25.4661 · Interpellation · 2025-12-18
Département de justice et police
L’avis relatif à l’intervention est disponible
Wortlaut
La nouvelle mouture de la loi sur la protection des données (LPD) oblige les responsables privés du traitement des données à informer les personnes concernées du traitement de leurs données, en particulier quand elles sont transmises à des tiers ou à l’étranger. Les organismes publics ne sont toutefois soumis à aucune obligation d’information comparable. Il n’existe pas non plus de réglementation légale concernant la divulgation a posteriori des accès à des données numériques par l’État. Même lorsqu’une mesure de surveillance est terminée ou se révèle infondée, les personnes concernées n’en sont pas informées. Face à cette situation, je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :
Quelles sont les bases légales qui régissent aujourd’hui l’information a posteriori des personnes concernées en ce qui concerne l’accès à des données par les services de l’État, qu’il s’agisse de la police, des services de renseignement ou des autorités administratives ?
Combien de personnes ont été informées de l’accès à leurs données à l’issue d’une mesure de collecte de données par l’État entre 2018 et 2023 ? Existe-t-il des statistiques qui recensent également les tiers qui n’étaient pas visés par la mesure ?
Quels États ont inscrit dans leur législation l’obligation d’informer les personnes concernées de l’accès à leurs données par l’État à l’issue d’une mesure ? Quels sont les États membres de l’UE qui ne connaissent pas d’obligation de ce type ?
Le Conseil fédéral considère-t-il que l’absence d’obligation d’informer de la part des services de l’État constitue une asymétrie par rapport à l’obligation faite aux responsables privés du traitement des données au sens de la LPD ?
À quelles possibilités législatives le Conseil fédéral envisage-t-il de recourir pour instaurer une obligation légale d’information portant sur les accès aux données qui ont été effectués par les services de l’État ? Quel rôle pourrait jouer un organisme de contrôle indépendant similaire à celui qui est chargé de la surveillance des services de renseignement ?
Comment le Conseil fédéral justifie-t-il le fait que les fournisseurs privés de services en nuage sont tenus de faire preuve de transparence en matière de transmission de données, alors que les services de l’État ne sont pas tenus d’informer les personnes concernées de leurs propres accès, même lorsque la mesure considérée a pris fin ?
De quels instruments disposent aujourd’hui les personnes concernées pour faire valoir leurs droits lorsqu’il est vraisemblable que des services de l’État ont eu accès à leurs données, mais qu’elles n’en ont jamais été informées ?
Que pense le Conseil fédéral de l’incohérence qui fait que, dans de nombreux États membres de l’UE, les services de l’État sont eux aussi tenus par la loi de signaler les violations de la protection des données aux autorités de contrôle et aux personnes concernées, alors que, en Suisse, les obligations d’information ne s’appliquent qu’aux acteurs privés ?
Stellungnahme des Bundesrates
1./4./6. Aux termes de l’art. 19, al. 1, de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD ; SR 235.1), le responsable d’un traitement de données est tenu d’informer la personne concernée de manière adéquate de la collecte de données personnelles. Le but de cette disposition est d’accroître la transparence du traitement de données. Ce devoir d’informer n’incombe pas qu’aux personnes privées, mais aussi aux organes fédéraux. L’art. 20, al. 1, let. a et b, LPD prévoit des exceptions au devoir d’informer lorsque la personne concernée dispose déjà des informations ou lorsque le traitement des données personnelles est prévu par la loi. Étant donné que les organes fédéraux ne sont le plus souvent autorisés à traiter des données que si une base légale les y habilite (art. 34, al. 1, LPD), ils ne sont soumis à un devoir d’informer supplémentaire dans quasiment aucun des traitements de données qu’ils opèrent. Ils ne sont tenus d’informer au sens de l’art. 19 LPD que si le traitement relève, exceptionnellement, de l’art. 34, al. 4, LPD et requiert en particulier le consentement de la personne concernée. Pour le Conseil fédéral, cette solution est pertinente, car la base légale garantit la nécessaire transparence du traitement de données. Par conséquent, le Conseil fédéral ne voit pas d’asymétrie notable entre les obligations des organes fédéraux et celles des responsables privés du traitement des données, d’autant que ces derniers s’acquittent en majorité de leur devoir d’informer en publiant des déclarations de protection des données standardisées sur leurs sites internet. En cas de traitement de données par des autorités cantonales ou communales, ce sont les garanties prévues dans la législation cantonale en matière de protection des données qui s’appliquent. En outre, des lois spéciales prévoient des devoirs d’informer spécifiques pour différentes mesures d’accès à des données par les autorités, susceptibles d’entraîner des atteintes graves aux droits fondamentaux. C’est par exemple le cas pour des mesures de contrainte prévues dans le code de procédure pénale, comme lors d’une mesure de surveillance de la correspondance par poste et télécommunication (art. 279 du code de procédure pénale [CPP] ; RS 312.0), d’une mesure d’observation (art. 283 CPP) ou d’investigations ou recherches secrètes (art. 298 et 298d, al. 4 CPP) : les personnes sont en principe informées une fois la mesure terminée. L’art. 95, al. 2, première phrase, CPP dispose de manière générale que la personne doit être informée sans délai si des données personnelles sont collectées à son insu. Pour les mesures de recherche soumises à autorisation du Service de renseignement de la Confédération (SRC), telles que, là aussi, la surveillance de la correspondance par poste et télécommunication, l’utilisation d’appareils de localisation ou de surveillance ou encore l’infiltration dans des systèmes et des réseaux informatiques, une obligation d’informer la personne s’applique à la fin de l’opération (art. 33 de la loi fédérale sur le renseignement [LRens] ; RS 121). La Suisse veille donc à une transparence renforcée également lors de traitements sensibles de données par des acteurs étatiques. 2. Chaque année, des acteurs étatiques fédéraux, cantonaux et communaux collectent des données personnelles nécessaires à l’accomplissement de leurs tâches. Le Conseil fédéral n’a pas connaissance d’une statistique qui recenserait les cas où s’applique le devoir d’informer à la suite de mesures étatiques de collecte de données. Le traitement de données par des autorités publiques se fonde sur des bases légales qui garantissent la transparence quant à l’autorité responsable du traitement, à la finalité du traitement et aux destinataires des données en cas de communication à des tiers. Des dérogations ne sont possibles qu’exceptionnellement (voir en particulier l’art. 34, al. 4, LPD). 3./8. Les États membres de l’UE sont tenus de respecter notamment le règlement (UE) 2016/679 (Règlement général sur la protection des données, RGPD) et la directive (UE) 2016/680 qui concerne la protection des données dans le secteur répressif, qui est aussi contraignante pour la Suisse en tant qu’État associé à Schengen. Ces deux textes imposent aussi aux autorités un devoir d’informer en cas de collecte et/ou de traitement de données personnelles, mais ils prévoient également la possibilité pour les États membres d’adopter des limitations pour des motifs d’intérêt public (art. 23 RGPD ; art. 13 directive (UE) 2016/680). Il semble que, de manière générale, la plupart des États membres prévoient de telles limitations, notamment dans le domaine répressif (voir notamment le Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif ; COM/2022/364 final, p. 18). Les obligations du responsable du traitement, respectivement du sous-traitant, en matière d’annonce des violations de la sécurité des données et d’information prévues par la LPD s’appliquent, comme dans l’UE, tant aux privés qu’aux organes fédéraux (art. 24 LPD). 5./7. Comme exposé ci-dessus, le droit suisse impose dans divers cas des obligations d’informer de la collecte de données personnelles non seulement aux acteurs privés, mais aussi aux organes fédéraux et autres services publics, afin de garantir la transparence du traitement des données. Des adaptations législatives ne sont dès lors pas nécessaires en l’état actuel aux yeux du Conseil fédéral. Le Conseil fédéral estime en outre qu’une protection juridique suffisante contre les traitements de données non transparents et une surveillance indépendante de la protection des données sont garanties : une violation du principe de transparence, qui est le principe essentiel de tout traitement (art. 6, al. 3, LPD), ou un traitement de données sans base légale peut constituer un traitement illicite de données par un organe fédéral. En vertu de l’art. 41 LPD, la personne concernée peut faire valoir en pareil cas une série de prétentions à l’égard de l’organe fédéral responsable, comme demander qu’il s’abstienne de procéder à un traitement illicite, qu’il supprime les effets d’un traitement illicite ou qu’il rectifie les données personnelles, les efface ou les détruise. Lorsque le traitement s’inscrit dans une mesure de contrainte ordonnée dans une procédure pénale, la personne dont les données ont fait l’objet d’un traitement peut former un recours conformément aux art. 393 ss CPP. Le recours contre une décision du SRC est régi par les dispositions de l’art. 83 LRens. Si des indices suffisants font penser qu’un traitement de données effectué par un organe fédéral pourrait être contraire à des dispositions de protection des données, le Préposé fédéral à la protection des données et à la transparence (PFPDT) ouvre une enquête d’office ou sur dénonciation (art. 49, al. 1, LPD). S’il constate une violation des dispositions de protection des données, le PFPDT peut ordonner la modification, la suspension ou la cessation de tout ou partie du traitement ainsi que l’effacement ou la destruction de tout ou partie des données personnelles (art. 51, al. 1, LPD). Il peut notamment ordonner à l’organe fédéral d’informer les personnes concernées conformément à l’art. 19 LPD (art. 51, al. 3, let. c, LPD). La surveillance de traitements effectués par des autorités cantonales ou communales est du ressort des services cantonaux compétents pour la protection des données.