Lexipedia

559.16-1

Convention intercantonale et inter-autorités relative à l'échange de données pour exploiter des systèmes de suivi et d'analyse de la situation dans le domaine de la délinquance sérielle

du 14.06.2019 (état au 01.09.2020)

Préambule

Les soussignés,

en application des articles 48, 56, 57 et 189, alinéa 2 de la Constitution fédérale de la Confédération suisse du 18 avril 1999[1],

approuvent la convention intercantonale et inter-autorités ci-après.

1 Dispositions générales

Art. 1 Objet et but

La présente convention a pour objet de lutter efficacement contre la délinquance sérielle par la création et l'exploitation de banques de données intercantonales et inter-autorités et de permettre les échanges de données dans ce domaine entre cantons et autorités.

Elle vise à prévenir et élucider les crimes et délits en série et à identifier les auteurs présumés ou des personnes suspectes. À cet effet, les parties à la présente convention participant à une banque de données (ci-après «participants») échangent les données policières visées à l'article 8, en particulier au moyen de banques de données communes.

Les analyses des données servent aux destinataires à établir des tableaux de la situation et à conduire des investigations.

Les parties à la présente convention (ci-après «parties») peuvent créer et exploiter des banques de données communes et échanger ou transmettre des données, y compris des données particulièrement dignes de protection.

Art. 2 Structure

Un règlement d'exploitation est établi pour chaque banque de données commune régie par la présente convention. Les parties peuvent choisir librement de participer à une banque de données commune et aux échanges de données afférents par l'approbation du règlement d'exploitation de ladite banque de données.

Les dispositions de la présente convention ont valeur de principes et sont concrétisées dans les règlements d'exploitation de chacune des banques de données communes.

2 Organisation

Art. 3 Organe de surveillance intercantonal

L'organe de surveillance intercantonal s'assure du respect de la présente convention.

Il se compose d'une représentante ou d'un représentant des gouvernements de chacune des parties ainsi que du ou de la responsable politique de l'autorité fédérale.

Il rend périodiquement compte aux gouvernements cantonaux des parties et à l'autorité fédérale compétente. Si le droit de l'une ou l'autre des parties en dispose ainsi, le rapport contient en outre une évaluation des différentes banques de données.

Art. 4 Comité directeur

Un comité directeur est institué, qui se constitue lui-même. Chacune des parties nomme une ou un responsable pour y siéger. Il incombe en particulier au comité directeur

  1. d'assurer la conduite et la mise en œuvre stratégiques de la présente convention;
  2. de recevoir les demandes d'adhésion et les dénonciations de la présente convention;
  3. de régler les différends. Dans des cas particuliers, il peut instituer un tribunal arbitral indépendant.

Le comité directeur édicte les règlements d'exploitation visés à l'article 7, mais la définition de la clé de répartition selon l'article 14 est réservée aux participants exclusivement.

Art. 5 Service central et services extérieurs

L'exploitation de chaque banque de données est assurée par un service central, agissant le cas échéant en qualité de preneur de licence.

Le service central bénéficie pour ce faire du concours de services extérieurs mis à disposition par chacun des autres participants.

Le service central et les services extérieurs sont responsables du traitement des données de leur ressort ainsi que des données fournies par des tiers.

Chaque participant désigne nommément les membres de son personnel chargés des échanges de données au sein du service central et des services extérieurs et il en avise le service central.

Art. 6 Responsabilité

La responsabilité d'assurer la protection et la sûreté des données incombe à la commandante ou au commandant de la police ayant la fonction de service central.

Le service central et les services extérieurs s'assurent que leurs données sont licites et exactes. Les modalités de détail sont définies dans les règlements d'exploitation.

3 Contenu du règlement d'exploitation et principes régissant le traitement des données

Art. 7 Règlement d'exploitation

Un règlement d'exploitation est édicté pour chaque banque de données exploitée en vertu de la présente convention. Il doit être approuvé par tout participant avant son adhésion à la banque de données.

Il tient compte des principes définis dans la présente convention pour fixer en particulier les modalités de détail concernant:

  1. le but et le contenu de la banque de données;
  2. les droits d'accès à la banque de données;
  3. la garantie de la licéité et de l'exactitude des données;
  4. la clé de répartition applicable selon l'article 14;
  5. les conséquences financières de la sortie de la banque de données de l'un ou l'autre participant et la répartition des éventuels coûts de liquidation selon l'article 16, alinéa 2;
  6. la responsabilité mutuelle des participants pour les dommages découlant d'un traitement de données illicite ou d'un défaut de diligence;
  7. l'effacement de données en application des articles 13 et 16.

Art. 8 Contenu

Les participants traitent dans la banque de données commune exclusivement des données recueillies et communiquées licitement par des autorités de police communales, cantonales et fédérales ou par d'autres organisations partenaires en Suisse ou à l'étranger.

Les données suivantes peuvent être traitées:

  1. informations sur l'incident et le lieu de l'incident;
  2. informations sur le mode opératoire et les moyens utilisés;
  3. informations sur les auteurs connus et inconnus et sur les suspects: nom, prénom, date de naissance, sexe, alias, nationalité, signalement, photos, numéro d'identification de documents d'identité officiels, numéros de passeport, numéros personnels, entreprises, numéros de téléphone, adresses, adresses IP, URI, adresses électroniques, autres informations sur les appareils de communication et les appareils informatiques employés, noms utilisés sur les réseaux sociaux et dans les jeux en ligne (pseudonymes, etc.), données d'enregistrement et d'accès aux comptes (y compris données biométriques), modes opératoires favoris;
  4. informations sur les personnes physiques et morales lésées: nom, prénom, date de naissance et sexe ou raison sociale et siège;
  5. informations sur le produit de l'infraction;
  6. informations sur les véhicules pouvant être en lien avec l'incident;
  7. informations concernant les liens entre plusieurs incidents (reposant sur des éléments situationnels et sur des traces matérielles ou électroniques);
  8. images en lien avec l'incident;
  9. éléments fournis par des sources d'information;
  10. numéros de contrôle de processus selon l'article 8, alinéa 3 de la loi fédérale du 20 juin 2003 sur l'utilisation de profils d'ADN dans les procédures pénales et sur l'identification de personnes inconnues ou disparues (loi sur les profils d'ADN)[2];
  11. informations sur les moyens de paiement et les flux financiers;
  12. données de procédure.

Art. 9 Traitement des données

Les participants sont habilités à échanger entre eux, à enregistrer dans une banque de données centrale et à analyser électroniquement les données énumérées à l'article 8, alinéa 2, dans le respect des principes de l'article 8, alinéa 1.

La sauvegarde physique des données relève de la responsabilité exclusive du service central de chaque banque de données.

Art. 10 Droits d'accès

L'accès à chaque banque de données est ouvert uniquement aux personnes formées à cet effet et désignées par le service central et les services extérieurs concernés selon l'article 5, alinéa 4.

Les autres membres du personnel des participants qui en ont besoin pour accomplir leurs tâches reçoivent des informations issues de la banque de données de manière indirecte uniquement, en particulier sous la forme de messages, d'analyses et de rapports.

Le service central et les services extérieurs sont habilités à modifier uniquement les données fournies par eux-mêmes. Ils ont accès en lecture seule aux données fournies par les autres services.

Les droits d'accès sont administrés par le service central.

4 Droit applicable et protection des données

Art. 11 Droit applicable

Le droit applicable est le droit du canton où est sis le service central. Il détermine le service compétent en matière de surveillance de la protection des données.

La licéité des saisies de données est réservée. Elle est régie par le droit applicable à l'autorité qui a enregistré ou fait enregistrer les données.

Art. 12 Droit d'information, de consultation et de rectification

Le droit d'information, de consultation et de rectification est régi par le Code de procédure pénale suisse du 5 octobre 2007 (Code de procédure pénale, CPP)[3] et par la législation sur la protection des données du canton où est sis le service central.

Le service central communique les renseignements ou fait rectifier ou effacer les données concernées après concertation avec l'autorité qui a enregistré ou fait enregistrer les données.

La consultation peut être limitée, différée ou refusée pour des motifs prévus par le droit du canton où est sis le service central ou par le droit fédéral.

Art. 13 Effacement de données

Les données saisies sont effacées en application des principes suivants:

  1. Les jeux de données sont effacés dès qu'ils cessent d'être nécessaires pour le traitement, mais au plus tard après dix ans.
  2. Le délai commence à courir à la date du dernier ajout de données concernant le dernier incident saisi.
  3. Les données relatives à une personne sont effacées d'office dès que la suspicion de participation à des délits selon l'article 1 a pu être levée avec vraisemblance.
  4. Le délai cesse de courir durant l'exécution d'une peine ou d'une mesure institutionnelle ou durant un placement de droit civil.

Les données relatives aux personnes lésées sont effacées ou anonymisées d'office par le service central dès que le but du traitement le permet, indépendamment du délai fixé à l'alinéa 1.

5 Financement des banques de données communes

Art. 14 Coûts et exploitation

Chaque participant supporte ses propres coûts d'infrastructure et de licence.

Les coûts d'exploitation du service central et du service de surveillance de la protection des données sont partagés entre les participants. La clé de répartition applicable est propre à chaque banque de données. Le choix de la clé de répartition est limité aux quatre possibilités suivantes:

  1. répartition au pro rata analogue aux modalités prévues aux articles 11 et 12 de la Convention du 10 novembre 2011 entre la Confédération et les cantons visant à harmoniser l'informatique policière en Suisse;
  2. nombre de participants;
  3. population résidante permanente des participants;
  4. volume des données.

La clé de répartition selon l'alinéa 2, lettres c et d peut être complétée par une contribution de base couvrant 40 pour cent au plus des coûts totaux. Cette contribution est répartie à parts égales entre les participants.

Le règlement d'exploitation de chaque banque de données définit la clé de répartition applicable. Le service central présente chaque année le compte de charges aux participants.

6 Sortie d'une banque de données commune

Art. 15 Dénonciation du règlement d'exploitation et sortie de la banque de données

Le règlement d'exploitation d'une banque de données peut être dénoncé pour la fin d'une année civile moyennant un préavis de six mois. La résiliation doit être adressée par écrit au comité directeur.

À la date à laquelle sa résiliation prend effet, le participant perd le droit d'utiliser la banque de données commune. Il est également libéré de son obligation de participation financière selon l'article 14.

Il est en principe exclu de rembourser les dépenses de biens et services et de personnel effectuées par le participant qui quitte la banque de données. Les modalités de détails sont régies dans le règlement d'exploitation.

Art. 16 Conséquences de la sortie

Les données fournies à la banque de données par le participant qui en sort sont effacées, dans la mesure où elles ne sont pas en lien avec un incident saisi par un autre participant.

La dissolution complète d'une banque de données entraîne l'effacement de tous les jeux de données qu'elle contient. Les éventuels coûts de liquidation sont supportés par les participants selon la clé de répartition définie dans le règlement d'exploitation.

7 Dispositions finales

Art. 17 Adhésion et dénonciation

Tous les cantons ainsi que les services appropriés de la Confédération peuvent adhérer en tout temps à la convention, avec effet immédiat.

Toute partie peut dénoncer son adhésion à la convention pour la fin d'une année civile moyennant un préavis de six mois.

La demande d'adhésion et la dénonciation sont à adresser en la forme écrite au comité directeur.

Art. 18 Entrée en vigueur

La présente convention entre en vigueur dès que deux parties au moins y ont adhéré et, si nécessaire, l'ont publiée dans leur recueil de lois.[4]

Les modifications de la présente convention requièrent l'accord de toutes les parties.

Art. 19 Notification à la Confédération et à l'organe de surveillance intercantonal

Le comité directeur informe la Chancellerie fédérale de la présente convention, conformément à la procédure prévue à l'article 27o de l'ordonnance du 25 novembre 1998 sur l'organisation du gouvernement et de l'administration (OLOGA)[5].

Il informe l'organe de surveillance intercantonal des règlements d'exploitation édictés en application de la présente convention, des banques de données communes et des éventuelles modifications.

Art. 20 Juridiction

Le comité directeur est compétent pour régler les différends découlant de l'application et de l'interprétation de la présente convention.

Art. 21 Responsabilité

Les dommages découlant du traitement illicite de données que les membres du personnel d'un participant causent de manière illicite à un autre participant, intentionnellement ou par négligence grave, dans l'accomplissement d'activités visées par la présente convention engagent la responsabilité de l'employeur de l'auteur du dommage.

Les dommages découlant du traitement illicite de données que les membres du personnel d'un participant causent de manière illicite à un tiers, intentionnellement ou par négligence grave, dans l'accomplissement d'activités visées par la présente convention engagent la responsabilité du canton où est sis le service central concerné. Celui-ci peut se retourner contre l'employeur de l'auteur du dommage.

Le droit d'action du participant dont la responsabilité est engagée et du tiers lésé contre les membres du personnel d'un autre participant est exclu.

La responsabilité des employées et employés envers leur employeur est régie par la législation applicable.

Egress

Bâle, le 14 juin 2019

Concordat de police de la Suisse du Nord-Ouest

20-083

Tableau des modifications par date de décision

Décision Entrée en vigueur Elément Modification Référence ROB
14.06.2019 01.09.2020 Texte législatif première version 20-083

Tableau des modifications par disposition

Elément Décision Entrée en vigueur Modification Référence ROB
Texte législatif 14.06.2019 01.09.2020 première version 20-083