FF 2009 Volume 50 P. 7693

09.089 Message concernant la modification de la loi sur l'organisation du gouvernement et de l'administration (Protection des données résultant de l'utilisation de l'infrastructure électronique) du 27 novembre 2009

Mesdames les Présidentes, Mesdames et Messieurs, Par le présent message, nous vous soumettons, en vous proposant de l'adopter, un projet de modification de la loi sur l'organisation du gouvernement et de l'administration (LOGA) concernant le traitement des données résultant de l'utilisation de l'infrastructure électronique.

Nous vous prions d'agréer, Mesdames les Présidentes, Mesdames et Messieurs, l'assurance de notre haute considération.

27 novembre 2009

Au nom du Conseil fédéral suisse: Le président de la Confédération, Hans-Rudolf Merz La chancelière de la Confédération, Corina Casanova

2009-1729

7693

Condensé Par ce projet, le Conseil fédéral propose au Parlement de créer dans la loi sur l'organisation du gouvernement et de l'administration (LOGA) et dans les lois sur les tribunaux fédéraux la base légale formelle nécessaire pour traiter les données personnelles liées à l'utilisation de l'infrastructure de l'administration.

Dans le monde du travail d'aujourd'hui, nombre d'outils électroniques sont devenus indispensables. C'est également le cas dans l'administration: les organes de la Confédération recourent évidemment au téléphone et à l'informatique, mais aussi à de nombreux autres appareils. L'utilisation de cette infrastructure électronique laisse inévitablement des traces donnant des informations sur les utilisateurs.

Plusieurs lois autorisent dans certaines circonstances l'enregistrement et l'analyse de données générées lors de l'utilisation de l'infrastructure électronique, notamment dans le cadre d'une procédure pénale. Toutefois, aucun texte ne réglementait jusqu'ici l'utilisation par l'administration fédérale, dans le cadre de son activité ordinaire, du contenu des communications et des données relatives aux communications.

Or, du point de vue de la protection des données, le traitement de données sensibles n'est autorisé que dans la mesure où il se fonde sur une base légale formelle. Les dispositions que nous proposons d'introduire dans la loi sur l'organisation du gouvernement et de l'administration visent à combler cette lacune.

Les nouvelles dispositions partent de l'idée que les organes de la Confédération ne sont en principe pas autorisés à traiter les données personnelles résultant de l'utilisation de l'infrastructure électronique. L'enregistrement de certaines données et leur analyse dans les buts strictement prévus par la loi sont réservés. Pour résumer, il s'agit d'autoriser le traitement des données personnelles à des fins techniques, statistiques et organisationnelles, pour autant que cela soit nécessaire au fonctionnement de l'administration fédérale. Les critères sont à cet égard plus stricts pour le traitement de données se rapportant à des personnes que pour des analyses dont les résultats contiennent exclusivement des données anonymisées. La loi ne fait qu'établir des principes. La conservation et la destruction des données, l'accès aux données et d'autres modalités seront définis au niveau réglementaire.

7694

Message 1

Présentation de l'objet

1.1

Utilisation d'appareils électroniques à la Confédération

Dans le monde du travail actuel, nombre d'instruments électroniques sont devenus indispensables. Les organes de la Confédération recourent évidemment au téléphone et à l'informatique, mais aussi à de nombreux autres appareils, systèmes de saisie du temps de travail, caméras vidéo, instruments de navigation, notamment. Ces appareils sont principalement utilisés par les employés de la Confédération, mais des personnes de l'extérieur telles qu'experts, personnel de service externe, membres des autorités cantonales et militaires font également partie des utilisateurs.

L'utilisation de l'infrastructure électronique de la Confédération laisse inévitablement des traces. Les données relatives aux communications, en particulier, c'est-àdire les données générées par l'utilisation de l'infrastructure électronique (par ex.

lors de la connexion et de la déconnexion), sont conservées un certain temps au moins. Ce sont en particulier les fichiers journaux (log files), qui indiquent notamment quand et entre quelles personnes une communication téléphonique a eu lieu ou quand et depuis quel ordinateur une page Web a été consultée. Les données relatives aux communications mais aussi celles relatives au contenu de ces dernières peuvent faire l'objet d'une analyse se rapportant aux personnes. Or certaines de ces données personnelles sont sensibles et leur analyse peut permettre de constituer des profils de la personnalité.

1.2

Absence de base légale pour le traitement des données

Du point de vue de la protection des données, le traitement des données, en particulier des données sensibles, n'est admis que lorsque certaines conditions légales particulières sont remplies. L'Office fédéral de la justice (OFJ) a rendu, sur mandat du Département fédéral de justice et police (DFJP), un avis de droit concernant les questions juridiques en matière de conservation des données relatives aux communications. Dans cet avis de droit daté du 20 octobre 2005, l'OFJ parvient à la conclusion que la conservation (enregistrement) de données relatives aux communications est une forme parmi d'autres de traitement des données personnelles au sens de l'art. 17 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)1 et qu'elle doit par conséquent se fonder sur une loi au sens formel. Or, pour l'heure, il n'existe pas de base légale pour la conservation de ces données par les organes fédéraux. Le présent projet de révision vise en d'autres termes à mettre en place une base légale au sens formel qui permettra de réglementer des traitements de données qui sont en majeure partie déjà effectués aujourd'hui.

1

RS 235.1

7695

1.3

Elaboration d'un avant-projet

A la suite de cet avis de droit, la Conférence des secrétaires généraux s'est prononcée en faveur de la création d'une base légale. Mandaté par le DFJP, l'OFJ a donc élaboré un projet avec la participation d'un groupe de travail interdépartemental au sein duquel étaient représentés la Chancellerie fédérale, l'Office fédéral de l'informatique et de la télécommunication (OFIT), l'Office fédéral du personnel, l'Unité de stratégie informatique de la Confédération et le Préposé fédéral à la protection des données et à la transparence.

En décembre 2008, le Conseil fédéral a lancé une procédure de consultation dans le cadre de laquelle les cantons, les partis, les associations faîtières et quelques organisations spécialisées ont été invités à se prononcer sur l'avant-projet avant la fin du mois de mars 2009.

Les participants ont approuvé à la quasi-unanimité l'adjonction d'une réglementation du traitement des données dans la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA)2. Certains ont toutefois souhaité une description plus précise des types de traitement de données admis; pour eux, un blanc-seing pour l'enregistrement de données est une mesure excessive, pour des questions de droits fondamentaux.

L'avant-projet a donc été révisé sur la base des résultats de la consultation, en collaboration avec le groupe de travail interdépartemental. Il s'agissait en premier lieu de réglementer de manière plus précise les conditions d'admissibilité de l'enregistrement de certaines données et de leur analyse ainsi que l'interaction avec les normes existantes plus sévères. Compte tenu des critiques exprimées, on a opté pour un renversement du système: l'autorisation générale d'enregistrement couplée à une autorisation restreinte de traitement des données enregistrées a été remplacée par une interdiction générale assortie d'un catalogue d'exceptions autorisant l'enregistrement et l'analyse dans les buts strictement prévus par la loi.

1.4

Grandes lignes de la révision

Les dispositions proposées ici ont pour but de combler la lacune législative évoquée plus haut. Les données personnelles résultant de l'utilisation de l'infrastructure électronique ne peuvent en principe pas faire l'objet d'un traitement, l'enregistrement et l'analyse dans les buts strictement prévus par la loi étant réservés. La nouvelle réglementation poursuit deux objectifs: elle vise d'une part à protéger les utilisateurs contre un traitement abusif des données par l'exploitant de l'infrastructure et, d'autre part, à fournir à cet exploitant la base légale nécessaire pour pouvoir procéder en toute légalité à l'enregistrement de certaines données et à leur analyse lorsque la démarche est jugée indispensable.

La réglementation s'applique toutefois à titre subsidiaire. Des dispositions de protection des données incluses dans d'autres lois fédérales, par exemple au chapitre de la surveillance des communications téléphoniques, dérogent aux dispositions générales proposées ici (voir p. ex. la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication [LSCPT]3 ou la loi fédérale du 2 3

RS 172.010 RS 780.1

7696

21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure [LMSI]4). Dans ces cas, le traitement des données personnelles n'est admis que si les conditions prescrites par la loi spéciale sont remplies.

Les nouvelles dispositions relatives à la protection des données ne seront pas réunies dans une loi spécifique, mais introduites dans une loi existante. Trois lois entraient en ligne de compte: la LPD, la loi du 24 mars 2000 sur le personnel de la Confédération (LPers)5 et la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA).

Dans la conception actuelle de la législation, la LPD est une loi générale. Limiter le champ d'application de certaines de ses dispositions aux organes fédéraux en tant qu'exploitants de l'infrastructure électronique de la Confédération irait à l'encontre de cette conception, ce qui n'est pas souhaitable. Voilà pourquoi nous renonçons à proposer une révision de la LPD. De son côté, la LPers s'applique aux employés de la Confédération. Ces derniers sont certes les principaux utilisateurs de l'infrastructure électronique de la Confédération, mais ils ne sont pas les seuls: de nombreuses personnes qui ne sont pas employées par la Confédération (p. ex. les experts, les visiteurs, les militaires, les membres des autorités cantonales) se servent également de cette infrastructure. La LPers ne semble donc pas non plus très appropriée pour l'insertion des nouvelles dispositions. La LOGA paraît en revanche mieux convenir.

Son champ d'application est en effet relativement large, puisqu'elle contient déjà une disposition, s'appliquant aux «organes fédéraux», relative à la question très proche du traitement des données dans le cadre de la gestion des dossiers (art. 57h).

Nous proposons donc d'insérer les nouvelles normes à la suite de cette disposition.

La nouvelle réglementation contient en premier lieu une interdiction: les organes fédéraux ne sont pas autorisés à enregistrer ou à analyser les données personnelles résultant de l'utilisation de l'infrastructure de la Confédération. Quatre dispositions sont consacrées aux exceptions à ce principe. L'enregistrement de ces données et leur analyse ne sont autorisés que dans les buts strictement cités dans la loi. En conséquence, l'organe fédéral traitant des données doit attester de
sa légitimité à le faire. Ce mode de réglementation a été choisi en raison du résultat de la consultation.

L'avant-projet prévoyait en effet au contraire que les organes fédéraux pouvaient en principe enregistrer toutes les données générées par l'utilisation de l'infrastructure de la Confédération, leur analyse étant en revanche soumise à restrictions. Dans les buts de l'analyse, la nouvelle loi soumet à des critères beaucoup plus stricts le traitement des données se rapportant aux personnes que les analyses ne se rapportant pas aux personnes, dont les résultats contiennent exclusivement des données anonymisées. Les délais de conservation des données seront définis par voie d'ordonnance. Il est prévu d'instaurer des délais de conservation maximum différenciés par type de données et ne pouvant être prolongés qu'à certaines conditions.

La loi n'impose pas d'édicter des règlements sur l'utilisation de l'infrastructure électronique de la Confédération. Ce point peut être réglé par voie d'ordonnance.

4 5

RS 120 RS 172.220.1

7697

2

Commentaire du projet

2.1

Lien entre les nouvelles dispositions et l'art. 57h en vigueur

L'art. 57h, introduit en 2000, est la base légale réglementant le traitement des données sensibles par les organes fédéraux. Il prévoit que ces derniers peuvent gérer des systèmes d'information et de documentation à des fins d'enregistrement, de gestion, d'indexation et de contrôle de la correspondance et des dossiers. Cette disposition couvre une partie importante des activités de l'administration fédérale, comme la gestion des systèmes d'enregistrement électroniques des affaires en cours ou le traitement des demandes de renseignements envoyées par voie électronique.

Les dispositions commentées ci-après visent à combler les lacunes existantes en matière de protection des données lors de l'utilisation de l'infrastructure électronique. Elles portent principalement sur les données relatives aux communications, mais aussi sur le contenu même de ces communications (p. ex. objet et texte d'un message électronique, contenu d'un document Word).

2.2

Commentaire article par article

Préambule Dans son préambule, la LOGA en vigueur se réfère encore à l'art. 85, al. 1, de l'ancienne Constitution du 29 mai 1874. Seule une note de bas de page renvoie à la disposition correspondante de la Constitution actuelle. La présente révision sera l'occasion d'actualiser ce préambule et de mentionner l'art. 173, al. 2, de la Constitution du 18 avril 19996 en tant que base constitutionnelle de la LOGA.

Art. 57i

Rapport avec d'autres lois fédérales

Cette disposition régit le rapport aux autres lois réglant le traitement de données résultant de l'utilisation de l'infrastructure électronique. Ces lois spéciales, si elles n'admettent le traitement de ces données personnelles qu'à de strictes conditions et en règle générale uniquement sur instruction des autorités, dérogeront aux présentes dispositions. Les règles spéciales suivantes continueront en particulier de s'appliquer:

6 7

La surveillance de la correspondance par poste et télécommunication dans le cadre d'une procédure pénale, d'une procédure d'entraide judiciaire ou en vue de rechercher et de sauver une personne disparue est soumise à la LSCPT. Il sera toujours possible d'enregistrer une conversation si celui qui y participe y consent, par exemple au titre du contrôle qualité d'un central d'appel.

Dès l'entrée en vigueur du code de procédure pénale du 5 octobre 2007 (CPP)7, l'analyse, dans le cadre d'une perquisition, d'enregistrements sonores et visuels ainsi que d'autres types d'enregistrements, mais aussi de RS 101 FF 2007 6583

7698

supports de données et de dispositifs d'enregistrement et de traitement d'informations dans le cadre d'une procédure pénale, s'appuiera sur les art.

246 ss de cette loi; s'agissant de la prescription de mesures de surveillance secrètes, par exemple par vidéo ou émetteur de localisation GPS, il conviendra de se référer aux art. 269 ss CPP.

Dans le cadre d'une procédure disciplinaire au sens de la législation sur le personnel de la Confédération, la perquisition de ces mêmes enregistrements et supports est soumise à des règles semblables (voir art. 25 LPers et art. 98 de l'ordonnance du 3 juillet 2001 sur le personnel de la Confédération [OPers]8); la procédure disciplinaire de première instance est régie par la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)9, qui se réfère aux dispositions complémentaires de la procédure civile fédérale (art. 12 et 19 PA).

La loi du 30 avril 1997 sur les télécommunications (LTC)10, enfin, prévoit également des règles spécifiques concernant notamment les données de localisation (art. 43 à 46).

La recherche d'informations et le traitement des données personnelles en rapport avec la sécurité intérieure sont régis par la LMSI.

La collecte et le traitement de données en relation avec les impôts et contributions fédéraux sont régis par la loi fédérale du 14 décembre 1990 sur l'impôt fédéral direct (LIFD)11, la loi fédérale du 14 décembre 1990 sur l'harmonisation des impôts directs des cantons et des communes (LHID)12, la loi fédérale du 13 octobre 1965 sur l'impôt anticipé (LIA)13, la loi fédérale du 27 juin 1973 sur les droits de timbre (LT)14, la loi du 2 septembre 1999 sur la TVA (LTVA)15 et la loi fédérale du 12 juin 1959 sur la taxe d'exemption de l'obligation de servir (LTEO)16.

Le projet «loi sur la police de la Confédération», en cours d'élaboration, doit également être mentionné.

Les actes qui traitent non pas de données générées automatiquement mais de fichiers de données constitués dans un but précis, par exemple en vue de la création d'un système d'information, portent sur un autre objet de règlementation que le projet ci-joint. C'est le cas:

8 9 10 11 12 13 14 15 16 17

du traitement de données par les systèmes d'information de la police de la Confédération (cf. la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération, LSIP17);

RS 172.220.111.3 RS 172.021 RS 784.10 RS 642.11 RS 642.14 RS 642.21 RS 641.10 RS 641.20 RS 661 RS 361

7699

du traitement de données lié aux systèmes d'information de l'armée régis par la loi fédérale du 3 février 1995 sur l'armée et l'administration militaire (LAAM)18.

La relation avec la LPD est la suivante: le projet forme la base légale du traitement de certaines données personnelles (principalement des données relatives aux communications) par les organes fédéraux, comme l'exige l'art. 17 LPD. Elle rend reconnaissables pour quiconque la collecte de données et les finalités du traitement (cf. art. 4, al. 4, LPD). Les autres prescriptions de la LPD relatives au traitement de données personnelles par des organes fédéraux (section 4) resteront directement applicables, par exemple l'art. 22 qui permet le traitement à des fins de recherche, de planification ou de statistique, ou l'art. 16, al. 1, qui règle la responsabilité. Les dispositions générales (section 2) devront aussi être respectées.

Art. 57j

Principe

Les destinataires de ces nouvelles dispositions sont les organes fédéraux. En tant qu'exploitants de l'infrastructure, les organes fédéraux et les entreprises externes qu'ils mandatent ne seront autorisés ni à enregistrer ni à analyser des données personnelles, sauf si la poursuite d'un des buts mentionnés ci-dessous l'exige.

Les destinataires indirects sont les personnes utilisant l'infrastructure électronique mise à leur disposition par un organe fédéral, autrement dit au premier chef les employés de la Confédération et les membres de l'Assemblée fédérale, mais également les utilisateurs externes de bases de données fédérales. Grâce à la révision, ces personnes seront protégées d'un traitement abusif de leurs données personnelles.

Al. 1: l'utilisation de l'expression «organes fédéraux» indique clairement que les nouvelles dispositions ciblent le même groupe que l'article précédent (art. 57h LOGA) relatif au traitement des données dans le cadre de la gestion des dossiers. Ce terme, qui apparaît également dans la LPD (art. 2, al. 1, let. b, 3, let. h, LPD), a une acception plus large que la notion d'unité administrative au sens de l'art. 2 LOGA et de l'art. 6 de l'ordonnance du 25 novembre 1998 sur l'organisation du gouvernement et de l'administration (OLOGA)19. Il désigne:

les autorités et les services fédéraux (départements, offices, Chancellerie fédérale, unités administratives décentralisées, établissements de la Confédération, etc.),

les personnes physiques ou morales qui sont extérieures à l'administration fédérale et qui sont chargées d'une tâche de la Confédération (p. ex. Poste, CFF, SUVA).

Cette expression recouvre aussi l'Assemblée fédérale, ses organes et les Services du Parlement dans leur activité administrative, ainsi que les caisses maladie dans la mesure où elles appliquent le droit fédéral en leur qualité d'organes fédéraux20. Elle n'inclut pas les tribunaux fédéraux, mais la règlementation proposée s'appliquera également à ces derniers, de par les modifications apportées en annexe aux lois sur les tribunaux.

18 19 20

RS 510.10 RS 172.010.1 Voir à ce propos Basler Kommentar Datenschutzgesetz, Urs Maurer-Lambrou/Simon Kunz, art. 2, n. 12 ss; Thomas Sägesser, Stämpflis Handkommentar zum RVOG, art. 2, n. 16 ss.

7700

En vertu de l'art. 3, let. a, LPD, on entend par données personnelles toutes les informations qui se rapportent à une personne identifiée ou identifiable. Il peut s'agir de données relatives au contenu ou aux communications.

Comme la disposition le précise explicitement, l'interdiction d'enregistrer et d'analyser les données personnelles résultant de l'utilisation de l'infrastructure électronique s'applique indépendamment du fait que ladite infrastructure soit exploitée par la Confédération elle-même ou, sur mandat, par des sociétés externes. L'organe mandant est responsable du respect des dispositions légales par l'entreprise mandatée (voir art. 10a LPD). Les droits de l'utilisateur des données visées dans les dispositions que nous proposons sont régis par la LPD. L'art. 16 LPD prévoit que le maître des données pourvoit à la protection de ces dernières. L'infrastructure électronique de la Confédération est gérée pour l'essentiel par l'OFIT. Celui-ci peut donc être considéré, dans de nombreux cas, comme le maître des données, même s'il les enregistre et les analyse en règle générale à la demande d'une autre unité administrative. Les demandes de renseignements sur le traitement des données, de rectification, de destruction ou d'abstention du traitement (art. 8 et 25 LPD) devraient dans ces cas-là s'adresser à l'OFIT.

Les organes cantonaux ou communaux et leurs employés ne sont pas destinataires des dispositions, car bien qu'ils appliquent le droit fédéral, ils n'en deviennent pas pour autant des organes fédéraux. En revanche, les employés cantonaux ou communaux ainsi que les particuliers et les entreprises qui consultent en ligne des sites de la Confédération ou échangent du courrier électronique avec un office fédéral seront protégés par les nouvelles dispositions en tant que destinataires indirects.

L'utilisation de l'infrastructure électronique génère des données sans que ce destinataire indirect agisse forcément. Des données sont enregistrées lorsqu'une personne reçoit un courrier électronique ou un appel téléphonique, ou est filmée par des caméras de vidéosurveillance dans les bâtiments de la Confédération.

La formulation «sauf si la poursuite des buts prévus aux art. 57l à 57o l'exige» atténue l'interdiction: le traitement des données, autrement dit leur enregistrement et leur analyse,
est exceptionnellement autorisé lorsque cette condition est réalisée.

L'al. 2 constitue la base légale formelle permettant d'enregistrer et d'analyser également les données sensibles, autrement dit les données personnelles exigeant une protection particulière, et les profils de la personnalité au sens de l'art. 3, let. c et d, LPD, pour autant que cela soit dans l'un des buts mentionnés aux art. 57l à 57o.

Art. 57k

Infrastructure électronique

Le terme d'infrastructure électronique est à prendre au sens large; la liste des éléments la constituant n'est volontairement donnée qu'à titre d'exemple, afin qu'une adaptation de la base légale ne soit pas nécessaire à chaque innovation technique.

Doivent donc être pris en considération tous les moyens techniques, outils de travail et systèmes de contrôle électroniques mis par les organes fédéraux à la disposition non seulement des employés de la Confédération, mais aussi des tiers. Il peut s'agir aussi bien d'appareils fixes que d'appareils mobiles.

Art. 57l

Enregistrement de données personnelles

Les organes fédéraux ou l'entreprise mandatée à cet effet ne peuvent enregistrer les données résultant de l'utilisation de l'infrastructure électronique que dans les buts 7701

cités dans cette disposition. L'enregistrement est licite pour autant qu'il soit nécessaire pour procéder ensuite à une analyse en vertu des art. 57m à 57o. Le principe de proportionnalité s'applique. Toutes les données personnelles peuvent être enregistrées, indépendamment du fait qu'elles se rapportent ou non à une personne identifiée ou identifiable.

Toutes les données enregistrées dans un but autorisé par la loi peuvent être analysées dans ce but, pour autant que l'analyse soit sans rapport avec des personnes (cf.

art. 57m). Une analyse par sondage dont les résultats permettent de tirer des conclusions sur un groupe de personnes (analyse non nominale se rapportant aux personnes) n'est autorisée que dans l'un des buts cités à l'art. 57n. Une analyse dont le résultat se rapporte à une personne définie (analyse nominale se rapportant aux personnes) est admise à condition qu'elle réponde à l'un des buts mentionnés à l'art. 57o.

La conservation et la destruction des données, en tant que formes de traitement, seront réglées dans l'ordonnance (en vertu de l'art. 57q, let. a).

La let. a constitue la base légale d'une pratique indispensable et courante aujourd'hui, qui consiste à créer des copies de sauvegarde.

Conformément à la let. b, les organes fédéraux peuvent notamment enregistrer des données concernant la connexion et la déconnexion, les processus des applications informatiques, des banques de données et des serveurs, etc., dans les buts suivants:

assurer l'entretien technique du système et maintenir la sécurité de l'information et des services lorsque seuls l'enregistrement et l'analyse de ces données permettent d'y parvenir (ch. 1 et 2). Si une analyse ne se rapportant pas aux personnes ne suffit pas, il convient de considérer une analyse selon les art. 57n et 57o.

contrôler le respect général des règlements d'utilisation. L'enregistrement peut porter sur l'ensemble des données résultant de l'utilisation de l'infrastructure électronique, ce qui permet par exemple de vérifier dans quelle mesure des sites Internet sont consultés illicitement (ch. 3).

reconstituer l'accès à certaines banques de données. Ce procédé est nécessaire pour pouvoir, dans le cadre d'une analyse ne se rapportant pas aux personnes selon l'art. 57m, retracer l'accès à une banque de données à un certain moment et déterminer si des modifications y ont été introduites et lesquelles (ch. 4).

déterminer les prestations fournies contre émoluments pour pouvoir en facturer les coûts à leur destinataire, ainsi que le précise l'art. 57o, let. d (ch. 5).

La let. c autorise l'enregistrement de données concernant le temps de travail du personnel nécessaires pour une analyse selon l'art. 57m, par exemple dans le but de modifier le temps de travail obligatoire ou de prendre des mesures de gestion de la santé.

L'accès aux locaux des organes fédéraux doit parfois être contrôlé électroniquement, tant pour la protection des personnes que des biens matériels. En cas de vol, par exemple, un tel dispositif permet d'établir plus facilement l'identité de l'auteur. La let. d constitue la base légale de l'enregistrement des données découlant de l'utilisation de l'infrastructure électronique. La disposition ne dit pas quand l'installation de l'infrastructure nécessaire est licite ni si la surveillance en temps réel est possible.

7702

L'analyse des données de surveillance n'est généralement possible ou n'a réellement de sens que si elle a trait à une personne en particulier, ce qui n'est licite que si les conditions énumérées à l'art. 57o sont remplies. Comme l'ensemble de cet article, la règle proposée ne s'applique cependant que si le traitement des données résultant de l'utilisation de l'infrastructure n'est pas réglé par une loi spéciale (cf. art. 57i).

Il n'est pas nécessaire de mentionner expressément le traitement des données à des fins de recherche et de statistique dans cette disposition puisque celui-ci est admis en vertu de l'art. 22 LPD.

Art. 57m

Analyse ne se rapportant pas aux personnes

Les données enregistrées dans un but spécifique en vertu de l'art. 57l ne peuvent faire l'objet d'une analyse qu'à condition que les résultats ne permettent pas de tirer des conclusions sur des personnes en particulier. Autrement dit, les résultats de l'analyse ne comportent que des données complètement anonymisées.

L'analyse peut également satisfaire simultanément plusieurs buts (p. ex. la comparaison de données relatives au temps de travail du personnel avec des données concernant l'accès de la personne concernée à une banque de données).

Art. 57n

Analyse non nominale se rapportant aux personnes

Les données enregistrées en vertu de l'art. 57l peuvent être analysées par sondage dans les buts mentionnés par l'article de sorte que le résultat permette de tirer des conclusions sur le comportement de certaines personnes, pour autant que celles-ci ne soient pas nommément identifiées. Ainsi, les données relatives aux communications, une fois enregistrées, peuvent être traitées de manière à ce que l'utilisation de l'infrastructure électronique puisse être analysée pour une unité administrative. En vertu de l'art. 57n en relation avec l'art. 57l, let. b, ch. 3, il est par conséquent possible de vérifier à quelle fréquence un site Internet en particulier (p. ex. Facebook) est consulté par les employés d'un office fédéral, sans que cette vérification donne des informations sur le comportement d'une personne identifiée nommément. Les données sur le temps de travail du personnel peuvent être analysées de la même manière. Les autres données, par exemple l'objet d'un échange de courrier électronique ou le nombre d'ordres d'impression, ne peuvent pas être traitées de cette manière.

Art. 57o

Analyse nominale se rapportant aux personnes

Lorsque l'analyse de données enregistrées conformément à l'art. 57l permet d'obtenir des informations sur le comportement d'une personne en particulier, cela peut être particulièrement délicat sur le plan de la protection des données. Elle n'est par conséquent autorisée que dans les buts prévus par cette disposition. Le principe de proportionnalité impose de se contenter d'une analyse non nominale se rapportant aux personnes si celle-ci suffit à atteindre un objectif défini.

L'analyse nominale est en général effectuée par l'organe fédéral qui exploite l'infrastructure. La demande correspondante peut, comme dans les cas visés par les art. 57l à n, émaner d'un autre organe fédéral qui a besoin de ces données pour atteindre l'un des buts mentionnés dans la loi. Cet organe doit alors présenter de manière convaincante le but dans lequel il entend utiliser les données analysées. Il est responsable de la protection des données, au sens de l'art. 16, al. 1, LPD. L'analyse des données 7703

permet à l'organe fédéral de prendre les mesures requises, notamment dans certains cas l'ouverture d'une procédure disciplinaire ou d'une procédure pénale. Il est possible d'analyser des données se rapportant à une personne sans que celle-ci en soit informée, pour autant qu'il ne s'agisse pas de données sensibles ou que les conditions de l'art. 7a, al. 4, LPD soient remplies. Les détails seront réglés au niveau de l'ordonnance.

La let. a autorise l'analyse nominale des données dans un cas concret si la personne concernée est suspectée d'utiliser abusivement l'infrastructure électronique ou dans le but de cibler une utilisation abusive de l'infrastructure déjà constatée par une analyse ne se rapportant pas à des personnes. Les contrôles nominaux par sondage, les analyses systématiques sans soupçon concret et le passage au crible d'une catégorie de personnes ne sont en revanche pas admis.

La let. b permet un traitement individualisé des données personnelles lorsque celuici est nécessaire pour analyser et réparer les défaillances de l'infrastructure.

La let. c admet l'analyse nominale faite dans le but de fournir des prestations électroniques indispensables. Le rétablissement d'un mot de passe pour l'utilisation d'un ordinateur n'est par exemple possible que sur la base de ce type d'analyse.

La let. d autorise le traitement des données à des fins se rapportant à une personne pour lui facturer les coûts résultant de l'utilisation de l'infrastructure électronique.

En vertu de la let. e, l'analyse mensuelle des données relatives au temps de travail, qui permet par exemple à un supérieur hiérarchique de contrôler le nombre d'heures supplémentaires effectué par ses collaborateurs, est également autorisée.

Art. 57p

Prévention des abus

Cette disposition concrétise l'art. 7 LPD. L'utilisation abusive de l'infrastructure électronique et le non-respect des règlements d'utilisation doivent en premier lieu être prévenus par des mesures de nature technique et organisationnelle. Ce n'est que lorsque ces mesures ne suffisent pas qu'il convient de recueillir et d'analyser les données au sens des art. 57l ss.

Art. 57q

Dispositions d'exécution

Mentionnons qu'il s'agit bien souvent de données personnelles constituant une partie seulement d'une quantité de données parfois importante qui doit au préalable c'est-à-dire avant d'être analysée être préparée (il faut par exemple distinguer les données relatives aux connexions Internet d'une personne de celles des autres, ce qui demande parfois un travail considérable).

La manière dont les données doivent être traitées après leur enregistrement doit être clairement définie. Il suffit simplement d'indiquer dans la loi les points les plus importants. Le Conseil fédéral devra notamment déterminer qui est compétent pour enregistrer et conserver les données, quelles données doivent être conservées et combien de temps, autrement dit au bout de combien de temps elles doivent être détruites (let. a). Par ailleurs, il devra fixer les modalités de traitement et en particulier d'analyse des données (let. b) et définir quand et comment tel organe peut avoir accès aux données et au résultat de leur analyse (let. c). Les organes fédéraux compétents doivent prendre les mesures nécessaires pour que les données traitées ne

7704

puissent être consultées par des personnes non autorisées (let. d). Tous ces aspects techniques pourront être réglés plus précisément par voie d'ordonnance.

2.3

Modification du droit en vigueur

La réglementation prévue pour les organes fédéraux s'appliquera également aux tribunaux fédéraux, dans la mesure où elle concerne leur activité administrative et où la LPD s'applique aussi dans leur cas. Les tribunaux n'entrant pas dans le champ d'application de la LOGA, il convient d'indiquer dans les trois lois spéciales relatives aux tribunaux que les nouvelles règles en matière de protection des données introduites dans la LOGA s'appliquent à eux par analogie.

Ce sont les tribunaux eux-mêmes et non le Conseil fédéral qui jouissent de la compétence d'exécution dans leur domaine. Il leur incombera donc d'édicter les dispositions nécessaires.

3

Conséquences

3.1

Conséquences pour la Confédération

La nouvelle réglementation n'a aucune incidence sur les finances ou le personnel de la Confédération. Elle crée une base légale pour la pratique actuelle.

3.2

Conséquences pour les cantons et les communes

La nouvelle réglementation n'a aucune incidence financière sur les cantons et les communes.

Les cantons et les communes seront concernés dès lors qu'ils utilisent l'infrastructure électronique de la Confédération: dans ce cas, la Confédération pourra traiter les données relatives à la communication et d'autres données se rapportant aux utilisateurs cantonaux ou communaux dans les buts prévus par la loi. Il s'agira généralement d'analyses statistiques ordinaires.

3.3

Autres effets

La nouvelle réglementation n'a aucune incidence sur l'économie, sur l'environnement et les générations futures ou sur l'égalité entre les hommes et les femmes.

4

Liens avec le programme de la législature et la planification financière

Le projet n'a été annoncé ni dans le message du 23 janvier 2008 sur le programme de la législature 2007 à 201121, ni dans l'arrêté fédéral du 18 septembre 2008 sur le 21

FF 2008 639

7705

programme de la législature 2007 à 201122. Il a un faible impact sur la réalité et son importance politique est par conséquent limitée. Il n'est toutefois pas superflu, puisqu'il apporte une certaine transparence au traitement des données concernées et permet d'exercer un contrôle.

5

Aspects juridiques

5.1

Constitutionnalité et liens avec la loi sur la protection des données

Les règles relatives au traitement de données proposées ici concernent l'organisation du gouvernement et de l'administration et relèvent par conséquent de la compétence de l'Assemblée fédérale en vertu de l'art. 173, al. 2, Cst.

Les règles relatives au traitement des données s'appuient sur la volonté, relevant des droits fondamentaux, de protéger tout un chacun contre l'emploi abusif des données qui le concernent et de respecter sa liberté d'information (art. 13, al. 2, Cst. en relation avec l'art. 10, al. 2, Cst.). La nouvelle réglementation pourrait porter atteinte à ces droits constitutionnels en autorisant le traitement de nombreuses données personnelles par la Confédération. Or toute restriction des droits fondamentaux doit être fondée sur une loi au sens formel, respecter le principe de proportionnalité et être justifiée par un intérêt public. Les dispositions proposées satisfont à ces exigences.

Elles observent les principes établis par la LPD en réglant à l'échelon légal le traitement des données résultant de l'utilisation de l'infrastructure électronique de la Confédération.

5.2

Compatibilité avec les engagements internationaux de la Suisse

La réglementation proposée ici est en accord avec la Convention du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel23 et avec le Protocole additionnel du 8 novembre 2001 à cette convention concernant les autorités de contrôle et les flux transfrontières de données24.

22 23 24

FF 2008 7745 RS 0.235.1 RS 0.235.11

7706