datum

datum
01/2007
Newsletter du Préposé fédéral à la protection des données et à la transparence
Editorial
Sommaire
Editorial................................................................ 1
Thèmes................................................................. 1
Exagère-t-on en matière de protection des
données? . ............................................................ 1
En bref.................................................................. 3
Lu dans la presse................................................ 3
Conseils................................................................ 3
Mise à jour............................................................ 4
Nouvelle publication:.......................................... 4
Agenda 2007........................................................ 4
Chère lectrice, cher lecteur,
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a commencé l’année 2007 sur les chapeaux de roues. En
janvier, nous avons lancé la première Journée
européenne de la protection des données, en
la faisant précéder d’une manifestation organisée le 26.1.2007 à Zurich – vous trouverez
plus de détails sur cet événement dans l’article
principal du présent numéro de datum. Dans
le même temps, il a fallu expédier les affaires
courantes, publier des rapports et des avis,
réagir à l’actualité et, last but not least, traiter les nombreuses demandes de médiation
émanant de citoyens et de citoyennes, en application du principe de la transparence dans
l’administration fédérale. Voilà pour résumer
les activités du PFPDT. Outre le compte-rendu
de la table ronde organisée à l’occasion de la
Journée de la protection des données, vous
retrouverez sous les rubriques usuelles «En
bref», «Lu dans la presse» et «Conseils» de
précieuses informations concernant la protection des données au quotidien – un éventail de
sujets allant des métadonnées inscrites dans
les documents électroniques jusqu’aux conseils portant sur les procédures d’embauche,
en passant par Migros Magazine.
Nous vous souhaitons une excellente lecture.
Eliane Schmid
Responsable de la rédaction

Thèmes
Exagère-t-on en matière de
protection des données?
Peu avant la première Journée européenne de la protection des données, qui
s’est déroulée le 28 janvier 2007, le Préposé fédéral à la protection des données
et à la transparence, PFPDT, a organisé une table ronde en collaboration avec
l’Europainstitut an der Universität Zürich, EIZ. Ayant pour thème «Exagère-t-on en
matière de protection des données», l’événement a attiré un très nombreux public et
les discussions ont été passionnantes et animées.
L
datum est une publication du Préposé fédéral à
la protection des donnés et à la transparence et
paraît deux fois par an.
Les contributions tirées de datum peuvent être
copiées ou diffusées librement, à condition d’en
indiquer la source.
e 28 janvier 1981, les membres du Conseil de l’Europe ont signé la convention
108, ou «Convention pour la protection
des personnes à l‘égard du traitement automatisé des données à caractère personnel».
C’est sur la base de cet acte que les législations nationales relatives à la protection
des données ont ensuite été élaborées. En
avril 2006, le Conseil de l’Europe a décidé
d’instaurer une journée annuelle de la protection des données, pour marquer l’anniversaire
de la signature de la convention 108. Cette
journée vise à sensibiliser le grand public: le
Conseil de l’Europe déplore en effet une méconnaissance générale des problèmes liés à
la protection des données, qu’il s’agisse des
droits individuels qui y sont associés ou du
traitement conforme des données personnelles. La Journée européenne de la protection des données a donc pour but d’instruire
et d’expliquer, d’attirer l’attention sur les risques au quotidien et d’apprendre aux citoyennes et aux citoyens quels sont leurs droits.
À cette occasion, le 26 janvier 2007 à midi, M.
Casper Selg, chef de la rubrique d’information
Echo der Zeit de la Schweizer Radio DRS, a
animé une discussion de haut niveau devant
une salle comble au siège de la corporation
zur Zimmerleuten à Zurich. La table ronde,
réunissant la conseillère nationale Anita Thanei (PS/ZH), le conseiller national Filippo Leutenegger (PRD/ZH), M. Thomas Pletscher,
datum 01/2007
membre de la direction d’economiesuisse,
et le PFPDT, M. Hanspeter Thür, a permis
l’expression d’opinions contradictoires sur
des questions d’actualité concernant la protection des données.
Quelle marge de manœuvre laisser aux
entreprises et à l’État?
Les représentants de l’économie en particulier et du parti qui lui est lié suggèrent de
distinguer entre les collectes de données
émanant de l’Etat et celles effectuées par
les entreprises. C’est ainsi que M. Leutenegger a mis en avant le danger que représente la collecte de données par l’État,
en raison des inconvénients concrets qui
peuvent en résulter pour les citoyennes et
les citoyens. Par contre, la collecte
de données par les entreprises devrait jouir d’une plus grande liberté.
M. Pletscher s’est quant à lui montré
préoccupé par l’interconnexion croissante entre l’État et les entreprises. Il
a souligné qu’au vu des directives enjoignant aux entreprises de télécommunication de l’UE de conserver au
moins pendant six mois les données
relatives aux communications établies par leurs clients, il était inadmissible que des entreprises collectent
des données dont elles n’ont même
pas besoin pour la bonne marche de
leurs affaires, uniquement pour venir
en aide à l’État, et ce indistinctement,
la plupart du temps sans la moindre
présomption de délit. Les intervenants
ont généralement reconnu qu’il était
inadmissible que des données personnelles soient engrangées pour la
simple raison que les moyens techniques le permettaient, et qu’on aille ensuite
y puiser selon les besoins. Mme Thanei et
M. Thür ont cependant tous deux fait remarquer que l’économie devait apporter son
aide à l’État dans le domaine de la lutte contre la criminalité et le terrorisme, en respectant toutefois les prescriptions légales. Le
PFPDT a par ailleurs critiqué l’attitude trop
souvent ambivalente de l’économie à l’égard
de la protection des données: lorsqu’il s’agit
de collecter des données relatives à leurs
clients, les entreprises veulent le moins
d’entraves possible, mais dès qu’il s’agit de
concurrence avec d’autres établissements,
la protection des données revêt tout à coup
une importance capitale.
De la fiche en papier à l’analyse des
transactions par carte de crédit
L’animateur, M. Selg a déclenché un vif
débat en demandant aux participants où
se situaient, à leurs yeux, les plus grands
problèmes de protection des données pour
la décennie à venir. Pour M. Leutenegger la
menace viendrait essentiellement de l’État,
et il s’en est pris une fois encore au fait que
les entreprises risquaient de devenir des
auxiliaires de l’État dans la lutte contre le
terrorisme et dans d’autres domaines. De
l’avis de M. Pletscher, c’est surtout le SPAM
qui pourrait devenir un problème majeur, en
engendrant des coûts élevés et en paralysant les systèmes. Mme Thanei a elle aussi
90, les données personnelles avaient été
recueillies sur des fiches en papier, alors
qu’aujourd’hui 20 millions de détenteurs de
cartes de crédit peuvent être contrôlés en
un rien de temps. M. Thür a fait observer
qu’on entrait là dans une tout autre dimension. Il a également souligné les dangers que
pose la miniaturisation des techniques. La
taille et le coût des moyens de surveillance
seraient en constante diminution, non seulement pour les autorités, mais encore pour
votre voisin.
De quel niveau de protection des données avons-nous besoin?
Au vu de ces développements bien réels,
on doit se demander quels sont les moyens
de parer au danger et si la loi révisée
sur la protection des données (LPD)
est adéquate. Les quatre hôtes de la
table ronde sont tombés d’accord sur
le fait que la loi ne permettra pas de
résoudre les problèmes abordés dans
la discussion. Tant M. Leutenegger
que M. Pletscher ont mis en avant un
problème au niveau de l’application
de la loi. D’une part, celle-ci ne serait pas toujours claire; d’autre part,
elle imposerait un travail administratif
considérable aux entreprises. D’après
M. Pletscher, ce n’est pas le nombre de paragraphes qui détermine la
qualité de la protection des données,
c’est l’esprit dans lequel ils sont mis
en œuvre. Les dangers ne pouvant
être éliminés par la voie législative,
la LPD est par nature insuffisante. La
responsabilité d’agir incombe à chacune et à chacun d’entre nous. Pour sa
Le dépliant de la première Journée de la protection des données
part, Mme Thanei a critiqué le délayage regrettable de la révision partielle de la
évoqué les graves menaces qu’elle perçoit
LPD auquel se serait livré le Parlement. Elle
dans le domaine de la lutte contre le terroa qualifié la loi d’inopérante. M. Thür a derisme et la criminalité, tout en lançant égalemandé davantage de transparence et soument une mise en garde contre l’abus des
ligné l’importance du processus de certificadonnées personnelles dans les domaines
tion introduit lors de la révision de la loi sur
de la santé et de la surveillance des lieux
la protection des données, à savoir un label
de travail. Elle a précisé que la protection
permettant aux entreprises de montrer à
des données ne devait évidemment pas se
leurs clientes et à leurs clients qu’elles sont
transformer en protection des délinquants ;
sensibilisées et qu’elles font leur possible.
elle s’en est toutefois prise à la législation
À l’issue de cette vive discussion, les partisuisse en matière de protection de l’État et
cipants sont largement tombés d’accord sur
en matière de systèmes d’information de
le fait qu’on ne saurait parler d’exagération
police issus des événements du 11.9.2001.
en matière de protection des données et
Pour le préposé à la protection des donqu’il reste encore beaucoup à faire – pour
nées, M. Thür, le plus gros danger viendrait
les responsables de la protection des dondu développement technologique: pendant
nées, pour le monde politique, mais aussi
l’affaire des fiches du début des années
pour tout un chacun.

datum 01/2007
En bref
Effacement des méta-informations
Dans notre édition d’octobre dernier (datum
02/2006), sous la rubrique «Conseils» consacrée au mode correction appliqué aux documents Word, nous avons publié une mise
en garde contre le risque posé par «d’autres
contenus secrets», connus sous le nom de
méta-informations. Celles-ci peuvent révéler à un œil avisé des détails concernant le
document ou son élaboration, détails que
l’auteur préférerait garder cachés. Il peut
s’agir notamment de la date de la dernière impression, de la date et de l’expéditeur
des dernières modifications, du temps
passé à élaborer le document (total editing
time), etc. Avant de rendre vos documents
accessibles à autrui, vous devriez analyser ces méta-informations et les effacer le
cas échéant. Vous trouverez sur Internet
des outils pour ce faire, par exemple Doc
Scrubber 1.1 (1). Ce programme efface de
nombreuses données cachées potentiellement dommageables, permet de nettoyer
plusieurs documents en même temps, et
ce, dans différents formats Microsoft Word,
notamment les versions Word 97, 2000 et
2002. L’utilisation à titre privé en est gratuite.
Entre-temps, Microsoft a développé des ap-
plications analogues pour les produits plus
récents: l’outil Remove Hidden Data (2), qui
ne s’applique plus seulement à Word, mais
à tout l’environnement Office 2002/2003, et
le Document Inspector (3) pour le système
Office 2007.
Nous considérons qu’il s’agit là d’un cas-limite. Conformément à la loi sur la protection
des données (LPD), la publication de données personnelles doit reposer sur un motif
justificatif. Celui-ci peut prendre la forme du
consentement de la personne concernée,
d’une loi ou d’un intérêt prépondérant, privé
ou public. Or, la rubrique «Perdu de vue»
ne repose sur aucune base légale, le consentement de la personne recherchée ne
peut évidemment pas exister et on ne peut
guère admettre que toutes ces petites annonces se justifient par un intérêt public ou
privé prépondérant. Au point de vue de la
protection des données, l’affaire n’est donc
pas très nette – plus les indications fournies
dans l’annonce sont détaillées, plus on peut
craindre que l’annonce ne porte atteinte à la
loi. Toutefois, comme la rubrique en question répond manifestement à un besoin et
que les plaintes qui nous sont parvenues
sont très peu nombreuses, nous en appelons au bon sens des auteurs des annonces
et à celui de la rédaction pour que seules
les données absolument indispensables à
l’identification des personnes recherchées
soient publiées.
d’un hôpital pourrait mettre en danger la
femme enceinte ou l’enfant à naître. En
règle générale, le candidat ou la candidate
est toutefois tenu de donner des renseignements conformes à la vérité, dès lors que
les questions sont admissibles.
et objectifs que possible. Les candidats
doivent en outre avoir donné leur consentement à des tests d’embauche de ce type et
pouvoir accéder à leurs résultats.
Liens:
 (1) http://www.docscrubber.com
 (2) http://www.microsoft.com/downloads/details.aspx?familyid=144E54ED-D43E-42CABC7B-5446D34E5360&displaylang=en
 (3) (http://office.microsoft.com/en-us/help/
HA100375931033.aspx)
Lu dans la presse
On recherche...
Sur son site web aussi bien que dans son
Magazine, la Migros a ouvert une rubrique
«Perdu de vue» grâce à laquelle il est possible de rechercher des personnes dont on
n’a plus de nouvelles depuis longtemps
– que ce soit une ancienne camarade de
classe, un copain d’école de recrue ou un
parent dont on a perdu la trace. On peut se
demander si cette rubrique est compatible
avec la protection des données, dans la mesure où des détails parfois très personnels y
sont divulgués.
Source:
 Migros Magazine, div. éditions, http://www.
migrosmagazine.ch/
Conseils
Embauche et données personnelles
La question du traitement des données
dans les procédures d’embauche constitue un thème récurrent. De nombreuses
personnes savent aujourd’hui qu’elles ne
sont pas tenues de répondre à toutes les
questions, ou même qu’elles peuvent revendiquer un «droit de mentir en légitime
défense» lors d’un entretien d’embauche.
Les questions touchant à des domaines
sensibles (santé, grossesse, orientation
politique ou religieuse, appartenance à des
associations, etc.) ne sont notamment admissibles que si elles ont un lien direct avec
le poste à pourvoir. C’est ainsi par exemple
que le travail dans le service radiologique
De son côté l’employeur doit veiller à la
pertinence de ses questions et à l’équité de
leur dépouillement. Les questions relatives
à la carrière et aux perspectives professionnelles des candidats font partie de ce qui
est admissible, de même que certains tests
(expertises graphologiques, tests de personnalité, etc.), à condition que ces derniers
soient utiles et réalisés par des spécialistes,
afin que leurs résultats soient aussi fiables
Enfin, les dossiers des candidats non retenus doivent leur être rendus à l’issue de la
procédure d’embauche et les copies éventuelles détruites. Cette obligation s’impose
également aux résultats de tests et aux expertises commandés par l’employeur.
Voyez également le guide du PFPDT pour
le traitement des données personnelles
dans le secteur du travail:
 http://www.edoeb.admin.ch/dokumentation/00445/00472/00535/index.html?lang=fr
datum 01/2007
Mise à jour
La fonction de médiateur exercée par le
PFPDT dans le cadre de la loi sur la transparence est désormais présentée sur notre
page web – nous publions régulièrement
de nouvelles recommandations relatives
aux demandes de médiation qui nous parviennent.
Lien:
 http://www.edoeb.admin.ch/dokumentation/00652/01062/index.html?lang=fr
Nouvelle publication:
Schweizer, Alex. Customer Relationship Management. Datenschutz- und Privatrechtsverletzungen beim CRM. Editions Weblaw, Bern 2007
(en allemand).
Agenda 2007
2 juillet 2007
Conférence de presse annuelle du PFPDT, publication du 14e rapport d’activités
Octobre 2007 datum 2/07