Journée de la protection des données : trois priorités pour la Confédération et les cantons
A l'occasion de la journée de la protection des données qui s'est tenue aujourd'hui, les autorités de protection des données de la Confédération et des cantons ont abordé leurs défis communs concernant les élections, la police et le numéro AVS.
2019 est une année électorale. Les élections de renouvellement des parlements de la Confédération et des cantons qui se tiendront dans les cantons se dérouleront dans la réalité numérique avec des phénomènes de traitement de données sans cesse renouvelés, qui auront également des répercussions sur le comportement des électeurs, comme l'indique une annonce du Préposé fédéral à la protection des données et à la transparence (PFPDT). Avec son Guide de décembre 2018, les autorités de protection des données de la Confédération et des cantons contribueraient à la libre formation de la volonté et à l'expression non faussée du vote, garanties par la Constitution fédérale.
Un niveau plus élevé de protection des données dans un contexte politique
Selon le PFPDT, ce document incite les partis politiques, les prestataires de services et les réseaux sociaux qui travaillent pour eux à rendre reconnaissable et compréhensible l'influence numérique sur la volonté des électeurs. Le traitement des données dans le contexte politique est soumis à un niveau de protection plus élevé que celui des données utilisées à des fins commerciales. Les électeurs suisses ne devraient pas être trompés par des informations trompeuses ou erronées sur les expéditeurs et les sources des messages politiques. Ils ont, selon le PFPDT, le droit de savoir s'ils échangent des informations avec des personnes ou des machines ("bots sociaux"). Ils ne doivent pas non plus être laissés dans l'ignorance quant aux intelligences artificielles utilisées et quant à l'enrichissement et à l'exploitation d'informations provenant des médias sociaux à des fins politiques ("Social Match").
Renforcer la surveillance de la police
La nouvelle loi sur la protection des données Schengen entrera en vigueur le 1er mars 2019. Cette nouvelle loi fédérale et les adaptations analogues des législations cantonales sur la protection des données mettent en œuvre, pour la Suisse en tant que membre associé de Schengen, les adaptations de ce que l'on appelle l'acquis.
Avec la nouvelle loi sur la protection des données Schengen, les autorités de poursuite pénale de la Confédération et des cantons sont tenues d'appliquer de nouveaux instruments de travail tels que l'analyse d'impact sur la protection des données ou d'annoncer les violations de la protection des données. C'est ce qu'écrit le service de presse du PFPDT. En outre, la nouvelle législation confère aux autorités de protection des données de la Confédération et des cantons des compétences de surveillance supplémentaires, à savoir le pouvoir d'édicter des décisions. La surveillance des organes de police de la Confédération et des cantons aura un effet pilote dans les mois à venir, notamment au niveau fédéral : les nouveaux instruments seront repris ultérieurement de la loi sur la protection des données, actuellement encore en discussion au Parlement, et étendus au traitement des données par des personnes privées ainsi qu'à d'autres fins, comme l'écrit le PFPDT. En raison de l'absence d'une loi sur la police au niveau de la Confédération et de l'enchevêtrement d'actes législatifs spéciaux qui en découle, les adaptations mentionnées sont liées à des défis particuliers pour les autorités fédérales de surveillance des frontières et de police.
Le numéro AVS comporte des risques pour la protection des données
Avec une adaptation de la loi sur l'AVS actuellement en consultation, le Conseil fédéral a l'intention d'autoriser de manière générale les administrations de la Confédération, des cantons et des communes à utiliser le numéro AVS comme identifiant également en dehors du domaine des assurances sociales. Les autorités de protection des données de la Confédération et des cantons estiment que ce projet comporte des risques considérables pour la protection des données (voir l'article). Le Conseil fédéral entend y remédier dans le projet de loi par des prescriptions concrètes de protection des données, comme l'obligation de procéder à une évaluation périodique des risques, ce que les autorités de protection des données saluent, selon le PFPDT. Elles auraient toutefois préféré que le Conseil fédéral fonde le projet sur le concept de sécurité pour les identificateurs de personnes mandaté par le Conseil national (Postulat 17.3968), qui n'est pas encore disponible à l'heure actuelle, peut-on lire dans le communiqué final du PFPDT.