09.4022 · Interpellation · 2009-11-26
Département de l'environnement, des transports, de l'énergie et de la communication
Liquidé
Wortlaut
Sachant que le Pakistan est un pays qui comporte certains risques, je pose au Conseil fédéral les questions suivantes :
1. Est-ce que les informations sont codées avant d'être envoyées dans des pays tiers, dans quel cas il ne serait pas possible de faire le lien entre des chiffres et des personnes ?
2. Est-ce que la protection des données est garantie par les opérateurs téléphoniques ? Si oui, de quelle manière ?
3. Si des personnes malveillantes pouvaient s'approprier ces données CRM, quelles informations pourraient-elles en retirer ?
Begründung
Les opérateurs téléphoniques font traiter les données CRM (Customer Relationship Management) à l'étranger.
Le CRM est ici considéré comme : "un processus permettant de traiter tout ce qui concerne l'identification des clients, la constitution d'une base de connaissances sur la clientèle, l'élaboration d'une relation client et l'amélioration de l'image de l'entreprise et de ses produits auprès du client.
Les données CRM sont utilisées afin de mieux cerner les besoins des clients et ainsi pouvoir leur faire des offres plus ciblées.
Swisscom, par exemple, fait traiter ses données au Pakistan.
Stellungnahme des Bundesrates
L'interpellation se réfère au traitement des "données téléphoniques" en général. Le développement fait toutefois explicitement référence à Swisscom qui ferait traiter ses données CRM au Pakistan. Questionnée à ce sujet, l'entreprise affirme qu'aucune donnée de ce type n'est traitée dans ce pays. Actuellement, seuls les travaux de maintenance d'une application spécifique seraient encore exécutés au Pakistan, mais Swisscom envisagerait de s'en charger à nouveau entièrement elle-même dès cette année.
Les réponses ci-dessous se basent sur les données des quatre principales entreprises de télécommunication actives en Suisse qui, selon le secteur considéré, couvrent ensemble jusqu'à 97 % des clients suisses. Il en ressort que ces entreprises respectent la loi. Le Conseil fédéral n'a pas de raison de soupçonner que d'autres fournisseurs de services de télécommunication ne respecteraient pas également les prescriptions applicables en matière de protection des données.
1. Avant le transfert de données personnelles à l'étranger, une série de mesures organisationnelles et techniques permet de garantir le respect de la loi du 19 juin 1992 sur la protection des données (LPD). Afin d'assurer la sécurité du transfert, les données sont notamment cryptées et authentifiées. Selon l'application, le contenu des données transmises est par ailleurs rendu anonyme. L'anonymisation n'est toutefois pas toujours possible ; dans certains cas, le nom et l'adresse sont nécessaires pour le traitement. En outre, des conventions de protection des données sont conclues, et des mesures organisationnelles, comme la restriction de l'accès aux données, sont prises et des contrôles réguliers effectués.
2. Lorsqu'ils transmettent des données personnelles à un destinataire situé à l'étranger, les détenteurs de fichiers - donc aussi les fournisseurs de services de télécommunication - sont tenus en particulier de se conformer à l'article 6 LPD. Celui-ci n'autorise la transmission que si le pays étranger dispose d'une législation adéquate sur la protection des données. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) tient une liste publique des pays qui remplissent cette condition.
La transmission de données personnelles à un destinataire domicilié dans un pays qui ne dispose pas d'une législation assurant un niveau de protection adéquat est autorisée dans certains cas seulement, par exemple si le destinataire s'est engagé contractuellement à garantir une protection adéquate ou si la communication a lieu entre des sociétés réunies sous une direction unique, sous réserve toutefois que les entités concernés obéissent à des règles assurant un niveau de protection des données adéquat.
Les données concernant le trafic des appels et la facturation sont envoyées uniquement dans les pays qui, selon la liste du PFPDT, garantissent une protection adéquate ou à des entreprises étrangères qui s'engagent par contrat à le faire. Toutefois, lorsque les abonnés téléphonent dans des pays peu sûrs, ils y génèrent évidemment aussi des données d'appel.
3. Si des personnes malveillantes à l'étranger devaient accéder à des données personnelles, elles ne pourraient s'emparer que des informations transmises depuis la Suisse. Suivant les opérations de traitement, il peut s'agir de numéros de téléphone, de noms, d'adresses, de données de facturation, d'habitudes en matière de téléphonie ou d'informations sur les services Internet utilisés. On ne peut toutefois pas exclure que les données mentionnées ci-dessus soient combinées avec des fichiers tenus par d'autres entreprises de services, actives par exemple dans le domaine des transactions par cartes de crédit ou des services Internet (recherche d'informations, courriels ou espaces de discussion). Pour toutes les données sensibles, les abonnés devraient donc opter pour un fournisseur offrant la protection la plus élevée possible.
Réponse du Conseil fédéral.