Lexipedia

15.3046 · Interpellation · 2015-03-04

Département de justice et police

Liquidé

Wortlaut

1. Les entreprises et collectivités publiques ou parapubliques qui traitent des données personnelles ont-elles l'obligation d'informer les personnes dont elles traitent les données en cas de vol ou de perte de données, notamment sensibles ? Si non, le Conseil fédéral envisage-t-il d'inscrire une telle obligation dans la LPD ou une autre législation ?

2. Quelles obligations ces entreprises et collectivités ont-elles envers les personnes dont les données ont été volées ou perdues ? Doivent-elles notamment tout mettre en oeuvre pour éviter l'usurpation d'identité ? Doivent-elles prendre en charge tous les frais qui découlent du vol ou de la perte (notamment les démarches administratives pour obtenir de nouvelles données)?

3. Le droit du travail (privé et public) est-il en particulier suffisant pour protéger les travailleurs dont l'employeur se fait voler ou perd les données que la loi l'autorise à traiter ?

4. Quelles mesures existe-t-il en cas de vols de numéros AVS, notamment en vue de prévenir l'usurpation d'identité ou l'abus de prestations ?

5. L'AVS a-t-elle l'obligation de fournir un nouveau numéro AVS en cas de vol de données (en particulier en cas de risque d'usurpation d'identité)? Si non, pourquoi ? Le Conseil fédéral compte-t-il combler cette lacune ?

6. La législation en vigueur est-elle suffisante en cas de vol ou de perte de données bancaires, notamment en vue de prévenir l'usurpation d'identité ?

7. La sécurité des systèmes informatiques des banques, que cela soit au niveau des sites Internet, des sites de e-banking ou du système coeur, est-elle assurée ? Par qui sont-ils vérifiés et contrôlés ? Peut-il y avoir une sanction en cas de défaut de sécurité informatique d'une banque ?

8. Le Conseil fédéral est-il prêt à étudier ces problèmes en détails dans le cadre de sa réponse à la motion 14.3288 ?

Begründung

Les récentes attaques informatiques contre la BCGE, Sony, Linkedin, J. P. Morgan Chase ou Home Depot ont montré que des pirates pouvaient dérober un grand nombre de données de clients ou de collaborateurs, parmi lesquelles des données éminemment sensibles comme des numéros de sécurité sociale ou de compte bancaire. Il est malheureusement à craindre que ces attaques se multiplient et s'aggravent. Parmi les désagréments que subissent les victimes, il y a notamment le risque accru d'usurpation d'identité.

Stellungnahme des Bundesrates

1. La loi fédérale sur la protection des données (LPD ; RS 235.1) ne prévoit pas une obligation pour les maîtres de fichiers d'informer la personne concernée en cas de violation de ses données personnelles. Une partie de la doctrine considère néanmoins qu'une telle obligation découle des principes généraux de sécurité (art. 7 LPD) et de la bonne foi (art. 4 al. 2 LPD).

Aujourd'hui, le droit de la protection des données fait l'objet d'un remaniement tant au sein du Conseil de l'Europe que de l'Union européenne. Ces réformes prévoient une obligation d'informer l'autorité de contrôle et/ou la personne concernée. Le 1er avril 2015, le Conseil fédéral a chargé le Département fédéral de justice et police (Office fédéral de la justice) de préparer un avant-projet de révision de la LPD en tenant compte des développements européens. L'introduction d'une obligation de notifier la violation de données personnelles sera examinée dans le cadre de ces travaux.

2. Si la perte ou le vol de données découlent d'une violation de l'article 7 LPD, les remèdes de la protection de la personnalité pourront être mis en oeuvre contre cette violation et ses conséquences (art. 15 LPD, en relation avec l'art. 28a CC pour les personnes privées, l'art. 25 LPD pour les organes fédéraux). Les obligations prévues aux articles 7 LPD et 8 alinéa 1 lettres d et e OLPD (RS 235.11) impliquent de prendre des mesures aux fins d'empêcher une utilisation abusive des données. Les entreprises et les collectivités concernées ont aussi tout intérêt à limiter le dommage que peuvent subir les victimes et qu'elles pourraient être tenues de réparer. Les frais découlant de la perte ou du vol des données pourront entrer dans le dommage à réparer par l'entreprise ou la collectivité.

3. L'article 328b CO concrétise l'obligation de protéger la personnalité du travailleur en matière de protection des données. Les obligations de sécurité en vertu de la LPD s'imposent donc également à l'employeur. En cas de perte ou de vol de données le concernant, le travailleur peut demander la cessation de l'atteinte et la réparation du dommage subi.

En ce qui concerne le personnel de la Confédération, la protection de la personnalité de l'employé est assurée par l'art. 4, al. 2, let. g, de la loi sur le personnel de la Confédération (Lpers ; RS 172.220.1) qui dérive de l'article 328 CO. La responsabilité de l'employeur en cas de dommage causé à son employé, est régie par la loi sur la responsabilité (LRCF ; RS 170.32).

Le Conseil fédéral est d'avis que ces réglementations sont suffisantes. Les développements du droit de la protection des données décrits au chiffre 1 s'appliqueront en outre pleinement à la relation de travail tant dans le secteur privé que public.

4. Le NAVS13 (numéro AVS à 13 chiffres) est un attribut d'identification à caractère public au même titre que le nom de famille, le prénom et la date de naissance par exemple. Depuis 2008, il ne permet plus de déduire l'âge, la nationalité ou le sexe d'une personne. Le NAVS13 ne constitue pas un document officiel d'identité et ne permet pas de produire une preuve recevable et formelle d'identité. En effet, le NAVS13 n'est qu'un attribut d'identification administratif mis à disposition des collectivités pour être employé en sus des attributs d'identification démographiques usuels (nom, prénom, etc.) à des fins administratives uniquement. Il ne dispense en rien les utilisateurs systématiques de cet identificateur d'un devoir légal de s'assurer de l'identité d'une personne par la présentation d'une pièce d'identité officielle. Par ailleurs, le NAVS13 ne donne aucunement accès à une quelconque prestation des assurances sociales sur simple présentation. Aucune mesure administrative particulière n'est par conséquent prévue en cas de vols de numéro AVS.

5. Puisque le vol d'un NAVS13 n'entraîne pas de risque supplémentaire d'usurpation d'identité qui résulterait d'un usage abusif de l'identificateur par un tiers, la Centrale de compensation, qui dispose de l'exclusivité en matière d'attribution du NAVS13, n'a pas d'obligation de changer le numéro d'une personne assurée en cas de vol de données, même si une utilisation illégale de cet identificateur constitue un délit au sens de l'article 87 LAVS (RS 831.10). Par ailleurs, aucun vol problématique de NAVS n'est connu à ce jour. Il n'existe pas de lacune.

6. Les banques sont également tenues de respecter les principes généraux de sécurité de la LPD (voir ci-dessus ch. 1 et 2). Lors de la révision partielle de la circulaire de la FINMA 2008/21 "Risques opérationnels - banques", les exigences relatives aux risques opérationnels et au traitement des données électroniques de clients ont été renforcées. Les exigences concernant notamment les données d'identification du client prévoient que les banques sont tenues de mettre en oeuvre certaines mesures afin de prévenir les risques de vol ou de perte des données des clients (annexe 3 de la circulaire). Le Conseil fédéral est de l'avis que cette réglementation est suffisante.

7. La circulaire de la FINMA 2008/21 prescrit que la direction opérationnelle de la banque doit se doter d'une infrastructure technologique adéquate afin notamment d'atténuer les risques opérationnels. Elle doit en outre garantir la sécurité et l'intégrité des données d'identification des clients (annexe 3). En règle générale, une société d'audit est chargée de contrôler la mise en oeuvre de cette circulaire. La FINMA a également la possibilité de procéder à un contrôle sur place. Lors de cas de violation graves tels que la perte de données de clients, la FINMA peut prononcer certaines mesures à l'encontre de la banque conformément à la loi sur la surveillance des marchés (RS 956.1). La banque peut également être poursuivie pour violation du secret bancaire au sens de l'art. 47, al. 2, la loi fédérale sur les banques (RS 952.0).

8. Suite à l'adoption de la motion Comte 14.3288, le Conseil fédéral est chargé de présenter une modification du droit pénal faisant de l'usurpation d'identité une infraction pénale à part entière. Dans le cadre de l'élaboration de la modification législative demandée, le Conseil fédéral analysera la problématique de l'usurpation d'identité sous l'angle pénal. Si, lors de cet examen, de nouvelles lacunes devaient apparaître, il n'exclut pas de proposer des mesures supplémentaires.

Réponse du Conseil fédéral.