Lexipedia

17.4128 · Interpellation · 2017-12-13

Département de justice et police

Liquidé

Wortlaut

Le 4 décembre 2017, la CNIL française (Commission nationale de l'informatique et des libertés) a sommé l'entreprise Genesis de se mettre en conformité avec la loi pour pouvoir continuer de commercialiser ses jouets connectés. L'Allemagne a de son côté interdit ces jouets en février 2017. Il était apparu que des personnes mal intentionnées pouvaient se connecter via Bluetooth à des jouets connectés, sans qu'un mot de passe ou un autre type de sécurité ne soient nécessaires. Un individu pouvait donc facilement écouter et parler à un enfant à l'insu des parents. De plus, l'indication de l'analyse et de la transmission des données collectées à des fins publicitaires n'est également pas clairement mentionnée lors de l'achat du jouet. Les parents ne savent donc pas que leurs données et celles de leurs enfants sont transmises à l'étranger sans aucun contrôle.

Suite à diverses recherches, il est apparu qu'en Suisse, aucun organisme ne pourrait agir de la même manière que chez nos voisins pour garantir que la loi suisse soit respectée. Le Conseil fédéral est prié de répondre aux questions suivantes :

1. Le Conseil fédéral confirme-t-il qu'il n'est pas possible d'agir contre des objets connectés qui ne respecteraient pas certains minimas de sécurité au niveau de la protection des données ?

2. Pourquoi la loi sur la sécurité des produits ne peut-elle pas s'appliquer dans le cas d'atteinte à la sphère privée ?

3. Quelles solutions pourraient être mises en place pour qu'un organe fédéral puisse intervenir ?

4. Serait-il judicieux que le préposé fédéral à la protection des données et à la transparence puisse recommander au SECO de retirer du marché certains produits ?

5. Le Conseil fédéral peut-il garantir qu'avec la révision de la loi sur la protection des données et le principe du "privacy by design and by default" et du "control by design", ce type de problématique ne se présentera plus à l'avenir ?

6. Est-ce que l'importateur ou le distributeur doivent vérifier qu'un objet connecté soit sécurisé et conforme à la loi, comme c'est le cas dans l'alimentation ?

7. Où en sont les discussions au niveau européen pour mieux réagir face aux objets connectés non sécurisés ?

Stellungnahme des Bundesrates

Les jouets connectés peuvent tomber sous le coup de différentes dispositions légales. La loi fédérale sur la protection des données (LPD, RS 235.1) s'applique au traitement de données personnelles, sauf si les données sont traitées pour un usage exclusivement personnel et ne sont pas communiquées à des tiers. L'écoute et l'enregistrement de conversations peut être constitutif d'une infraction pénale (art. 179terss CP, RS 311.0). Les jouets connectés sont également régis par l'ordonnance du DFI sur la sécurité des jouets (OSJo, RS 817.023.11) et par l'ordonnance sur les installations de télécommunication (OIT, RS 784.101.2).

Le Conseil fédéral répond comme suit à l'interpellation :

1. Le Conseil fédéral estime qu'il est aujourd'hui déjà possible d'agir. Dans la mesure où l'entreprise qui fabrique le jouet connecté traite des données personnelles (par ex., par le biais d'une application téléchargeable) et pour autant que le traitement présente un lien suffisamment étroit avec la Suisse (ATF 138 II 346), la LPD s'applique. Le préposé fédéral à la protection des données et à la transparence (PFPDT) pourrait ainsi par exemple recommander au maître du fichier de cesser le traitement (art. 29 al. 3 LPD). Si sa recommandation n'était pas suivie, il pourrait porter l'affaire devant le Tribunal administratif fédéral pour décision (art. 29 al. 4 LPD). Le projet de révision de la LPD (P-LPD ; FF 2017 6803) prévoit de donner au PFPDT des compétences décisionnelles. Selon ce projet il pourrait, en cas de traitement illicite, interdire un traitement et ordonner la destruction des données personnelles concernées. Il pourrait aussi ordonner que des mesures techniques et organisationnelles appropriées en matière de sécurité soient prises (art. 45 al. 1 et 3 en lien avec art. 7 P-LPD).

2. Les biens protégés par la loi fédérale sur la sécurité des produits (LSPro, RS 930.11) sont la sécurité et la santé des utilisateurs ou de tiers. La LSPro a donc pour but de protéger la sécurité corporelle et la santé en tant que telles - on vise la protection contre les atteintes à l'intégrité corporelle lors de l'utilisation du produit - et non les données personnelles et la sphère privée. Il convient en outre de rappeler que les jouets connectés sont en première ligne régis par l'OSJo. La LSPro ne s'applique à titre subsidiaire que pour des aspects qui ne sont pas réglés par l'OSJo.

3. Nous renvoyons aux chiffres 1, 5 et 7.

4. Comme indiqué au chiffre 1, le PFPDT pourra, avec la révision de la LPD, rendre des décisions s'agissant du traitement de données personnelles. Il n'est en revanche pas prévu de lui donner des compétences permettant de retirer certains produits du marché. Cela sortirait du cadre de la protection des données.

5. Le P-LPD prévoit diverses mesures qui devraient contribuer à responsabiliser les responsables du traitement. Le respect des principes de protection des données dès la conception et par défaut en font partie. Par ailleurs, il devra assurer, par des mesures organisationnelles et techniques appropriées, une sécurité adéquate des données et effectuer une analyse d'impact lorsque le traitement est susceptible d'entraîner un risque élevé pour la personnalité des personnes concernées. On ne saurait toutefois exclure que d'autres mesures qui ne relèvent pas nécessairement de la protection des données soient nécessaires à l'avenir. Le Conseil fédéral renvoie en particulier à sa réponse au postulat Glättli 17.4295 qui demande un rapport sur l'examen des standards de sécurité des objets connectés.

6. Les produits mis sur le marché doivent remplir les exigences essentielles en matière de santé et de sécurité au sens de l'article 4 LSPro ou, à défaut, correspondre à l'état des connaissances et de la technique. Celui qui met un produit sur le marché doit pouvoir prouver qu'il est conforme aux exigences susmentionnées. Étant donné que la plupart des produits n'ont pas besoin d'une autorisation pour être mis sur le marché, la surveillance se fait a posteriori, au moyen de contrôles par échantillons et de déclarations. Comme indiqué au chiffre 2 toutefois, la LSPro ne protège pas les données personnelles et la sphère privée, si bien que les exigences essentielles de conformité des produits ne contiennent pas de prescriptions qui visent à protéger ces biens.

7. En ce mois de février 2018, discussions se déroulent au niveau européen sur la possibilité de rendre obligatoire des exigences supplémentaires en matière de protection des données pour les objets connectés sans fil dans le cadre de la directive 2014/53/UE (directive relative à l'harmonisation des législations des États membres concernant la mise à disposition sur le marché d'équipements radioélectriques). Dans la mesure où cette directive a été transposée dans l'OIT, le Conseil fédéral suivra avec intérêt les développements dans ce domaine. En outre, le Groupe de travail Article 29 sur la protection des données a formulé le 16 septembre 2014 des recommandations concernant les objets connectés.

Réponse du Conseil fédéral.