de la surveillance des communications de l’employé ? Aurait-il été possible de mettre en place un système de surveillance reposant sur des moyens et des mesures moins intrusifs que l’accès direct au contenu des communications de l’employé ? Quelles ont été les conséquences de la surveillance pour l’employé qui en a fait l’objet ? L’employé s’est-il vu offrir des garanties adéquates, notamment lorsque les mesures de surveillance de l’employeur avaient un caractère intrusif ? Enfin, les autorités internes devraient veiller à ce que les employés dont les communications ont été surveillées puissent bénéficier d’une voie de recours devant un organe juridictionnel ayant compétence pour statuer, du moins en substance, sur le respect des critères énoncés ci-dessus ainsi que sur la licéité des mesures contestées.

Les juridictions nationales ont correctement cerné les intérêts en jeu, en se référant explicitement au droit du requérant au respect de sa vie privée, ainsi que les principes de droit applicables de nécessité, de finalité, de transparence, de légitimité, de proportionnalité et de sécurité énoncés dans la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données Les tribunaux internes ont en outre recherché si la procédure disciplinaire avait été menée dans le respect du principe du contradictoire et si le requérant s’était vu offrir la possibilité de présenter ses arguments.

Il n’apparaissait pas que l’intéressé eût été informé à l’avance de l’étendue et de la nature de la surveillance opérée par l’entreprise ni de la possibilité que celle‑ci ait accès au contenu même de ses communications. Les juridictions nationales ont omis de rechercher si le requérant avait été averti préalablement de la possibilité que l’employeur mette en place des mesures de surveillance ainsi que de l’étendue et de la nature de ces mesures. Pour pouvoir être considéré comme préalable, l’avertissement de l’employeur doit être donné avant que celui-ci ne commence son activité de surveillance, a fortiori lorsque la surveillance implique également l’accès au contenu des communications des employés.

La question de l’étendue de la surveillance opérée et du degré d’intrusion dans la vie privée du requérant n’a été examinée par aucune juridiction nationale, alors qu’il apparaît que l’employeur a enregistré en temps réel l’intégralité des communications passées par le requérant pendant la période de surveillance, qu’il y a eu accès et qu’il en a imprimé le contenu.

Les juridictions nationales n’ont pas suffisamment vérifié la présence de raisons légitimes justifiant la mise en place de la surveillance des communications du requérant. Par ailleurs, ni le tribunal départemental ni la cour d’appel n’ont examiné de manière suffisante la question de savoir si le but poursuivi par l’employeur aurait pu être atteint par des méthodes moins intrusives que l’accès au contenu même des communications du requérant.

De surcroît, ni l’un ni l’autre n’ont examiné la gravité des conséquences de la mesure de surveillance et de la procédure disciplinaire qui s’est ensuivie. À cet égard, le requérant avait fait l’objet de la mesure disciplinaire la plus sévère possible, à savoir un licenciement.

Les juges nationaux n’ont pas vérifié si, lorsqu’il a convoqué le requérant pour qu’il donne des explications sur l’usage qu’il avait fait des ressources de l’entreprise, et notamment d’internet, l’employeur n’avait pas déjà eu accès au contenu des communications en cause. Les autorités nationales n’ont nullement établi à quel moment de la procédure disciplinaire l’employeur avait eu accès à ce contenu. Admettre que l’accès au contenu des communications puisse se faire à n’importe quel moment de la procédure disciplinaire va à l’encontre du principe de transparence (Recommandation CM/Rec(2015)5 du Comité des Ministres aux États membres sur le traitement des données à caractère personnel dans le cadre de l’emploi).

Dans ces conditions, les juridictions nationales ont manqué, d’une part, à vérifier, en particulier, si le requérant avait été préalablement averti par son employeur de la possibilité que ses communications sur Yahoo Messenger soient surveillées et, d’autre part, à tenir compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de la surveillance dont il avait fait l’objet, ainsi que du degré d’intrusion dans sa vie privée et sa correspondance. De surcroît, elles ont failli à déterminer, premièrement, quelles raisons concrètes avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance du requérant et, troisièmement, si l’accès au contenu des communications avait été possible à son insu.

Ainsi, nonobstant la marge d’appréciation étendue de l’État défendeur, les autorités internes n’ont pas protégé de manière adéquate le droit du requérant au respect de sa vie privée et de sa correspondance et, dès lors, n’ont pas ménagé un juste équilibre entre les intérêts en jeu.

 

La CrEDH conclut à une violation de l’article 8 de la Convention. Quant au dommage moral subi par le requérant, elle estime que le constat d’une violation constitue une satisfaction équitable suffisante.

 

 

Jugement (intégral) de la Cour européenne des droits de l’homme du 05.09.2017, Affaire Bărbulescu c. Roumanie (Requête no 61496/08), consultable ici : http://bit.ly/2gLhte3

Note d’information sur la jurisprudence de la Cour 210 consultable ici : http://bit.ly/2xdRUwH

 

 

Rapport d‘activités 2016/2017 du PFPDT: Protection des données – accent sur les technologies conformes

Rapport d’activités 2016/2017 du PFPDT: Protection des données – accent sur les technologies conformes

 

Communiqué de presse du PFPDT du 26.06.2017 consultable ici : http://bit.ly/2sdr1lT

 

 

Le PFPDT exige que les applications du Big Data, l’intelligence artificielle et la robotique garantissent l’exercice du droit fondamental à l’autodétermination informationnelle et à la protection de la vie privée. Au cours de l’année sous revue, en sa qualité de Préposé à la transparence, il s’est employé à ce que diverses révisions de lois spéciales ne conduisent pas à des limitations supplémentaires de la loi sur la transparence.

 

Les dispositions d’exécution de la loi fédérale sur le dossier électronique du patient règlent par voie d’ordonnance de nombreuses prescriptions ayant une incidence sur la protection et la sécurité des données. Les conditions techniques et organisationnelles de la certification revêtent une importance primordiale. L’entrée en vigueur de la loi implique de nouvelles tâches pour le PFPDT (chap. 1.5.1).

Dans le cadre du projet BAGSAN de l’Office fédéral de la santé publique, le PFPDT a recommandé la mise en place de mesures essentielles visant la préservation de l’anonymat des assurés. Le projet met clairement en évidence la nécessité de surveiller constamment le risque d’une identification rétroactive dans les projets «big data» (chap. 1.5.2).

L’échange des données concernant la santé des assurés dans le cadre d’une procédure AI va relativement loin. La situation est identique quant à la levée du secret médical. Dans le même temps, les principes généraux de protection des données posent des limites que les autorités se doivent de respecter (chap. 1.6.1).

Depuis le 01.01.2014, chaque assureur-maladie doit disposer d’un service de réception des données certifié (SRD) pour la réception des factures de type «Diagnosis Related Groups» (DRG). Au cours de l’année sous revue, le PFPDT a procédé à des contrôles de ces services et a pu constater un fonctionnement satisfaisant des SRD. Des manquements ont toutefois été constatés dans quelques cas (chap. 1.6.2).

Les assureurs de véhicules à moteur disposent d’une base de données commune pour lutter contre la fraude. Ce modèle doit à présent être étendu à d’autres branches d’assurance. Le PFPDT a émis des recommandations à ce sujet à l’intention du secteur des assurances (chap. 1.6.3).

 

D’autres thèmes figurent dans le 24e Rapport d’activités.

 

 

Communiqué de presse du PFPDT du 26.06.2017 consultable ici : http://bit.ly/2sdr1lT

24e Rapport d’activités du PFPDT consultable ici : http://bit.ly/2tcbxD3

Résumé de divers thèmes du 24e rapport d’activités du PFPDT consultable ici : http://bit.ly/2tapZLt