Archives par mot-clé : Protection des données

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

 

Communiqué de presse de l’OFAS du 30.10.2019 consultable ici

 

Le Conseil fédéral veut rendre plus efficaces les procédures administratives en étendant l’utilisation contrôlée du numéro AVS. Lors de sa séance du 30 octobre 2019, il a adopté le message relatif à une modification de la loi fédérale sur l’assurance-vieillesse et survivants (LAVS) en ce sens. Les nouvelles dispositions habiliteront les autorités à utiliser le numéro AVS de manière générale. Une réglementation stricte garantira la protection des données et la sécurité de l’information. Une nette majorité des participants à la consultation se sont prononcés en faveur de cette modification de loi.

Le Conseil fédéral entend répondre aux souhaits de la Confédération, des cantons et des communes d‘utiliser davantage le numéro AVS dans l’accomplissement de leurs tâches administratives. À cette fin, il a adopté une modification de la LAVS qu’il soumet au Parlement. Celle-ci prévoit que les autorités pourront utiliser systématiquement le numéro AVS pour leurs tâches légales. Par contre, les institutions qui, sans avoir le caractère d’une autorité, sont chargées d’un mandat public ne pourront l’utiliser que si une loi les y autorise.

 

Des procédures administratives plus efficaces et moins coûteuses grâce au numéro AVS

L’utilisation systématique du numéro AVS comme identifiant permet de mettre à jour de manière automatique, précise et rapide les attributs personnels tels que nom de famille, prénom ou état civil. Le travail administratif en lien avec les banques de données s’en trouve réduit. En effet, un seul attribut d’identification permet de saisir correctement les données associées à un titulaire, même si, par exemple, il porte le même nom et le même prénom qu’une autre personne ou que son nom est orthographié de plusieurs manières. Cela permet d’éviter non seulement des corrections coûteuses, mais encore les conséquences fâcheuses d’une confusion.

 

Mesures efficaces pour protéger les données et garantir la sécurité des informations

Même si le numéro AVS est utilisé à plus large échelle, la sécurité des systèmes d’information de la Confédération, des cantons, des communes ou des autres utilisateurs visés par une loi spéciale restera garantie. Quiconque sera autorisé à l’utiliser devra garantir la protection des données et la sécurité de l’information. L’accès aux banques de données devra être sécurisé de manière optimale, en particulier par une limitation des droits d’accès, l’authentification des personnes ayant accès aux données, la sécurisation des modes de transmission, un cryptage, des protections antivirus et des pare-feu. Les principaux processus des systèmes informatiques devront être documentés et évalués.

La modification de loi n’entraînera pas de multiplication des appariements de données provenant de différentes banques de données, car les exigences légales rigoureuses imposées pour ces procédés restent en place.

 

Le numéro AVS anonyme est déjà très utilisé

Le numéro AVS est utilisé aujourd’hui déjà comme identifiant personnel, en particulier dans les assurances sociales. Il peut également être utilisé en dehors des assurances sociales, à condition qu’un tel usage soit expressément prévu dans une base légale fédérale, cantonale ou communale. Pour chaque champ d’application, celle-ci doit préciser qui peut recourir au numéro AVS et à quelle fin. L’utilisation du numéro AVS doit être signalée à la Centrale de compensation du 1er pilier. Depuis que le numéro AVS à treize chiffres a été mis en place, en 2008, son utilisation en dehors du système de sécurité sociale a beaucoup augmenté.

Contrairement à l’ancien numéro, il constitue un identifiant qui ne renferme aucune information sur la personne qui le détient. Généré par un processus aléatoire, il est unique et attribué une fois pour toutes.

 

 

Communiqué de presse de l’OFAS du 30.10.2019 consultable ici

Utilisation systématique du numéro AVS par les autorités – Rapport du 30.10.2019 sur les résultats de la consultation disponible ici

Message du Conseil fédéral relatif à la modification de la loi fédérale sur l’assurance-vieillesse et survivants (utilisation systématique du numéro AVS par les autorités) consultable ici

Projet de modification de la LAVS consultable ici

Fiche d’information du 30.10.2019 « Utilisation accrue du numéro AVS : les données seront-elles moins bien protégées ? » disponible ici

 

 

6B_1188/2018 (d) du 26.09.2019, destiné à la publication – Condamnation fondée sur les enregistrements d’une dashcam : le recours de la conductrice est admis

Arrêt du Tribunal fédéral 6B_1188/2018 (d) du 26.09.2019, destiné à la publication

 

Arrêt consultable ici

Communiqué de presse du TF du 10.10.2019 disponible ici

 

Le Tribunal fédéral annule la condamnation d’une conductrice qui avait été reconnue coupable de multiples violations des règles de la circulation routière sur la base des enregistrements de la dashcam d’un autre usager de la route. L’exploitation, comme moyen de preuve, des prises de vue obtenues en violation de la Loi sur la protection des données, n’est pas admissible dès lors que les violations des règles de la circulation routière en question ne constituent pas des infractions graves. Le Tribunal fédéral n’a pas dû trancher la question de savoir si une exploitation des enregistrements à titre de preuve aurait été licite en cas d’infractions graves.

L’intéressée avait été condamnée en 2018 par le Tribunal de district de Bülach à une peine pécuniaire avec sursis ainsi qu’à une amende de 4000 francs pour de multiples violations des règles de la circulation routière, pour partie graves, sur la base des enregistrements de la dashcam d’un autre usager de la route. Le Tribunal cantonal du canton de Zurich a confirmé le jugement.

Le Tribunal fédéral admet le recours de l’intéressée et annule le jugement du Tribunal cantonal. Les enregistrements privés de la dashcam ont été obtenus en violation de la Loi sur la protection des données (LPD), et donc de manière illégale. Puisque la réalisation de prises de vue depuis un véhicule n’est pas aisément reconnaissable pour les autres usagers de la route, il s’agit d’un traitement secret de données au sens de l’article 4 alinéa 4 LPD, constitutif d’une atteinte à la personnalité.

Le Code de procédure pénale (CPP) règle l’exploitabilité des preuves qui ont été obtenues illégalement par les autorités publiques. Le CPP ne règle pas expressément la question de savoir dans quelle mesure cette inexploitabilité s’applique également aux preuves recueillies par une personne privée. Selon la jurisprudence du Tribunal fédéral, les moyens de preuve collectés illégalement par des personnes privées ne peuvent être exploités que lorsque les deux conditions cumulatives suivantes sont remplies : en premier lieu, les moyens de preuve collectés par une personne privée auraient pu être collectés de manière légale par les autorités de poursuite pénales ; en second lieu, une pesée des intérêts doit pencher en faveur de leur exploitation.

En rapport avec les moyens de preuve qui ont été recueillis illégalement par les autorités de poursuite pénales, le CPP procède lui-même à cette pesée des intérêts. Il en découle que de telles preuves ne peuvent être exploitées que lorsqu’elles sont indispensables pour élucider des infractions graves. Il apparaît approprié d’appliquer le même critère aux moyens de preuve obtenus illégalement par des personnes privées puisque, du point de vue de la personne concernée, il est sans importance de savoir qui a collecté les preuves auxquelles elle est confrontée dans le cadre de la procédure pénale.

Dans le cas d’espèce, le Tribunal cantonal a qualifié le comportement de l’automobiliste en partie de violations simples, et en partie de violations graves des règles de la circulation routière. Ces infractions constituent des contraventions et des délits, que la jurisprudence du Tribunal fédéral ne qualifie pas d’infractions graves au sens du CPP. La pesée des intérêts va ainsi à l’encontre d’une exploitabilité des prises de vue en tant que preuves. Dans ces circonstances, la question de savoir si la condition supplémentaire permettant l’exploitabilité des prises de vue en cause était remplie, soit que les enregistrements auraient pu être collectés légalement par les autorités de poursuite pénales, peut rester ouverte.

 

 

Arrêt 6B_1188/2018 consultable ici

 

 

Le Conseil fédéral veut clarifier l’utilisation des données individuelles dans l’assurance maladie obligatoire

Le Conseil fédéral veut clarifier l’utilisation des données individuelles dans l’assurance maladie obligatoire

 

Communiqué de presse de l’OFSP du 21.08.2019 consultable ici

 

Le Conseil fédéral souhaite pouvoir récolter les données individuelles des assurés tout en garantissant la protection de la personnalité et le respect du principe de proportionnalité. Lors de sa séance du 21.08.2019, il a approuvé la proposition de la majorité de la Commission de la sécurité sociale et de la santé publique du Conseil des Etats (CSSS-CE) de préciser les bases légales régissant la transmission de données des assureurs. Il soutient en plus la proposition de la minorité de la Commission qui prévoit la possibilité de récolter des données individuelles dans le domaine des médicaments et des moyens et appareils.

Les données individuelles sont très importantes pour le fonctionnement du système de santé. Elles permettent d’améliorer la transparence et de mettre en place des mesures qui contribuent à maîtriser les coûts de la santé. Le Conseil fédéral estime que l’Office fédéral de la santé publique (OFSP) a besoin d’accéder aux données agrégées et, si nécessaires, individuelles. En effet, dans le cadre de ses missions, notamment pour le développement de la compensation des risques, ces informations sont essentielles. Les dispositions légales actuelles permettent déjà la récolte des données individuelles mais une formulation plus précise garantira une meilleure sécurité juridique.

Suite à l’acceptation de l’initiative parlementaire 16.411 « Surveillance de l’assurance-maladie. Garantir la protection de la personnalité », la CSSS-CE a élaboré un avant-projet de loi sur la transmission de données dans l’assurance obligatoire des soins. Le Conseil fédéral approuve la position de la majorité de la commission qui demande de modifier la Loi sur l’assurance-maladie obligatoire (LAMal) et la Loi sur la surveillance de l’assurance-maladie (LSAMal).

L’avant-projet de loi précise l’étendue et les objectifs de la récolte des données par l’OFSP, ainsi que les modalités d’exploitation. La récolte de données agrégées est privilégiée mais des exceptions permettant de recenser des données individuelles, c’est-à-dire par assuré, sont prévues. La proposition permettra notamment de récolter des données individuelles détaillées et anonymisées, par type de prestation et par prestataire. L’OFSP sera toutefois limité à collecter les données adéquates et nécessaires à l’exercice de ses tâches.

Le Conseil fédéral soutient en plus la proposition de la minorité de la Commission qui prévoit la possibilité de récolter des données individuelles dans le domaine des médicaments et des moyens et appareils. Il estime en effet que ces données apporteront des informations pertinentes, par exemple pour déterminer de manière fiable le chiffre d’affaires à la charge de l’assurance-maladie obligatoire réalisé avec un nouveau médicament très onéreux.

 

 

Communiqué de presse de l’OFSP du 21.08.2019 consultable ici

Avis du Conseil fédéral du 21.08.2019 disponible ici

 

 

Réforme de la protection des données: fin de l’examen du projet

Réforme de la protection des données: fin de l’examen du projet

 

Communiqué de presse du Parlement du 16.08.2019 consultable ici

 

La commission des institutions politiques du Conseil national (CIP-CN) a achevé l’examen du projet de révision totale de la loi sur la protection des données (17.059). Lors du vote sur l’ensemble, elle a adopté le projet par 9 voix contre 9 et 7 absentions, avec la voix prépondérante du président.

Le projet de révision totale de la loi sur la protection des données (LPD) vise à mieux protéger les citoyens et à adapter la législation suisse au standard européen. Afin de permettre à la Suisse de mettre en œuvre rapidement une directive européenne liée à Schengen, le Parlement a décidé, en 2018, de scinder le projet et d’adopter en priorité les dispositions nécessaires à la mise en œuvre de cette directive. Ces nouvelles dispositions sont entrées en vigueur le 01.03.2019.

Parallèlement, la discussion du reste de la réforme s’est poursuivie. Ces travaux sont indispensables pour que l’UE continue de reconnaître la Suisse comme un Etat tiers ayant un niveau de protection des données suffisant pour que la possibilité d’échanger des données avec elle soit préservée. La CIP-CN a entamé la discussion par article de la révision totale de la loi sur la protection des données en juin 2018. Elle a notamment pris les décisions suivantes :

 

Mode de nomination du préposé à la protection des données et à la transparence

Par 19 voix contre 5, la commission propose que le préposé soit élu par l’Assemblée fédérale, en lieu et place du système actuel de nomination par le Conseil fédéral avec approbation par l’Assemblée fédérale. Aux yeux de la commission, une élection directe par le Parlement sera mieux à même de garantir l’indépendance du préposé. Une minorité souhaite conserver le système actuel.

 

Droit à la portabilité des données

La commission a introduit un droit à la portabilité des données. Il s’agit de permettre à une personne de récupérer, dans un format standard, les données traitées à son sujet par un prestataire (par exemple un fournisseur de services en ligne), afin de transmettre ces données à un nouveau prestataire vers lequel elle souhaite se tourner. La solution adoptée par la commission permet à la personne concernée d’obtenir, à certaines conditions, la remise ou le transfert gratuits et sous un format électronique de certaines données personnelles qu’elle a communiquées au responsable du traitement. De l’avis de la commission, une telle réglementation est de nature à favoriser la concurrence et à permettre l’émergence de nouveaux modèles d’affaires. Une minorité souhaite que ce droit ne soit pas limité aux données que la personne a communiquées, mais à toutes ses données personnelles.

 

Données sensibles

La commission a apporté quelques modifications à la définition des données sensibles, lesquelles font l’objet d’une protection particulière. Elle a notamment retiré de la liste des données sensibles les données sur les mesures d’aide sociale, au motif qu’il peut être dans l’intérêt de partenaires contractuels, de fournisseurs, voire dans l’intérêt public de savoir si une personne perçoit des prestations de l’aide sociale. Une minorité s’oppose à cette suppression. La commission a également retiré de la liste les données sur les activités syndicales. Elle a en revanche confirmé l’introduction dans cette liste des données génétiques.

 

Entreprises étrangères

La commission a décidé que les entreprises étrangères qui fournissent des prestations en Suisse seront tenues de respecter le droit suisse de la protection des données. Ces entreprises devront en outre désigner un représentant en Suisse.

 

Données des personnes décédées

Contrairement à ce que propose le Conseil fédéral, la commission a décidé, par 14 voix contre 8 et 1 abstention, de ne pas prévoir de réglementation particulière concernant la gestion des données de personnes décédées. Il existe en effet déjà des possibilités permettant de résoudre les problèmes qui se posent dans ce contexte. Une minorité estime au contraire qu’une réglementation spécifique est nécessaire, notamment concernant la mort numérique.

 

Durcissement des sanctions pénales

Par 16 voix contre 4 et 2 abstentions, la commission a approuvé le système de sanctions proposé par le Conseil fédéral. Ce système prévoit uniquement des sanctions pénales, à l’exclusion de sanctions administratives, principalement pour des raisons de simplicité dans l’application du droit. Cela signifie qu’en cas d’infraction à la loi sur la protection des données, seules les personnes physiques, en particulier les personnes exerçant une fonction dirigeante au sein de l’entreprise, pourront être sanctionnées. Les personnes morales ne pourront l’être que dans des cas de figure bien déterminés et relativement restreints. La commission propose cependant d’examiner l’introduction en droit suisse d’un régime général de sanctions administratives pécuniaires. Elle a adopté un postulat 18.4100 dans ce sens chargeant le Conseil fédéral d’examiner les solutions envisageables. Concernant le montant des amendes, la commission a décidé d’en rester au montant maximal proposé par le Conseil fédéral, soit 250’000 francs, qu’elle juge proportionné et suffisamment dissuasif. Deux minorités proposent des montants plus élevés.

 

Les entreprises auront deux ans pour s’adapter

Par 13 voix contre 11, la commission a décidé que la nouvelle loi n’entrerait en vigueur qu’à l’échéance d’un délai de deux ans à compter de la fin du délai référendaire ou de la date d’une éventuelle votation populaire, afin de donner aux entreprises le temps de procéder aux adaptations nécessaires. Une minorité propose que le Conseil fédéral fixe l’entrée en vigueur en tenant compte notamment des besoins de l’économie privée.

Deux propositions de minorité ont été déposées demandant le renvoi du projet, avec diverses propositions d’adaptation.

 

La commission a en outre déposé plusieurs motions chargeant le Conseil fédéral de compléter les dispositions de protection des données figurant dans d’autres lois fédérales (19.3960, 19.3961, 19.3962, 19.3963, 19.3964, 19.3965).

La commission a siégé les 15.08.2019 et 16.08.2019 à Berne, sous la présidence du conseiller national Kurt Fluri (PLR/SO).

 

 

Communiqué de presse du Parlement du 16.08.2019 consultable ici

 

 

 

Initiative parlementaire « Surveillance de l’assurance-maladie. Garantir la protection de la personnalité » – Rapport de la Commission de la sécurité sociale et de la santé publique du Conseil des Etats

Initiative parlementaire 16.411 « Surveillance de l’assurance-maladie. Garantir la protection de la personnalité » – Rapport de la Commission de la sécurité sociale et de la santé publique du Conseil des Etats

 

Paru in FF 2019 5177 disponible ici

 

La loi fédérale sur la transmission de données des assureurs dans l’assurance obligatoire des soins (AOS) vise à préciser à quelles fins les assureurs sont tenus de transmettre des données à l’Office fédéral de la santé publique (OFSP) et sous quelle forme ils doivent le faire (données agrégées ou données par assuré). Elle précise en outre que l’OFSP est responsable de garantir l’anonymat des assurés.

Depuis 2014, l’OFSP collecte auprès des assureurs des données anonymisées concernant tous les assurés de l’AOS (Efind). Le formulaire Efind1 sert à la collecte de données démographiques, et le formulaire Efind2 à la collecte de données relatives aux primes et aux coûts des traitements. L’OFSP utilise ces données pour exécuter les tâches qui lui sont assignées en vertu de la loi sur la surveillance de l’assurance-maladie (LSAMal) et pour surveiller l’évolution générale des coûts dans l’AOS. Par ailleurs, l’OFSP prévoyait déjà à l’époque trois autres relevés, portant sur les coûts par prestataire (Efind3), les médicaments (Efind5) et les moyens et appareils (Efind6), qui devaient lui permettre de surveiller l’évolution des coûts par type de prestations et par fournisseur de prestations, d’analyser de manière approfondie les effets de la loi fédérale sur l’assurance-maladie (LAMal) et d’examiner plus en détail la qualité et le caractère économique des prestations.

Le présent acte modificateur unique vise à ce que les bases légales régissant la transmission de données des assureurs soient précisées dans la LAMal et dans la LSAMal. Des dispositions formulées de manière plus précise seront gages d’une meilleure sécurité juridique et garantiront que la proportionnalité sera respectée lors de la collecte de données.

La commission entend préciser les bases légales régissant les relevés de données que l’OFSP effectue auprès des assureurs et, ce faisant, améliorer la sécurité du droit. En outre, elle veut veiller au respect du principe de proportionnalité : l’OFSP ne doit collecter que les données adéquates et nécessaires à l’exercice de ses tâches et dont on peut raisonnablement exiger la livraison de la part des assureurs.

Le projet de la commission se fonde sur les principes suivants:

  • Afin de clarifier les choses sur le plan législatif et d’éliminer la confusion provoquée par le fait que la LSAMal est en partie explicitée dans l’OAMal (art. 35, al. 2, LSAMal et art. 28 OAMal; cf. ch. 2.2), la collecte des données dont l’OFSP a besoin doit être régie dans la LSAMal et l’OSAMal pour ce qui est de la surveillance des assureurs, et dans la LAMal et l’OAMal pour ce qui est des tâches assignées à l’OFSP par la LAMal.
  • La collecte et le traitement des données doivent être effectués sous une forme agrégée. Plus les données des assurés seront synthétisées sans pour autant en réduire trop fortement le contenu informatif, moins il y aura de risque d’identification.
  • Si des données agrégées ne sont pas suffisantes pour accomplir une tâche et que les données nécessaires ne peuvent pas être obtenues autrement, l’OFSP doit pouvoir collecter des données individuelles anonymisées. Les tâches concernées doivent être décrites dans la loi le plus clairement possible. A titre subsidiaire, le Conseil fédéral peut être autorisé à définir ces tâches et les données à collecter par voie d’ordonnance.

Les données devront être transmises sous une forme agrégée. Si des données agrégées ne sont pas suffisantes pour que l’OFSP puisse accomplir les tâches qui lui sont assignées et que des données individuelles anonymisées ne peuvent pas être obtenues autrement, les assureurs seront tenus de transmettre à l’OFSP les données par assuré nécessaires à l’exécution des tâches suivantes :

  • surveiller l’évolution des coûts par type de prestations et par fournisseur de prestations et élaborer les bases de décision pour les mesures visant à maitriser l’évolution des coûts (art. 21, al. 2, let. a, LAMal) ;
  • effectuer une analyse des effets de la loi et de ses dispositions d’exécution et préparer les bases de décision en vue d’une révision de la loi et de ses dispositions d’exécution (art. 21, al. 2, let. b, LAMal);
  • évaluer la compensation des risques (art. 21, al. 2, let. c, LAMal);
  • accomplir les tâches de surveillance prévues par la LSAMal (art. 35, al. 2, LSAMal).

Le projet de la majorité de la commission prévoit que l’OFSP pourrait poursuivre les relevés de données Efind1 et Efind2 et les compléter avec Efind3 (collecte de données relatives aux coûts par type de prestations et prestataire). Cet avant-projet ne prévoit par contre aucune base légale pour les relevés de données Efind5 et Efind6, chose que propose une minorité de la commission (art. 21, al. 2, let. d).

 

 

Rapport de la CSSS-E du 16.05.2019, paru in FF 2019 5177 (06.08.2019) consultable ici

Projet de la Loi fédérale sur la transmission de données des assureurs dans l’assurance obligatoire des soins, paru in FF 2019 5209, consultable ici

 

 

ATFA A-3548/2018 (d) du 19.03.2019 – Traitement des données par «Helsana+» en partie illicite

Arrêt du Tribunal administratif fédéral ATFA A-3548/2018 (d) du 19.03.2019

 

Communiqué de presse du Tribunal administratif fédéral du 29.03.2019 disponible ici

Arrêt du TAF consultable ici

 

La collecte des données dans le cadre du programme de bonus « Helsana+ », disponible sous forme d’appli, ne satisfait pas complètement les dispositions de la loi sur la protection des données. Mais l’utilisation de données acquises légalement auprès de personnes au seul bénéfice de l’assurance de base est licite. Telle est la décision du Tribunal administratif fédéral.

Le programme de bonus « Helsana+ », sous forme d’appli, est géré par la société Helsana Assurances complémentaires SA. Par le biais de diverses activités, les participants au programme collectent des points Plus qu’ils peuvent ensuite convertir en versements en espèces, prestations concrètes ou bons pour des entreprises partenaires. Seuls les assurés du groupe Helsana, comprenant Helsana Assurances complémentaires SA, Helsana Assurances SA et Progrès Assurances SA, ont droit aux bonus. Les personnes ayant conclu exclusivement l’assurance de base auprès de la caisse-maladie font également partie des bénéficiaires. Pour procéder aux contrôles nécessaires, Helsana Assurances complémentaires SA exige, lors du processus d’inscription sur l’appli, une autorisation des participants lui permettant d’accéder aux données de l’assurance obligatoire des soins.

 

Plainte du PFPDT

Considérant ce procédé comme une violation des dispositions en matière de protection des données, le préposé fédéral à la protection des données et à la transparence (PFPDT) a édicté en avril 2018 des recommandations à l’attention de Helsana Assurances complémentaires SA. Il estime ainsi que la caisse-maladie doit renoncer, dans le cadre du programme « Helsana+ », à saisir et traiter des données issues de l’assurance de base et à demander une autorisation pour ledit traitement. Il conviendrait également qu’elle évite le versement de remboursements en espèces aux personnes couvertes exclusivement par l’assurance de base. Helsana Assurances complémentaires SA a refusé de mettre en œuvre ces recommandations, sur quoi le DFPDT a déposé plainte en mai 2018 auprès du Tribunal administratif fédéral (TAF).

 

Collecte de données illicite

Dans son arrêt, le TAF constate que l’autorisation obtenue par l’appli pour la collecte de données personnelles auprès des assurances de base du groupe Helsana (Helsana Assurances SA et Progrès Assurances SA) ne répond pas aux prescriptions du droit de la protection des données. En conséquence, Helsana Assurances complémentaires SA n’est pas autorisée à utiliser les données collectées et doit renoncer dès à présent à collecter ces données sous cette forme.

 

Utilisation des données conforme à la loi

Si les données concernant des personnes couvertes uniquement par l’assurance de base sont collectées de manière licite, leur utilisation n’est en soi pas contraire à la loi sur la protection des données. Et quand bien même la caisse-maladie poursuivait ainsi un but illégal, notamment le remboursement indirect des primes de l’assurance obligatoire des soins, son comportement ne s’avérerait contestable au regard du droit de la protection des données que si elle violait une norme visant à protéger la personnalité des débiteurs de prime. Or, les dispositions de la loi sur l’assurance-maladie ne prévoient rien de tel. Dans ce sens, le traitement de données dans le cadre du programme de bonus « Helsana+ » est donc licite du point de vue de la loi sur la protection des données. Compte tenu de cette issue, il n’est plus nécessaire d’examiner la question de savoir si le programme de bonus équivaut à une réduction dissimulée des primes et si, de ce fait, Helsana Assurances complémentaires SA violerait la loi sur l’assurance-maladie.

 

Cet arrêt est susceptible de recours au Tribunal fédéral.

 

 

Arrêt ATFA A-3548/2018 consultable ici

Communiqué de presse du 29.03.2019 du Tribunal administratif fédéral disponible ici

Communiqué de presse du 29.03.2019 du Préposé fédéral à la protection des données et à la transparence (PFPDT) disponible ici

 

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

Utilisation accrue du numéro AVS pour rationaliser les procédures administratives

 

Communiqué de presse du Conseil fédéral du 07.11.218 consultable ici

 

 

Le Conseil fédéral veut rendre plus efficaces les procédures administratives en étendant l’utilisation contrôlée du numéro AVS (NAVS). Lors de sa séance du 7 novembre 2018, il a mis en consultation un projet de modification de la loi AVS allant dans ce sens. Les nouvelles dispositions habiliteront les autorités à utiliser le NAVS de manière générale. Cela permettra de faciliter les tâches administratives et d’en réduire les coûts. La protection des données et la sécurité de l’information resteront garanties. La consultation durera jusqu’au 22 février 2019.

Le Conseil fédéral entend répondre aux desiderata des autorités des trois niveaux politiques, qui souhaitent utiliser davantage le NAVS dans l’accomplissement de leurs tâches administratives. Il a mis en consultation un projet de modification de la loi AVS ; la procédure se terminera le 22 février 2019. Selon ce projet, la règle générale est que les autorités de la Confédération, des cantons et des communes puissent utiliser systématiquement le NAVS dans l’accomplissement de leurs tâches légales. Par contre, les institutions qui, sans avoir le caractère d’une autorité, sont chargées de l’exercice d’un mandat public pourront continuer d’utiliser le numéro AVS, pour autant qu’une base légale spécifique l’autorise.

 

Des procédures administratives plus efficaces et moins coûteuses grâce au NAVS

L’utilisation systématique du NAVS comme identificateur de personnes permet de mettre à jour les attributs personnels en cas de changement d’état civil de manière automatique, précise et rapide. Le travail administratif en lien avec les banques de données s’en trouve réduit. Au lieu d’utiliser plusieurs attributs d’identification, un seul numéro permet de saisir correctement des données associées à un titulaire, même s’il porte le même nom, le même prénom, voire la même date de naissance qu’une autre personne ou lorsque les noms sont orthographiés de plusieurs manières. Cela permet d’éviter non seulement des corrections coûteuses, mais encore les conséquences fâcheuses d’une confusion pour les personnes concernées.

 

Mesures efficaces pour protéger les données et garantir la sécurité de l’information

Même si le NAVS est utilisé à plus large échelle, la sécurité des systèmes d’information de la Confédération, des cantons, des communes ou des autres utilisateurs visés par une loi spéciale restera garantie. Le risque d’abus n’augmentera pas. La Confédération et les cantons devront néanmoins veiller à un contrôle permanent. Quiconque est autorisé à utiliser le NAVS devra garantir la protection des données et la sécurité de l’information. Ainsi, le projet de loi demande que l’accès aux banques de données soit sécurisé de manière optimale (en particulier par une limitation des droits d’accès, l’authentification des personnes ayant accès aux données, des modes de transmission sécurisés, un cryptage, des protections antivirus et des pare-feu). Les principaux processus des systèmes informatiques devront être documentés et évalués. L’absence de mesures, la négligence ou une exécution défaillante des mesures de sécurité seront punies par la loi.

La modification de loi n’aura pas pour conséquence une multiplication des appariements de données provenant de différentes banques de données, car les exigences légales rigoureuses imposées pour ces procédés restent en place. L’utilisation du NAVS ne facilite qu’imperceptiblement les possibilités d’appariement de données et n’incitera donc pas davantage à regrouper des banques de données de manière illicite.

 

Le numéro AVS anonyme est déjà très utilisé

Le NAVS est aujourd’hui déjà utilisé comme identificateur personnel, en particulier dans les assurances sociales. Il peut également être utilisé en dehors des assurances sociales, à condition qu’un tel usage soit expressément prévu dans une base légale fédérale, cantonale ou communale. Pour chaque champ d’application, celle-ci doit préciser qui peut recourir au NAVS et à quelle fin. L’utilisation du NAVS doit être signalée à la Centrale de compensation du 1er pilier. Depuis l’introduction du numéro AVS à treize chiffres en 2008, son utilisation en dehors du système de sécurité sociale a beaucoup augmenté.

Le NAVS est un identificateur de personne qui – contrairement à l’ancien numéro AVS –, ne renferme aucune information sur son titulaire. Généré par un processus aléatoire, le NAVS est unique et attribué une fois pour toutes

 

 

Communiqué de presse du Conseil fédéral du 07.11.218 consultable ici

Fiche d’information « Utilisation accrue du numéro AVS : quid de la protection des données ? » du 07.11.2018 disponible ici

Rapport explicatif de l’OFAS pour la procédure de consultation disponible ici

Projet de modification de la LAVS consultable ici

 

Protection des données : la réforme sera traitée en deux temps

Protection des données : la réforme sera traitée en deux temps

 

Communiqué de presse du Parlement du 11.09.2018 consultable ici

 

La grande réforme de la législation sur la protection des données sera traitée en deux temps. Suivant le National, le Conseil des Etats s’est contenté mardi de donner son aval au volet le plus urgent visant notamment à reprendre une directive liée à Schengen.

Le “gros morceau” attendra. Au National, la droite a jugé les propositions du Conseil fédéral trop complexe et souhaite se donner le temps de les analyser. La gauche la soupçonne de vouloir au final imposer un régime très libéral en deçà des exigences européennes déjà en vigueur depuis le 25 mai.

La Chambre du peuple pourrait trancher lors de la session d’hiver. Au nom de la commission sénatoriale, Pascale Bruderer (PS/AG) a souligné l’urgence de l’ensemble du dossier et regretté le découpage opéré au National. Même amertume du côté de la conseillère fédérale Simonetta Sommaruga.

Reste que le temps presse encore plus pour le premier volet: la mise en œuvre de la directive européenne devait en principe avoir eu lieu au 1er août.

 

Retouches

La loi sur la protection sur les données n’a été retouchée qu’en quelques points. Le Parlement a précisé que le Préposé fédéral ne pouvait pas, non seulement recevoir, mais aussi solliciter d’instructions. Et ce aussi bien de la part d’une autorité que d’un tiers.

Le Préposé se verra confier la mission de sensibiliser le public à la protection des données personnelles. Son mandat ne pourra être renouvelé que deux fois.

Le Préposé ne pourra exercer aucune activité accessoire. Il pourra néanmoins y être autorisé par le Conseil fédéral pour autant que cette activité n’affecte pas l’exercice, l’indépendance et la réputation de la fonction du Préposé. Le Conseil des Etats ayant revu la formulation de cette disposition, le National doit à nouveau se prononcer.

Soutenue par Simonetta Sommaruga, la gauche s’est battue en vain pour que les opinions et activités syndicales continuent d’être explicitement mentionnées dans la loi et pas inclues dans celles politiques ou philosophiques.

 

Schengen

Pour le reste, les autres modifications législatives, dont une loi d’application parallèle ad hoc, adoptées par le Conseil des Etats règlent le traitement des données dans le cadre d’une poursuite pénale et de la coopération policière et judiciaire avec les pays membres de l’espace Schengen. Il s’agit de la reprise d’une directive de l’UE qui vise à garantir un niveau élevé de protection tout en facilitant l’échange.

La communication de données vers Schengen ne devra pas être soumise à des règles plus strictes que pour la transmission aux autorités pénales suisses. Les personnes concernées pourront demander au Préposé dans certains cas de vérifier si les données les concernant sont traitées licitement, voire demander une enquête.

Les autorités pénales veilleront à distinguer les différentes catégories de personnes concernées et les données fondées sur des faits de celles fondées sur des appréciations personnelles. La loi sur l’entraide pénale internationale a été revue. Une nouvelle disposition introduit un droit d’accès aux données personnelles visées par une demande de coopération.

Ce droit n’est pas absolu. L’autorité compétente peut refuser, restreindre ou différer la communication si cela peut compromettre une enquête ou une procédure, si un intérêt public prépondérant l’exige ou s’il en va de la protection des intérêts d’un tiers.

 

Extradition

Une restriction d’accès vise par ailleurs les données traitées dans le cadre de demandes d’arrestation en vue d’une extradition. Le but est d’éviter que des personnes recherchées puissent savoir dans quels pays elles peuvent se rendre sans risquer de se faire arrêter.

L’Office fédéral de la justice (OFJ) répondra toujours qu’aucune donnée n’est traitée illicitement et que l’on peut se tourner vers le Préposé pour vérification. Celui-ci répétera la réponse de l’OFJ ou se contentera d’indiquer qu’il a ouvert une enquête.

La personne visée par une demande de coopération internationale aura par ailleurs le droit d’exiger l’effacement ou la rectification des données inexactes le concernant. A elle d’apporter les preuves. Ce droit ne vaudra pas pour les données collectées à titre probatoire ou concernant les infractions fondant la demande de coopération. Il faudra alors s’adresser à l’Etat requérant.

Dans certains cas, l’autorité pourra limiter le traitement de données plutôt que de les effacer. La directive règle par ailleurs le transfert de données vers des pays tiers ou des organisations internationales.

 

 

Communiqué de presse du Parlement du 11.09.2018 consultable ici

 

 

 

Le Conseil fédéral prend acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données»

Le Conseil fédéral prend acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données»

 

Communiqué de presse du Conseil fédéral du 10.09.2018 consultable ici

 

Lors de sa séance du 05.09.2018, le Conseil fédéral a pris acte du rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données». Le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) a été chargé d’examiner d’ici la fin du premier semestre 2019, en collaboration avec tous les départements concernés, les 51 recommandations formulées par le groupe d’experts et de présenter au Conseil fédéral les travaux de suivi correspondants.

Après trois ans de travail, le groupe d’experts interdisciplinaire institué par le Conseil fédéral et composé de représentants issus des milieux scientifiques, économiques et administratifs a établi un rapport concernant l’avenir du traitement et de la sécurité des données. Dans ce rapport, le groupe d’experts présidé par l’ancienne conseillère nationale Brigitta M. Gadient a examiné des questions liées à l’évolution technologique, économique et politique du traitement des données, aux conséquences de cette évolution pour la société et l’économie suisses et à la viabilité du cadre légal. Le rapport tient compte du passage au numérique dans tous les domaines de notre quotidien.

Les recommandations se concentrent sur la sécurité du traitement des données, la protection de la sphère privée, l’autodétermination en matière d’information et la valeur des données. Des chapitres distincts sont consacrés à des sujets spécifiques tels que les chaînes de blocs, le rôle de l’éthique et l’importance des algorithmes. Le rapport comprend 51 recommandations qui portent sur des défis juridiques, techniques, organisationnels et politiques. Le DETEC a été chargé par le Conseil fédéral d’examiner le rapport et de définir la suite des travaux d’ici le milieu de 2019, en collaboration avec les départements concernés. Les recommandations urgentes devront si possible être traitées avant.

 

 

Communiqué de presse du Conseil fédéral du 10.09.2018 consultable ici

Rapport final du groupe d’experts «Avenir du traitement et de la sécurité des données» du 17.08.2018 (en allemand) consultable ici

 

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

Le Préposé fédéral à la protection des données a émis une recommandation concernant le programme de bonus “Helsana+”

 

Communiqué de presse du Préposé fédéral à la protection des données et à la transparence du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw

 

L’application «Helsana+» traite les données des clients qui ne disposent que de l’assurance de base auprès du groupe Helsana à des fins de remboursement partiel de leurs primes. Faute de base légale, le Préposé a recommandé de cesser ce traitement.

Le 11.10.2017, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert une procédure d’établissement des faits contre la société Helsana Assurances complémentaires SA en vertu de la loi fédérale sur la protection des données concernant le programme de bonus «Helsana+», lancé le 25.09.2017. Ce programme vise à inciter les participants à adopter un mode de vie sain et sportif : en téléchargeant l’application «Helsana+» sur leur téléphone mobile, les clients d’Helsana peuvent ainsi récolter des « points Plus » pour toute une série d’activités et les échanger contre des versements en espèces et des offres de partenaires.

 

Pas de flux de données issues de l’assurance de base lors de l’enregistrement

En s’enregistrant sur l’application Helsana+, les assurés d’Helsana Assurances complémentaires SA donnent leur accord à ce qu’on vérifie qu’ils sont assurés auprès du groupe Helsana pour l’assurance de base. Faute de base légale, la récolte de ces données relatives à l’assurance de base par l’assurance complémentaire et leur traitement subséquent par l’assurance complémentaire sont illégaux du point de vue de la protection des données et le consentement recueilli par l’application n’a aucun effet juridique. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme à ce traitement de données de l’assurance de base. Il se félicite qu’Helsana ait annoncé qu’elle allait suivre sa recommandation, même si elle conteste toute obligation légale, en adaptant volontairement le processus d’enregistrement, du moins jusqu’à ce que les tribunaux rendent une décision et que celle-ci soit entrée en force.

 

Pas de traitement de données visant à obtenir des remboursements de primes

Les points récoltés grâce au programme de bonus peuvent être convertis en avantages pécuniaires, sous la forme de versements en espèces ou de rabais auprès d’entreprises partenaires d’Helsana. Tant les personnes disposant d’une assurance complémentaire auprès d’Helsana que celles qui n’ont conclu que l’assurance de base avec elle ont cette possibilité. Pour ces dernières, les versements en espèces sont plafonnés à 75 francs par an. Faute de base légale, cette prestation s’avère illégale étant donné qu’elle revient à rembourser une partie des primes de l’assurance de base. Le PFPDT recommande donc à Helsana Assurances complémentaires SA de mettre un terme au traitement de données visant à calculer et à effectuer des remboursements sous forme pécuniaire pour les clients qui ne disposent que de l’assurance de base auprès d’Helsana.

Helsana Assurances complémentaires SA a 30 jours pour communiquer au PFPDT si elle accepte ou refuse cette recommandation. En cas de refus ou de non-observation de la recommandation, le PFPDT peut porter l’affaire devant le Tribunal administratif fédéral.

 

 

Communiqué de presse du 27.04.2018 consultable ici : https://bit.ly/2KqI5Pw