datum
Transcription
datum
datum 01/2007 Newsletter du Préposé fédéral à la protection des données et à la transparence Editorial Sommaire Editorial................................................................ 1 Thèmes................................................................. 1 Exagère-t-on en matière de protection des données? . ............................................................ 1 En bref.................................................................. 3 Lu dans la presse................................................ 3 Conseils................................................................ 3 Mise à jour............................................................ 4 Nouvelle publication:.......................................... 4 Agenda 2007........................................................ 4 Chère lectrice, cher lecteur, Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a commencé l’année 2007 sur les chapeaux de roues. En janvier, nous avons lancé la première Journée européenne de la protection des données, en la faisant précéder d’une manifestation organisée le 26.1.2007 à Zurich – vous trouverez plus de détails sur cet événement dans l’article principal du présent numéro de datum. Dans le même temps, il a fallu expédier les affaires courantes, publier des rapports et des avis, réagir à l’actualité et, last but not least, traiter les nombreuses demandes de médiation émanant de citoyens et de citoyennes, en application du principe de la transparence dans l’administration fédérale. Voilà pour résumer les activités du PFPDT. Outre le compte-rendu de la table ronde organisée à l’occasion de la Journée de la protection des données, vous retrouverez sous les rubriques usuelles «En bref», «Lu dans la presse» et «Conseils» de précieuses informations concernant la protection des données au quotidien – un éventail de sujets allant des métadonnées inscrites dans les documents électroniques jusqu’aux conseils portant sur les procédures d’embauche, en passant par Migros Magazine. Nous vous souhaitons une excellente lecture. Eliane Schmid Responsable de la rédaction Thèmes Exagère-t-on en matière de protection des données? Peu avant la première Journée européenne de la protection des données, qui s’est déroulée le 28 janvier 2007, le Préposé fédéral à la protection des données et à la transparence, PFPDT, a organisé une table ronde en collaboration avec l’Europainstitut an der Universität Zürich, EIZ. Ayant pour thème «Exagère-t-on en matière de protection des données», l’événement a attiré un très nombreux public et les discussions ont été passionnantes et animées. L datum est une publication du Préposé fédéral à la protection des donnés et à la transparence et paraît deux fois par an. Les contributions tirées de datum peuvent être copiées ou diffusées librement, à condition d’en indiquer la source. e 28 janvier 1981, les membres du Conseil de l’Europe ont signé la convention 108, ou «Convention pour la protection des personnes à l‘égard du traitement automatisé des données à caractère personnel». C’est sur la base de cet acte que les législations nationales relatives à la protection des données ont ensuite été élaborées. En avril 2006, le Conseil de l’Europe a décidé d’instaurer une journée annuelle de la protection des données, pour marquer l’anniversaire de la signature de la convention 108. Cette journée vise à sensibiliser le grand public: le Conseil de l’Europe déplore en effet une méconnaissance générale des problèmes liés à la protection des données, qu’il s’agisse des droits individuels qui y sont associés ou du traitement conforme des données personnelles. La Journée européenne de la protection des données a donc pour but d’instruire et d’expliquer, d’attirer l’attention sur les risques au quotidien et d’apprendre aux citoyennes et aux citoyens quels sont leurs droits. À cette occasion, le 26 janvier 2007 à midi, M. Casper Selg, chef de la rubrique d’information Echo der Zeit de la Schweizer Radio DRS, a animé une discussion de haut niveau devant une salle comble au siège de la corporation zur Zimmerleuten à Zurich. La table ronde, réunissant la conseillère nationale Anita Thanei (PS/ZH), le conseiller national Filippo Leutenegger (PRD/ZH), M. Thomas Pletscher, datum 01/2007 membre de la direction d’economiesuisse, et le PFPDT, M. Hanspeter Thür, a permis l’expression d’opinions contradictoires sur des questions d’actualité concernant la protection des données. Quelle marge de manœuvre laisser aux entreprises et à l’État? Les représentants de l’économie en particulier et du parti qui lui est lié suggèrent de distinguer entre les collectes de données émanant de l’Etat et celles effectuées par les entreprises. C’est ainsi que M. Leutenegger a mis en avant le danger que représente la collecte de données par l’État, en raison des inconvénients concrets qui peuvent en résulter pour les citoyennes et les citoyens. Par contre, la collecte de données par les entreprises devrait jouir d’une plus grande liberté. M. Pletscher s’est quant à lui montré préoccupé par l’interconnexion croissante entre l’État et les entreprises. Il a souligné qu’au vu des directives enjoignant aux entreprises de télécommunication de l’UE de conserver au moins pendant six mois les données relatives aux communications établies par leurs clients, il était inadmissible que des entreprises collectent des données dont elles n’ont même pas besoin pour la bonne marche de leurs affaires, uniquement pour venir en aide à l’État, et ce indistinctement, la plupart du temps sans la moindre présomption de délit. Les intervenants ont généralement reconnu qu’il était inadmissible que des données personnelles soient engrangées pour la simple raison que les moyens techniques le permettaient, et qu’on aille ensuite y puiser selon les besoins. Mme Thanei et M. Thür ont cependant tous deux fait remarquer que l’économie devait apporter son aide à l’État dans le domaine de la lutte contre la criminalité et le terrorisme, en respectant toutefois les prescriptions légales. Le PFPDT a par ailleurs critiqué l’attitude trop souvent ambivalente de l’économie à l’égard de la protection des données: lorsqu’il s’agit de collecter des données relatives à leurs clients, les entreprises veulent le moins d’entraves possible, mais dès qu’il s’agit de concurrence avec d’autres établissements, la protection des données revêt tout à coup une importance capitale. De la fiche en papier à l’analyse des transactions par carte de crédit L’animateur, M. Selg a déclenché un vif débat en demandant aux participants où se situaient, à leurs yeux, les plus grands problèmes de protection des données pour la décennie à venir. Pour M. Leutenegger la menace viendrait essentiellement de l’État, et il s’en est pris une fois encore au fait que les entreprises risquaient de devenir des auxiliaires de l’État dans la lutte contre le terrorisme et dans d’autres domaines. De l’avis de M. Pletscher, c’est surtout le SPAM qui pourrait devenir un problème majeur, en engendrant des coûts élevés et en paralysant les systèmes. Mme Thanei a elle aussi 90, les données personnelles avaient été recueillies sur des fiches en papier, alors qu’aujourd’hui 20 millions de détenteurs de cartes de crédit peuvent être contrôlés en un rien de temps. M. Thür a fait observer qu’on entrait là dans une tout autre dimension. Il a également souligné les dangers que pose la miniaturisation des techniques. La taille et le coût des moyens de surveillance seraient en constante diminution, non seulement pour les autorités, mais encore pour votre voisin. De quel niveau de protection des données avons-nous besoin? Au vu de ces développements bien réels, on doit se demander quels sont les moyens de parer au danger et si la loi révisée sur la protection des données (LPD) est adéquate. Les quatre hôtes de la table ronde sont tombés d’accord sur le fait que la loi ne permettra pas de résoudre les problèmes abordés dans la discussion. Tant M. Leutenegger que M. Pletscher ont mis en avant un problème au niveau de l’application de la loi. D’une part, celle-ci ne serait pas toujours claire; d’autre part, elle imposerait un travail administratif considérable aux entreprises. D’après M. Pletscher, ce n’est pas le nombre de paragraphes qui détermine la qualité de la protection des données, c’est l’esprit dans lequel ils sont mis en œuvre. Les dangers ne pouvant être éliminés par la voie législative, la LPD est par nature insuffisante. La responsabilité d’agir incombe à chacune et à chacun d’entre nous. Pour sa Le dépliant de la première Journée de la protection des données part, Mme Thanei a critiqué le délayage regrettable de la révision partielle de la évoqué les graves menaces qu’elle perçoit LPD auquel se serait livré le Parlement. Elle dans le domaine de la lutte contre le terroa qualifié la loi d’inopérante. M. Thür a derisme et la criminalité, tout en lançant égalemandé davantage de transparence et soument une mise en garde contre l’abus des ligné l’importance du processus de certificadonnées personnelles dans les domaines tion introduit lors de la révision de la loi sur de la santé et de la surveillance des lieux la protection des données, à savoir un label de travail. Elle a précisé que la protection permettant aux entreprises de montrer à des données ne devait évidemment pas se leurs clientes et à leurs clients qu’elles sont transformer en protection des délinquants ; sensibilisées et qu’elles font leur possible. elle s’en est toutefois prise à la législation À l’issue de cette vive discussion, les partisuisse en matière de protection de l’État et cipants sont largement tombés d’accord sur en matière de systèmes d’information de le fait qu’on ne saurait parler d’exagération police issus des événements du 11.9.2001. en matière de protection des données et Pour le préposé à la protection des donqu’il reste encore beaucoup à faire – pour nées, M. Thür, le plus gros danger viendrait les responsables de la protection des dondu développement technologique: pendant nées, pour le monde politique, mais aussi l’affaire des fiches du début des années pour tout un chacun. datum 01/2007 En bref Effacement des méta-informations Dans notre édition d’octobre dernier (datum 02/2006), sous la rubrique «Conseils» consacrée au mode correction appliqué aux documents Word, nous avons publié une mise en garde contre le risque posé par «d’autres contenus secrets», connus sous le nom de méta-informations. Celles-ci peuvent révéler à un œil avisé des détails concernant le document ou son élaboration, détails que l’auteur préférerait garder cachés. Il peut s’agir notamment de la date de la dernière impression, de la date et de l’expéditeur des dernières modifications, du temps passé à élaborer le document (total editing time), etc. Avant de rendre vos documents accessibles à autrui, vous devriez analyser ces méta-informations et les effacer le cas échéant. Vous trouverez sur Internet des outils pour ce faire, par exemple Doc Scrubber 1.1 (1). Ce programme efface de nombreuses données cachées potentiellement dommageables, permet de nettoyer plusieurs documents en même temps, et ce, dans différents formats Microsoft Word, notamment les versions Word 97, 2000 et 2002. L’utilisation à titre privé en est gratuite. Entre-temps, Microsoft a développé des ap- plications analogues pour les produits plus récents: l’outil Remove Hidden Data (2), qui ne s’applique plus seulement à Word, mais à tout l’environnement Office 2002/2003, et le Document Inspector (3) pour le système Office 2007. Nous considérons qu’il s’agit là d’un cas-limite. Conformément à la loi sur la protection des données (LPD), la publication de données personnelles doit reposer sur un motif justificatif. Celui-ci peut prendre la forme du consentement de la personne concernée, d’une loi ou d’un intérêt prépondérant, privé ou public. Or, la rubrique «Perdu de vue» ne repose sur aucune base légale, le consentement de la personne recherchée ne peut évidemment pas exister et on ne peut guère admettre que toutes ces petites annonces se justifient par un intérêt public ou privé prépondérant. Au point de vue de la protection des données, l’affaire n’est donc pas très nette – plus les indications fournies dans l’annonce sont détaillées, plus on peut craindre que l’annonce ne porte atteinte à la loi. Toutefois, comme la rubrique en question répond manifestement à un besoin et que les plaintes qui nous sont parvenues sont très peu nombreuses, nous en appelons au bon sens des auteurs des annonces et à celui de la rédaction pour que seules les données absolument indispensables à l’identification des personnes recherchées soient publiées. d’un hôpital pourrait mettre en danger la femme enceinte ou l’enfant à naître. En règle générale, le candidat ou la candidate est toutefois tenu de donner des renseignements conformes à la vérité, dès lors que les questions sont admissibles. et objectifs que possible. Les candidats doivent en outre avoir donné leur consentement à des tests d’embauche de ce type et pouvoir accéder à leurs résultats. Liens: (1) http://www.docscrubber.com (2) http://www.microsoft.com/downloads/details.aspx?familyid=144E54ED-D43E-42CABC7B-5446D34E5360&displaylang=en (3) (http://office.microsoft.com/en-us/help/ HA100375931033.aspx) Lu dans la presse On recherche... Sur son site web aussi bien que dans son Magazine, la Migros a ouvert une rubrique «Perdu de vue» grâce à laquelle il est possible de rechercher des personnes dont on n’a plus de nouvelles depuis longtemps – que ce soit une ancienne camarade de classe, un copain d’école de recrue ou un parent dont on a perdu la trace. On peut se demander si cette rubrique est compatible avec la protection des données, dans la mesure où des détails parfois très personnels y sont divulgués. Source: Migros Magazine, div. éditions, http://www. migrosmagazine.ch/ Conseils Embauche et données personnelles La question du traitement des données dans les procédures d’embauche constitue un thème récurrent. De nombreuses personnes savent aujourd’hui qu’elles ne sont pas tenues de répondre à toutes les questions, ou même qu’elles peuvent revendiquer un «droit de mentir en légitime défense» lors d’un entretien d’embauche. Les questions touchant à des domaines sensibles (santé, grossesse, orientation politique ou religieuse, appartenance à des associations, etc.) ne sont notamment admissibles que si elles ont un lien direct avec le poste à pourvoir. C’est ainsi par exemple que le travail dans le service radiologique De son côté l’employeur doit veiller à la pertinence de ses questions et à l’équité de leur dépouillement. Les questions relatives à la carrière et aux perspectives professionnelles des candidats font partie de ce qui est admissible, de même que certains tests (expertises graphologiques, tests de personnalité, etc.), à condition que ces derniers soient utiles et réalisés par des spécialistes, afin que leurs résultats soient aussi fiables Enfin, les dossiers des candidats non retenus doivent leur être rendus à l’issue de la procédure d’embauche et les copies éventuelles détruites. Cette obligation s’impose également aux résultats de tests et aux expertises commandés par l’employeur. Voyez également le guide du PFPDT pour le traitement des données personnelles dans le secteur du travail: http://www.edoeb.admin.ch/dokumentation/00445/00472/00535/index.html?lang=fr datum 01/2007 Mise à jour La fonction de médiateur exercée par le PFPDT dans le cadre de la loi sur la transparence est désormais présentée sur notre page web – nous publions régulièrement de nouvelles recommandations relatives aux demandes de médiation qui nous parviennent. Lien: http://www.edoeb.admin.ch/dokumentation/00652/01062/index.html?lang=fr Nouvelle publication: Schweizer, Alex. Customer Relationship Management. Datenschutz- und Privatrechtsverletzungen beim CRM. Editions Weblaw, Bern 2007 (en allemand). Agenda 2007 2 juillet 2007 Conférence de presse annuelle du PFPDT, publication du 14e rapport d’activités Octobre 2007 datum 2/07