FF 2015 Volume 3 P. 951

14.402 Initiative parlementaire Accès des députés à l'infrastructure informatique Enregistrement et analyse des journaux d'accès Rapport du Bureau du Conseil national du 7 novembre 2014

Mesdames, Messieurs, Par le présent rapport, nous vous soumettons un projet de modification de l'ordonnance de l'Assemblée fédérale portant application de la loi sur le Parlement et relative à l'administration du Parlement, que nous transmettons simultanément au Conseil fédéral pour avis.

Le Bureau du Conseil national propose d'adopter le projet d'acte ci-joint.

7 novembre 2014

Pour le bureau: Le président, Ruedi Lustenberger

2014-3121

951

Rapport 1

Genèse du projet

Le 1er avril 2012 est entrée en vigueur une modification de la loi sur l'organisation du gouvernement et de l'administration (LOGA, RS 172.010), modification qui régit le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique (cf. art. 57i ss LOGA). En se fondant sur cette modification, le Conseil fédéral a édicté l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération (RS 172.010.442).

La loi et l'ordonnance définissent dans quels buts les données secondaires peuvent être enregistrées et analysées et qui peut ordonner une analyse. Selon l'art. 57q, al. 3, LOGA, l'ordonnance s'applique également aux membres de l'Assemblée fédérale, à moins qu'une ordonnance de l'Assemblée fédérale n'en dispose autrement. En principe, l'ordonnance peut s'appliquer par analogie à toutes les personnes députés, collaborateurs des secrétariats des groupes et collaborateurs des Services du Parlement qui utilisent l'infrastructure électronique de l'Assemblée fédérale. Ce n'est qu'en ce qui concerne l'analyse nominale de données secondaire en cas d'utilisation abusive ou de soupçon d'utilisation abusive qu'il n'existe pas de procédures ni de compétences analogues pour les deux premières catégories de personnes précitées. Étant donné que l'analyse nominale de données secondaires constitue une atteinte considérable à la sphère privée des personnes qui en font l'objet, le Bureau du Conseil national a décidé de définir dans l'ordonnance sur l'administration du Parlement (OLPA) des règles applicables à ce type d'analyse, même si, dans la pratique, le recours à cette procédure devrait être rare.

Le Bureau du Conseil national avait déjà voulu régler cette problématique dans le cadre des débats sur l'extension des droits d'accès des parlementaires à l'extranet (cf. iv. pa. 13.403 Extranet. Accès des parlementaires; FF 2013 8003 ss). Toutefois, comme le Conseil fédéral s'était opposé, dans son avis, à l'extension des droits d'accès à l'extranet, le Bureau du Conseil national avait retiré l'ensemble du projet, y compris les propositions relatives à l'analyse des données secondaires, à sa séance du 14 février 2014. Lors de cette même séance, le bureau avait cependant décidé de soumettre cette partie non contestée du projet au conseil et avait déposé la présente initiative de commission, que le Bureau du Conseil des États a approuvée le 16 mai 2014.

2

Grandes lignes du projet

Le présent projet règle les procédures applicables à l'analyse nominale de données secondaires se rapportant aux députés et aux collaborateurs des secrétariats des groupes parlementaires qui utilisent l'infrastructure électronique de l'Assemblée fédérale en cas d'utilisation abusive ou de soupçon d'utilisation abusive. Comme l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération peut s'appliquer par analogie aux collaborateurs des Services du Parlement, aucune disposition spécifique à cette catégorie de personnes ne doit être intégrée dans l'OLPA.

952

Le projet ne porte cependant pas sur l'analyse des données secondaires dans le cadre d'une procédure pénale ou disciplinaire (cf. explications figurant aux ch. 2.1.2 et 2.1.3). En effet, conformément l'art. 57i LOGA, les dispositions de la LOGA ne s'appliquent pas lorsque d'autres lois, en matière de procédure pénale ou de droit disciplinaire par exemple, règlent le traitement desdites données.

2.1

Généralités concernant l'analyse des données secondaires

2.1.1

Définition des données secondaires

Les données secondaires sont des données qui découlent de l'utilisation de l'infrastructure informatique et qui fournissent des informations sur l'expéditeur, le destinataire, le moment, la durée et l'instrument de communication utilisé, mais pas sur le contenu de la communication. Les règles relatives aux données secondaires visent à protéger les utilisateurs de l'infrastructure électronique d'un accès disproportionné aux données d'utilisation les concernant. C'est pourquoi la LOGA détermine de manière exhaustive dans quels buts les organes fédéraux peuvent enregistrer et analyser des données secondaires (art. 57l à 57o LOGA) et opère dans ce cadre une distinction entre l'analyse ne se rapportant pas aux personnes (art. 57m et 57n) et celle se rapportant aux personnes (art. 57o).

Une analyse ne se rapportant pas aux personnes peut notamment être effectuée afin de sauvegarder les données, de maintenir la sécurité des informations, d'assurer la maintenance technique et de contrôler les règlements d'utilisation.

Une analyse se rapportant aux personnes est notamment autorisée pour élucider un soupçon concret d'utilisation abusive ou poursuivre un cas d'utilisation abusive (art. 57o, al. 1, let. a, LOGA) ou pour analyser les perturbations de l'infrastructure électronique, y remédier ou parer aux menaces concrètes qu'elle subit (art. 57o, al. 1, let. b, LOGA).

2.1.2

Délimitation de l'analyse des données secondaires dans le cadre d'une procédure pénale

Conformément à l'art. 57i LOGA, les dispositions de la LOGA et les dispositions d'exécution concernées ne sont pas applicables lorsqu'une autre loi fédérale règle le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique.

Les dispositions du code de procédure pénale (CPP; RS 312.0) notamment les art. 246 ss, qui règlent la perquisition de documents et enregistrements déterminent s'il est possible de soumettre à une perquisition les enregistrements audio, vidéo et d'autre nature, les supports informatiques ainsi que les installations destinées au traitement et à l'enregistrement d'informations liées à une procédure pénale. Si, sur la base d'une dénonciation pénale, quelqu'un est soupçonné d'avoir violé le secret de fonction en utilisant l'infrastructure informatique de l'Assemblée fédérale (par ex. l'extranet), les autorités de poursuite pénale doivent établir les faits et rassembler des preuves. Si les soupçons ne portent pas sur une personne en particulier, elles doivent en premier lieu identifier l'auteur de la violation présumée. A cette fin, elles 953

peuvent prendre des mesures de contrainte qui portent atteinte aux droits fondamentaux des personnes intéressées (cf. art. 196 CPP [définition des mesures de contrainte]): elles peuvent demander des renseignements afin de savoir qui a accédé à tel document à un certain moment, exiger que leur soient remis les journaux d'accès ou saisir des éléments de preuve. Par contre, les autorités de poursuite pénale ne sont pas autorisées à chercher à savoir qui a accédé à quel document en ne se fondant que sur une vague supposition ou sur de simples rumeurs. En tel cas, l'autorité appelée à enquêter pourrait déposer une plainte pour se défendre contre les autorités de poursuite pénale qui lui demanderaient des renseignements, voire exigeraient qu'elle leur remette des documents et des journaux d'accès. Ainsi, les autorités de poursuite pénale doivent toujours avoir recours au moyen le moins intrusif pour identifier l'auteur d'une violation présumée. Si, à la suite des investigations, le soupçon porte sur un député en particulier, les collèges présidentiels des conseils doivent donner leur autorisation au premier examen des faits ou à la mise en sûreté des preuves, conformément à l'art. 18 de la loi sur le Parlement (LParl; RS 171.10).

En outre, l'art. 17 LParl soumet à l'autorisation des commissions compétentes l'ouverture d'une poursuite pénale contre un député en raison d'une infraction en rapport direct avec ses fonctions ou ses activités parlementaires. En revanche, des plaintes pénales peuvent être directement déposées contre les collaborateurs des secrétariats des groupes parlementaires et les collaborateurs des Services du Parlement.

2.1.3

Délimitation de l'analyse des données secondaires dans le cadre d'une procédure disciplinaire

Le bureau de chaque conseil est autorisé à prendre des mesures disciplinaires contre un député qui enfreint les prescriptions en matière d'ordre ou de procédure (cf. art. 13 LParl). Si un soupçon concret pèse sur un député, le bureau pourrait demander que les données secondaires relatives à ce député soient analysées. Par contre, l'art. 13 LParl ne constitue pas de base légale permettant d'engager une procédure disciplinaire contre inconnu. Dans un tel cas, le bureau n'a pas compétence pour faire appel à des informateurs, entendre des personnes en qualité de témoins ou ordonner une analyse généralisée se rapportant aux personnes.

Les collaborateurs des Services du Parlement sont pour leur part soumis aux dispositions relatives au droit disciplinaire contenues dans la loi sur le personnel de la Confédération (LPers; RS 172.220.1) et aux dispositions d'exécution concernées.

Enfin c'est aux secrétariats des groupes parlementaires de définir les éventuelles mesures auxquelles ils pourraient soumettre leurs collaborateurs.

2.2

Groupes de personnes utilisant l'infrastructure électronique de l'Assemblée fédérale

L'infrastructure électronique de l'Assemblée fédérale est utilisée par les députés, les collaborateurs des secrétariats des groupes parlementaires et les collaborateurs des Services du Parlement.

L'application par analogie de l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération aux 954

collaborateurs des Services du Parlement ne nécessite aucune modification des bases légales. En règle générale, c'est le supérieur hiérarchique qui ordonne une analyse se rapportant aux personnes. Conformément à l'art. 57o, al. 2, let. b, LOGA, cette analyse ne peut être effectuée qu'après en avoir informé la personne concernée par écrit. Si la personne concernée ne consent pas à l'analyse, le secrétaire général de l'Assemblée fédérale doit l'autoriser. Le délégué à la sécurité de l'Assemblée fédérale (cf. ch. 4: commentaires de l'art. 27, al. 1bis) vérifie que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante et que la personne concernée a été informée par écrit de l'existence de ce soupçon. Les procédures et les compétences concrètes sont définies dans les directives du 11 août 2008 sur l'utilisation des technologies de l'information et de la communication et sur la protection des informations au sein des Services du Parlement. Conformément à ces directives, les tiers qui utilisent l'infrastructure électronique de l'Assemblée fédérale en vertu d'un lien contractuel sont soumis aux mêmes règles que les collaborateurs des Services du Parlement.

Les membres de l'Assemblée fédérale ne sont pas intégrés à une hiérarchie et ne sont soumis à aucune autorité supérieure. Pour cette raison, il est important de déterminer la personne chargée de vérifier que les conditions nécessaires à la réalisation d'une analyse les concernant sont remplies. Par ailleurs, il y a lieu de désigner un service chargé d'autoriser la réalisation de l'analyse dans l'hypothèse où la personne concernée refuserait de donner son accord. Ces mêmes questions doivent également être réglées pour les collaborateurs des secrétariats des groupes parlementaires, car ceux-ci ne font partie ni de l'Assemblée fédérale, ni des Services du Parlement.

3

Procédure appliquée dans le cadre de l'analyse de données secondaires se rapportant à des personnes en cas d'utilisation abusive ou de soupçon d'utilisation abusive

Pour l'analyse des données secondaires se rapportant aux députés et aux collaborateurs des secrétariats des groupes parlementaires et effectuée en cas d'utilisation abusive ou de soupçon d'utilisation abusive, le bureau propose d'appliquer par analogie les art. 10 ss de l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération, en observant la procédure suivante: 1.

Toute personne qui soupçonne un abus s'adresse au délégué à la sécurité de l'Assemblée fédérale. Ce dernier rédige un rapport en se fondant sur les informations fournies pour étayer le soupçon. S'il peut obtenir l'autorisation de la personne concernée, il charge l'exploitant du système (c'est-à-dire le domaine IT) de procéder à une analyse des données secondaires relatives à cette personne.

2.

Avant que l'exploitant du système procède à l'analyse, le délégué de la Délégation administrative vérifie que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante ou que l'utilisation abusive est prouvée et que la personne concernée a été informée par écrit de l'existence d'un soupçon concret.

955

3.

Si cette dernière ne consent pas à donner son accord, l'autorisation doit être donnée par la Délégation administrative pour ce qui est des députés et par le président du groupe concerné pour ce qui est des collaborateurs des secrétariats des groupes parlementaires.

4.

Une fois que l'analyse technique a été effectuée, l'exploitant du système (domaine IT) transmet le résultat au délégué à la sécurité de l'Assemblée fédérale. Ce dernier en informe la personne concernée et soit la Délégation administrative soit le président du groupe concerné. Selon le résultat de l'analyse, l'ouverture d'une procédure pénale est proposée ou une procédure disciplinaire est engagée.

4

Commentaire par article

Titre précédant l'art. 16c

Section 8 Traitement des données personnelles liées à l'utilisation de l'infrastructure informatique Le bureau constate que l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération est en principe applicable, mais que certaines questions relatives aux compétences doivent encore être clarifiées en ce qui concerne les députés et les collaborateurs des secrétariats des groupes parlementaires. Pour cette raison, le bureau propose de compléter l'OLPA par une section 8 portant sur le traitement des données personnelles liées à l'utilisation de l'infrastructure informatique.

Art. 16c

Bases légales et compétences

L'al. 1 reprend le principe de l'art. 57q, al. 3, LOGA, selon lequel l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération s'applique également aux membres de l'Assemblée fédérale; il précise que les dispositions de l'ordonnance précitée s'appliquent aussi aux collaborateurs des secrétariats des groupes parlementaires, si ces derniers utilisent l'infrastructure des Services du Parlement. Le domaine Informatique et nouvelles technologies (IT) des Services du Parlement est l'exploitant du système informatique utilisé par l'Assemblée fédérale, les Services du Parlement et (pour partie) par les secrétariats des groupes parlementaires.

L'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération confie différentes tâches au «service désigné par le schéma directeur de l'organe fédéral concernant la protection des données». Le bureau propose de confier les tâches concernées au délégué à la sécurité de l'Assemblée fédérale et d'inscrire cette fonction dans l'OLPA (cf. art. 27, al. 1bis, du projet).

956

Art. 16d

Analyse nominale se rapportant aux personnes en cas d'utilisation abusive ou de soupçon d'utilisation abusive

L'art. 16d contient les dispositions réglant les étapes décrites au chap. 3 du présent document de la procédure à suivre lors d'une analyse de données secondaires se rapportant à des personnes et effectuée en cas d'utilisation abusive ou de soupçon d'utilisation abusive. Il y a abus lorsque l'utilisation de l'infrastructure électronique enfreint les prescriptions de l'organe fédéral ou de la législation par sa nature, son ampleur ou sa fréquence. Selon les dispositions précitées, une analyse se rapportant aux personnes peut être effectuée lorsqu'il existe un soupçon concret concernant une personne en particulier. Il n'est par contre pas possible de procéder à une telle analyse sans éléments concrets; un contrôle systématique général des données secondaires est donc exclu.

Art. 27, al. 1bis L'OLPA mentionne désormais expressément la compétence qu'a la Délégation administrative de nommer le délégué à la sécurité de l'Assemblée fédérale. Celui-ci est, dans tous les domaines de la sécurité, responsable de la planification et de l'organisation de mesures de protection destinées aux députés et aux collaborateurs des Services du Parlement; cette compétence porte notamment sur les données traitées par les députés et les collaborateurs précités. Le délégué à la sécurité de l'Assemblée fédérale élabore, à l'intention de la Délégation administrative, la stratégie de l'Assemblée fédérale et des Services du Parlement en matière de sécurité, il veille à son application, soumet des propositions à la délégation et lui remet un rapport.

5

Conséquences financières et effet surl'état du personnel

Il convient de prendre des dispositions techniques pour les analyses des données secondaires. Il s'agit de définir le processus et les instruments idoines et de garantir le savoir-faire nécessaire pour que les analyses puissent être effectuées dans les meilleurs délais.

Ces travaux auront des conséquences mineures en termes de charge de travail et de coûts.

Les charges d'exploitation sont directement liées aux analyses et dépendent de leur fréquence et de leur complexité. En moyenne, une analyse devrait représenter deux jours de travail environ et durer une semaine.

6

Bases légales

La LOGA et l'ordonnance du Conseil fédéral sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération constituent les bases légales des modifications de l'OLPA proposées dans le présent rapport.

957

958