Révision de la loi sur la protection des données du canton de Fribourg

Avant-projet du 27 novembre 2019 portant sur la révision totale de loi fribourgeoise sur la protection des données (LPrD) – procédure de consultation[1]

Prise de position publique à l’intention de l’Autorité cantonale de la transparence et de la protection des données, Rue des Chanoines 2, 1701 Fribourg, (SecretariatATPrD@fr.ch)

Remarques introductives

La Suisse, partie à la Convention 108 et ayant signé la Convention 108+[2] le 21 novembre dernier, devrait, selon l’objectif du Conseil fédéral[3], pouvoir ratifier le protocole d’amendement à la Convention 108, dans le courant de l’année 2020. Cela exige au préalable que le Parlement helvétique ait achevé les travaux de révision totale de la loi fédérale du 19 juin 1992 sur la protection des données et que celle-ci soit conforme aux exigences de la Convention 108+. Cela nécessite également que l’ensemble des cantons suisses révisent leur législation de protection des données.

Dans cette optique et s’inscrivant dans le mouvement de modernisation, en Suisse et en Europe, du droit à la protection des données, le canton de Fribourg a mis en consultation un projet de révision totale de la loi cantonale du 24 novembre 1994 sur la protection des données (LPrD) avec pour objectif de répondre aux développements, notamment technologiques, intervenus depuis son adoption et de se mettre en conformité avec la Convention 108+. Le projet tient compte du projet fédéral de révision de la LPD, sans pour autant en faire un copier-coller, ce qui est à saluer. Il s’inspire également de solutions retenues dans d’autres cantons qui ont eu des effets positifs reconnus.

Dans l’ensemble, le projet présenté est conforme aux exigences de la Convention 108+, ce qui est à saluer. En proposant de reprendre les nouveaux standards de protection des données, notamment ceux de la Convention 108+, le projet doit permettre de renforcer la protection des droits humains et des libertés fondamentales, notamment le droit à la vie privée des personnes sujets du traitement de données personnelles, sans pour autant entraver le travail des responsables de traitement ou empêcher la numérisation bien comprise des activités administratives. L’approche suivie dans le projet, notamment basée sur le risque est globalement positive. Elle permet en effet d’inscrire le projet cantonal dans le mouvement des législations modernes de protection des données.  On dénote cependant quelques écarts avec le droit européen ou le droit fédéral, notamment au niveau de la terminologie et des définitions, auxquels il serait souhaitable de remédier. La sécurité juridique postule en effet qu’on ne s’écarte pas sans raison des termes utilisés dans les autres législations et notamment dans la Convention 108+ pour éviter des problèmes d’interprétation et d’application. L’indépendance de l’autorité de surveillance, en particulier au niveau budgétaire devrait être renforcée. Contrairement au droit européen et notamment au RGPD ou à la directive (UE) 2016/680 sur la protection des données dans le domaine de la police et de la justice, dont l’article 57 donne mandat aux États de prévoir un régime de sanctions effectives, dissuasives et proportionnées, le projet ne prévoit pas de sanctions administratives – comme d’ailleurs le projet fédéral de LPD révisé – en cas de violation de la LPrD ou de non-respect des décisions de l’autorité de surveillance. L’introduction d’un droit au déréférencement et d’un droit à la portabilité, lequel a été introduit dans le projet fédéral, ainsi que d’un droit d’opposition au traitement (prévu par la Convention 108+) seraient à saluer.

Concernant le maintien des personnes morales dans le champ d’application de la LPrD, nous pouvons comprendre le choix des auteurs du projet. Toutefois, il convient de souligner que la Convention 108+ a biffé la possibilité pour les Parties d’étendre la protection des données aux personnes morales, estimant que la protection des droits de personnes morales pouvait être assurée par d’autres normes. En outre, la pratique – du moins au niveau fédéral – démontre que les personnes morales ne recourent pas à la protection des données pour défendre leurs droits. Il est par contre certain que les exigences de légalité, de proportionnalité et de finalité en particulier, doivent être maintenues pour le traitement des données relatives aux personnes morales. Le législateur fédéral a de ce fait choisi l’option de prévoir quelques règles spécifiques aux personnes morales dans LOGA et non dans la LPD.

Commentaire des dispositions

Article 1

L’article 1 énonce le but de la LPrD, à savoir la garantie des droits fondamentaux des personnes dont les données personnelles font l’objet d’un traitement. Le droit à la protection des données ne se limite pas au respect des droits fondamentaux qui peuvent être touchés par le traitement des données personnelles, mais concerne l’ensemble des droits humains et des libertés fondamentales et notamment le droit au respect de la vie privée. Pour éviter toute ambigüité sur la portée de la loi, il serait souhaitable de revoir la formulation et de l’aligner sur l’article 1 de la Convention 108+.

Article 4

La définition de données personnelles (let. a) introduit dans sa formulation une nuance par rapport aux définitions retenues dans la Convention 108 et dans la LPD. La LPrD parle de données se rapportant à une personne identifiée ou identifiable alors que la Convention 108 et la LPD se réfèrent à des données concernant une personne identifiée ou identifiable. Pour éviter toute divergence d’interprétation, il serait opportun de reprendre la définition standard de la Convention et de la LPD.

Le projet prévoit une définition d’un identifiant commun de personne (let d). Il s’agit d’une innovation que l’on ne retrouve pas dans le droit fédéral, voire dans la législation européenne. Si l’on comprend l’intention des auteurs du projet et en particulier l’effort d’encadrer le recours à un identifiant, il serait préférable de recourir à un vocable généralement utilisé, comme le numéro personnel d’identification ou l’identifiant universel. En outre, il serait bien de préciser dans la définition que ce numéro ou cet identifiant doit être non signifiant, c.à.d ne pas contenir d’informations permettant de déduire des informations sur une personne et de la rendre identifiable en « décryptant » l’identifiant (voir art. 25 OLPD, RS 235.11).

Si l’introduction de la notion de profilage (let f) dans LPrD est à saluer, sa formulation qui est identique à celle proposée par le Conseil fédéral pour la LPD, devra néanmoins être adaptée et s’aligner sur celle finalement retenue au plan fédéral et qui devrait être plus en ligne avec la définition du RGPD[4]. Par contre, nous ne retiendrions pas la proposition du Conseil des États d’introduire une notion de profilage présentant un risque élevé, car la notion de profilage concerne uniquement des activités qui présentent par définition un potentiel élevé d’atteintes aux droits humains et libertés fondamentales[5].

Article 5

S’il est juste de prévoir que le recours à un identifiant doit reposer sur une base légale, cette base légale devrait être prévue dans une loi au sens formel. En effet, le recours à un identifiant est un traitement à risque élevé dont l’utilisation doit être limité au strict nécessaire pour éviter des appariements ou l’interconnexion des données et des traitements disproportionnés et de légitimer trop facilement l’accès aux données pour des finalités différentes, voire incompatibles. Pour minimiser les risques liés au recours à un identifiant unique (qui sera selon toute vraisemblance le numéro AVS), il faudrait privilégier le recours à des identifiants sectoriels.

Article 6

Le recours au consentement pour des traitements de données par des organes publics devrait demeurer l’exception et se limiter à des situations particulières. En effet dans le secteur public, les situations où la personne est en mesure de consentir librement sont plutôt limitées. On ne peut ainsi se baser sur le consentement pour l’octroi de prestations ou de services de l’administration qui peuvent concerner l’ensemble des administré/es ou du moins un grand nombre d’entre eux/elles. On pense en particulier au recours au guichet virtuel dont l’usage devrait dans le futur se généraliser.

Pour être conforme au droit européen et notamment à la Convention 108+, le consentement se doit d’être non seulement libre et informé mais également spécifique et non équivoque. En présence de données sensibles ou de profilage, il devrait être explicite.

Les alinéas 2 et 3 qui assurent d’une part la transparence quant au caractère facultatif du consentement et qui d’autre part confère au responsable du traitement la responsabilité de démontrer l’existence du consentement lorsqu’il est demandé, sont à saluer.

Article 7

Le recours au consentement (al. 2) pour justifier un changement de finalité ne doit pas devenir la règle. Il ne peut intervenir pour être conforme à l’art. 11 de la Convention 108+ que s’il s’agit d’une mesure nécessaire et proportionnée dans une société démocratique à la protection de la personne concernée. Le motif invoqué dans le rapport explicatif, à savoir la mise en œuvre de la stratégie cantonale de cyberadministration, qui prévoit la possibilité pour les administrés de décider d’utiliser leurs données afin de bénéficier de services à la carte, n’est pas convainquant et n’entre pas dans les exceptions aux termes de l’art. 11 de la Convention 108+. Si la possibilité d’obtenir certains services à la carte est à saluer, elle devrait néanmoins faire l’objet d’une réglementation et définir quelles données sont nécessaires lorsqu’un/e administré/e recourt à un tel service. En outre, afin d’éviter que certaines catégories de la population, notamment des personnes vulnérables soient pénalisée, il est nécessaire de développer une politique d’inclusion permettant à toutes et tous d’avoir accès à la cyberadministration.

Article 8

Le terme « mode » pourrait être biffé. En effet l’exigence de proportionnalité vise non seulement les données, mais également le traitement dans tous ses aspects (choix des moyens, étapes du traitement, modalités, durée, etc.)

Article 10

A l’alinéa 2, il serait judicieux de préciser, que les données non seulement « servent exclusivement à des fins ne se rapportant pas à la personne » mais également qu’il n’y pas de risque identifiable d’atteinte aux droits et libertés fondamentales des personnes concernées.

Article 11

Il faudrait rajouter l’utilisation d’un identifiant unique. Parmi les dispositions nécessaires pour diminuer le risque, comme relevé au sujet de l’art. 5, il y a le recours à des identifiants sectoriels.

Article 12

L’alinéa 1 est-il vraiment nécessaire ? Cela nous parait couvert par les articles 5 et 6. S’il est maintenu, il devrait être modifié pour être aligné sur les articles 5 et 6. En particulier, on ne voit pas à quoi se réfèrent les circonstances particulières.

Articles 13ss

Il s’agit de dispositions centrales du projet qui doit garantir la transparence de la collecte de données et qui doivent faciliter l’exercice de leurs droits par les personnes concernées. Pour être conforme à la Convention 108+, le catalogue des informations à fournir de l’article 13 devrait être complété par une information sur les bases légales du traitement, les catégories de données traitées et les moyens des personnes d’exercer leurs droits. En outre, il faudrait ajouter que le responsable du traitement doit, le cas échéant, donner d’autres informations complémentaires nécessaires à garantir un traitement loyal et transparent des données personnelles.

A l’article 14, la lettre b) doit se limiter au cas de la collecte auprès d’un autre organe ou d’un tiers.

Article 20

La différence entre externalisation et la sous-traitance régie par l’article 37 n’est pas évidente. L’externalisation est en soi de la sous-traitance. Les arguments du rapport explicatif ne sont pas convaincants. Il conviendrait de fusionner les deux dispositions.

A l’alinéa 3, nous proposons de prévoir que lorsqu’il s’agit de données sensibles, celles-ci doivent être encryptées.

Il faudrait également prévoir que si un sous-traitant ou mandataire est sollicité par une autorité autre que le responsable du traitement pour livrer ou donner accès à des données, il n’est pas en droit de le faire sans en avoir informé le responsable du traitement et sans son autorisation préalable. En effet n’oublions pas que les sous-traitants peuvent être des firmes à l’étranger ou des multinationales ayant un établissement en Suisse et qui peuvent être contraintes de fournir des informations aux autorités de leur pays d’origine, en violation de nos propres règles.

Article 26

A l’article 26, alinéa 2, il conviendrait d’ajouter l’information sur la base légale du traitement.

Article 36

L’article 36 établit clairement que tout organe public qui traite des données personnelles est responsable de la protection des données. Il serait bien de compléter cette disposition en reprenant le principe de l’obligation de mise en conformité prévu à l’article 10 de la Convention 108+ et qui est partiellement concrétisé à l’article 11 du projet et qui prévoit un devoir de diligence accru. Ainsi l’organe public responsable du traitement devrait prendre toutes les mesures appropriées pour se conformer aux obligations des dispositions de protection des données et être en mesure de le démontrer en particulier à l’autorité de surveillance. Ce principe de mise en conformité se concrétise notamment au travers des analyses d’impact et des obligations de prise en compte de la protection des données dès la conception (Privacy by design) et de protection des données par défaut.

Article 37

Comme nous l’avions relevé au sujet de l’avant-projet de loi adaptant la législation cantonale à certains aspects de la digitalisation[6], il serait souhaitable à l’alinéa 2 de préciser quelles doivent être les garanties de confidentialité que doivent remplir les sous-traitants pour pouvoir sous-traiter des données soumises à une obligation légale ou contractuelle de secret. Ces garanties doivent être équivalentes à celle du détenteur du secret et entraîner des sanctions pénales en cas de violation.

Article 42

L’article 42 consacre les principes de protection des données dès la conception (al. 1) et de protection des données par défaut (al. 2). Nous suggérons de modifier l’alinéa 2 comme suit :

« Le responsable de traitement applique les mesures techniques et organisationnelles appropriées pour garantir le niveau de protection le plus élevé … »

Articles 48ss

Le chapitre 5 de la LPrD traite de la surveillance. L’effectivité de la protection des données passe en effet par la mise en place d’une autorité de contrôle chargée de veiller au respect des dispositions de protection des données. Aux termes de l’article l5 Convention 108+, cette autorité doit en particulier disposer de pouvoirs d’investigation et d’intervention, de pouvoirs de décisions relatives aux violations des dispositions légales et devrait pouvoir infliger des sanctions administratives. Elle doit disposer du pouvoir d’ester en justice ou de porter à la connaissance de l’autorité judiciaire compétente les violations de la loi. Elle doit également avoir des tâches de sensibilisation, pouvoir prendre position sur toute proposition législative ou administrative impliquant des traitements de données personnelles et traiter les demandes et les plaintes qui lui sont adressées.

L’autorité de contrôle doit agir avec indépendance et impartialité dans l’accomplissement de ses fonctions et l’exercice de ses pouvoirs. Elle ne doit en aucun cas solliciter et accepter des instructions de quiconque. L’indépendance implique notamment que les membres de l’autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non (art. 42 de la directive européenne 206/680 justice et police). Elle doit disposer de ressources nécessaires à l’accomplissement effectif de ses fonctions et à l’exercice de ses pouvoirs. Cela concerne les ressources humaines, techniques et financières ainsi que les locaux et l’infrastructure[7].

L’avant-projet de LPrD reprend le système actuel de la surveillance composée d’une commission cantonale de protection des données et de transparence et de deux préposé(e)s. Les communes et les Églises peuvent également mettre en place une autorité de protection des données. Se conformant aux exigences de la Convention 108+ et de la directive européenne 2016/680, l’avant-projet renforce de manière significative et positive les fonctions et les pouvoirs de l’autorité de surveillance. Compte tenu des nouveaux pouvoirs et notamment du fait que l’autorité est appelée à prendre des décisions sujettes à recours, tout en comprenant le choix des auteurs du projet de maintenir le système actuel, nous nous interrogeons néanmoins s’il n’eut pas été opportun de s’inspirer du modèle fédéral repris par la plupart des cantons et de renforcer ainsi le caractère professionnel et l’indépendance de l’autorité en conservant uniquement les deux préposé(e)s en les dotant d’un secrétariat permanent doté d’un personnel spécialisé en suffisance. Face au développement du numérique et dans un monde en pleine mutation quant aux méthodes de traitement des données personnelles et pour faire face aux défis pour les droits et libertés fondamentales des personnes que ne manquera de provoquer la cyberadministration et la numérisation de toutes nos activités, il est nécessaire d’avoir des autorités de protection des données qui puissent anticiper et agir rapidement et de manière effective.  Le fait d’avoir un mécanisme de surveillance à deux échelons, qui de surcroît devra à l’avenir prendre des décisions nous semble être un facteur de ralentissement et de diminution de l’efficacité de l’autorité.  Si le modèle de la commission répond plus aux modèles en vigueur dans le canton, on pourrait aussi envisager de s’inspirer du modèle français de la CNIL. Cela reviendrait à supprimer les postes de préposé(e), de nommer un président à plein temps et de doter la commission d’un secrétariat permanent diriger par un/ne chef/fe.

Si le système actuel est maintenu et pour éviter tout risque de collusion, il serait souhaitable d’introduire une disposition, similaire à l’art. 52, al. 4, prévoyant que les membres de la commission ne doivent pas exercer d’activités ou d’emplois incompatibles avec leurs missions et susceptibles de nuire à l’indépendance de l’autorité.

En ce qui concerne le budget de l’autorité de surveillance (art. 54, al. 3), nous proposons de s’inspirer de la solution qui sera retenue pour le préposé fédéral. Celui-ci disposera de son propre budget. Il établira le budget et le remettra au Conseil fédéral, lequel le soumettra, sans modification, au Parlement.

Selon l’article 64, l’autorité de surveillance doit adresser chaque année un rapport d’activité au Grand Conseil. Il n’est pas prévu – du moins expressément – dans la loi que le rapport est publié. L’article 64 prévoit la possibilité d’informer le public dans des cas d’espèces et pour autant que l’intérêt général le justifie. Or l’article 15, chiffre 7 de la Convention 108+ demande que le rapport d’activités soit publié. Il serait bien de le préciser dans la loi.

En ce qui concerne l’information du public, si le système de surveillance actuelle est finalement maintenu et pour éviter des problèmes survenus dans d’autres cantons, il serait souhaitable de régler clairement dans la loi la répartition des compétences en matière d’information entre la commission et les préposé(e)s.

Modification de la loi sur la police cantonale, article 38a, al. 2

La loi sur la police concrétise la LPrD qui elle doit demeurer applicable, notamment sous l’angle des droits de personnes concernées ou des tâches de surveillance. Dès lors le terme « supplétif » doit être biffé.

Marly, 23 janvier 2020/J.-Ph. Walter


[1] https://www.fr.ch/cha/institutions-et-droits-politiques/legislation/mise-en-consultation-de-deux-avant-projets-dans-le-domaine-de-la-digitalisation-de-letat

[2] https://www.admin.ch/opc/fr/federal-gazette/2020/577.pdf  ;  https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65c0

[3] Voir Message relatif à l’approbation du protocole du 10 octobre 2018 portant amendement à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, https://www.admin.ch/opc/fr/federal-gazette/2020/545.pdf

[4] Profilage : toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels rela-tifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préfé-rences personnelles, les intérêts, lafiabilité, le comportement, la localisation ou les déplacements de cette personne, https://www.parlament.ch/centers/eparl/curia/2017/20170059/S3-22%20F.pdf

[5] Voir notre commentaire de la version du CIP-CE, https://wordpress.com/read/feeds/100657819/posts/2508495879

[6] https://wordpress.com/read/feeds/100657819/posts/2546971018

[7] Nous ne sommes pas certains que l’autorité de surveillance du Canton de Fribourg dispose à l’heure actuelle des ressources suffisantes à l’accomplissement de ses tâches et au vu des nouvelles compétences et des nouveaux pouvoirs, un sérieux renforcement de ses moyens devra être envisagé.

Publié par J.-Ph. Walter

Expert indépendant en matière de protection des données et d'accès à l'information aux documents officiels Exerce la fonction de Commissaire à la protection des données du Conseil de l'Europe Ancien préposé fédéral suppléant à la protection des données et à la transparence (Suisse)

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :