09.089 · Objet du Conseil fédéral · 2009-11-27
Département de justice et police
Liquidé
Zusammenfassung
Message du 27 novembre 2009 concernant la modification de la loi sur l'organisation du gouvernement et de l'administration (Protection des données résultant de l'utilisation de l'infrastructure électronique)
Ausgangslage
Par ce projet, le Conseil fédéral propose au Parlement de créer dans la loi sur l'organisation du gouvernement et de l'administration (LOGA) et dans les lois sur les tribunaux fédéraux la base légale formelle nécessaire pour traiter les données personnelles liées à l'utilisation de l'infrastructure de l'administration.
Dans le monde du travail d'aujourd'hui, nombre d'outils électroniques sont devenus indispensables. C'est également le cas dans l'administration : les organes de la Confédération recourent évidemment au téléphone et à l'informatique, mais aussi à de nombreux autres appareils. L'utilisation de cette infrastructure électronique laisse inévitablement des traces donnant des informations sur les utilisateurs.
Plusieurs lois autorisent dans certaines circonstances l'enregistrement et l'analyse de données générées lors de l'utilisation de l'infrastructure électronique, notamment dans le cadre d'une procédure pénale. Toutefois, aucun texte ne réglementait jusqu'ici l'utilisation par l'administration fédérale, dans le cadre de son activité ordinaire, du contenu des communications et des données relatives aux communications.
Or, du point de vue de la protection des données, le traitement de données sensibles n'est autorisé que dans la mesure où il se fonde sur une base légale formelle. Les dispositions que le Conseil fédéral propose d'introduire dans la loi sur l'organisation du gouvernement et de l'administration visent à combler cette lacune. Les nouvelles dispositions partent de l'idée que les organes de la Confédération ne sont en principe pas autorisés à traiter les données personnelles résultant de l'utilisation de l'infrastructure électronique. L'enregistrement de certaines données et leur analyse dans les buts strictement prévus par la loi sont réservés. Pour résumer, il s'agit d'autoriser le traitement des données personnelles à des fins techniques, statistiques et organisationnelles, pour autant que cela soit nécessaire au fonctionnement de l'administration fédérale. Les critères sont à cet égard plus stricts pour le traitement de données se rapportant à des personnes que pour des analyses dont les résultats contiennent exclusivement des données anonymisées. La loi ne fait qu'établir des principes. La conservation et la destruction des données, l'accès aux données et d'autres modalités seront définis au niveau réglementaire. (Source : message du Conseil fédéral)
Verhandlungen
Au Conseil national, Rudolf Joder (V, BE), rapporteur de la commission, a regretté que le projet prévoie de régler au niveau de l'ordonnance, et non pas au niveau de la loi, certaines modalités telles que l'accès aux données, leur délai de conservation ou encore leur destruction. Selon lui, des dispositions importantes risqueraient ainsi d'échapper au processus législatif, et par conséquent au débat politique. En outre, toujours selon Rudolf Joder, le projet présente d'importantes lacunes sur le plan de la technique législative : les dispositions relatives à la protection des données sont éparpillées dans différentes lois et à différents niveaux (lois et ordonnances), présentation compliquée et confuse qui entraverait considérablement leur application. En conséquence, la majorité de la commission a proposé de ne pas entrer en matière sur le projet. Le Conseil national s'est toutefois rallié à la proposition d'une minorité emmenée par Hugues Hiltpold (RL, GE), et a approuvé l'entrée en matière par 79 voix contre 75. L'objet a ensuite été renvoyé à la commission pour la discussion par article.
Lors de la discussion par article, le Conseil national a suivi la majorité des propositions du Conseil fédéral. Les points de divergence ont donné lieu à l'ajout d'un second alinéa à l'art. 57o. Celui-ci dispose que l'analyse de données personnelles ne peut être effectuée que par les organes de la Confédération et après information écrite de la personne concernée. S'agissant de l'art. 57q, le conseil a adopté une proposition de Marlies Bänziger (G, ZH), qui prévoit d'attribuer la compétence en matière de dispositions d'exécution non pas au Conseil fédéral mais à l'Assemblée fédérale (al. 1). Cette proposition s'est imposée face à la proposition de la majorité de la commission par 123 voix contre 24. De plus, un al. 2 a été ajouté et dispose que les données ne pourront être conservées qu'aussi longtemps que nécessaire.
Le Conseil des États a suivi le Conseil national sur la quasi-totalité des points, à l'exception de l'art. 57q : à l'instar du gouvernement, il souhaitait que les dispositions d'exécution demeurent du ressort du Conseil fédéral.
Arguant que la gestion de données personnelles était un domaine extrêmement sensible, le Conseil national a décidé, par 91 voix contre 56, de maintenir sa version.
Le Conseil des États a lui aussi campé sur sa position, par 21 voix contre 13.
Le Conseil national a finalement approuvé une proposition de compromis émanant de sa commission, aux termes de laquelle le Conseil fédéral édictera les dispositions applicables au personnel de la Confédération (art. 57q, al. 1), tandis que le Parlement pourra édicter celles concernant les membres de l'Assemblée fédérale et le personnel des Services du Parlement (art. 57q, al. 3).
Le Conseil des États s'est rallié à cette décision à l'unanimité et sans discussion.
Au vote final, la loi a été adoptée par 189 voix contre 1 au Conseil national et par 42 voix contre 0 au Conseil des États.