Lexipedia

18.1021 · Question · 2018-03-16

Département de l'environnement, des transports, de l'énergie et de la communication

Liquidé

Wortlaut

L'entreprise Swisscom n'est hélas pas un exemple pour ce qui est de la protection des données. Elle fait partie de la régie publicitaire Admeira, qui se propose de vendre de la publicité personnalisée. Mais elle a modifié il y a un an sa politique de confidentialité de telle sorte que ses clients doivent demander expressément que leurs données ne soient pas transmises à des tiers. Et il est apparu à l'occasion du vol de données clients survenu en début d'année non seulement que Swisscom avait failli dans la conception de son système informatique, comme chacun a pu le voir, mais qu'elle n'avait pas non plus été à la hauteur en matière d'information des clients, qui d'une part ont été avertis beaucoup trop tardivement, et qui d'autre part ont dû demander par texto si le vol les concernait, l'entreprise n'ayant pas pris la peine de les joindre elle-même. D'où les questions que je pose au Conseil fédéral :

1. Est-il disposé, en sa qualité de propriétaire de Swisscom, à demander à celle-ci d'accorder une attention accrue à la protection des données ? Quelles mesures a-t-il d'ores et déjà prises concrètement, quelles mesures va-t-il encore prendre, et quand ?

2. S'assure-t-il que les données secondaires de télécommunication, qui sont conservées uniquement parce la loi sur la surveillance de la correspondance et la loi sur le renseignement l'exigent, ne soient pas détournées pour servir à un autre usage ?

3. S'agissant du vol de données rendu public au début de l'année 2018, que pense-t-il de l'attitude adoptée par Swisscom, notamment du retard de plusieurs mois avec lequel les clients ont été informés, de l'absence d'information proactive et du message d'avertissement reçu par les clients qui avaient envoyé un texto pour s'informer de leur situation, selon lequel leur démarche était susceptible d'entraîner des frais ?

Stellungnahme des Bundesrates

1. Swisscom est soumise à la loi fédérale sur la protection des données (LPD, RS 235.1) et à la surveillance du préposé fédéral à la protection des données (PFPDT). Le fait que Swisscom ait été victime d'un vol des données ne permet pas de conclure que l'entreprise n'accorde pas suffisamment d'attention à la protection des données.

Le Conseil fédéral ne voit pas de raison d'intervenir suite à cet incident. En tant que représentant des intérêts du propriétaire, en l'occurrence de la Confédération, le Conseil fédéral pilote Swisscom en lui assignant des objectifs stratégiques. Il incombe au conseil d'administration de mettre en oeuvre ces objectifs. Le Conseil fédéral n'intervient pas dans la gestion opérationnelle de l'entreprise.

Un des objectifs stratégiques assignés à Swisscom exige de "développer et d'exploiter une infrastructure de réseau et informatique moderne en tenant compte des besoins du marché, des progrès technologiques et de la sécurité (préserver en particulier le secret des télécommunications et garantir la protection des données)" (FF 2017 7445).

Le Conseil fédéral vérifie chaque année que Swisscom réalise les objectifs stratégiques. Concernant l'objectif susmentionné (sécurité), il a indiqué, après avoir pris en compte tous les éléments dont il avait connaissance, que : "Swisscom accorde une priorité élevée à la protection des données clients. Durant l'exercice, Swisscom a été victime d'un vol de données à large échelle, qui a porté sur les données de contact de 800 000 clients. ... les malfaiteurs ayant volé les droits d'accès d'un partenaire commercial. Bien qu'il ne s'agisse pas de" données sensibles "selon la définition de la loi sur la protection des données, Swisscom a renforcé le dispositif de protection. Au vu des éléments disponibles, le Conseil fédéral conclut que les intérêts du pays dignes de protection n'ont pas été mis en danger lors de cet incident." (Swisscom - Rapport succinct sur la réalisation des objectifs stratégiques en 2017 ; www.uvek.admin.ch - Le DETEC - Entreprises liées à la Confédération - Objectifs stratégiques et réalisation).

2. Swisscom doit respecter le principe de la finalité, selon lequel les données personnelles - dont font partie les différentes catégories de données secondaires (données accessoires) - ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances (art. 4, al. 3 LPD). Elle ne peut donc pas faire n'importe quel usage des différentes catégories de données secondaires. Les mandats de surveillance relèvent de différents systèmes : certains de ces systèmes sont exclusivement utilisés pour la surveillance tandis que d'autres sont aussi utilisés dans le cadre de l'exploitation et de la gestion des accès au réseau et des raccordements. Les systèmes sont protégés de telle sorte que seul du personnel spécialement formé et compétent y a accès. Selon l'arrêt 1C_598/2016, rendu le 2 mars 2018 par le Tribunal fédéral, les usagers peuvent demander à des tiers la restitution des données accessoires compte tenu de la protection des données.

3. Le Conseil fédéral a pris acte du fait que des inconnus ont accédé de manière illicite à des données d'adresses qui étaient stockées dans la banque de données des clients de Swisscom. Il apprécie que Swisscom ait signalé l'incident au PFPDT, bien que la loi sur la protection des données ne le prescrive pas. Il incombait à Swisscom de définir la date et le type d'informations qu'elle souhaitait fournir aux clients concernés et au public. De manière générale, il s'agit dans de tels cas de mettre en balance, d'une part le droit à la transparence des clients concernés et du public, de l'autre la nécessité de ne pas compromettre le dispositif de protection. Selon les informations en possession du Conseil fédéral, Swisscom n'a facturé aucun frais pour les SMS liés à cet incident.

Réponse du Conseil fédéral.