Lexipedia

22.3113 · Interpellation · 2022-03-14

Département de justice et police

Liquidé

Wortlaut

Un certain nombre de médias, reprenant des informations publiées par le site américain "Buzzfeed", ont fait savoir que la police cantonale de Saint-Gall et la police communale de la ville de Zürich ont testé le logiciel de reconnaissance faciale très controversé "Clearview". Cela s'est fait en toute illégalité, l'utilisation de ce logiciel n'étant pas autorisée en Suisse.

Alors que cette application ne devait être, semble-t-il, accessible qu'aux professionnels, il a été démontré que des dizaines voire des centaines de personnes et d'entreprises disposent d'accès personnels, utilisant "Clearview" pour leur usage personnel. L'utilisation de ce logiciel a fait scandale dans de nombreux pays et en Suisse il est indispensable que le Conseil fédéral agisse de manière urgente pour faire respecter cette interdiction.

- Comment le Conseil fédéral explique-t-il que des corps de police utilisent des logiciels, quels qu'ils soient, en toute illégalité ?

- Le Conseil fédéral entend-il dénoncer ces comportements et prendre à l'égard de leurs auteurs les sanctions qui s'imposent ?

- Quelles sont les mesures que le Conseil fédéral entend prendre pour protéger à l'avenir la population de ce type de pratiques ?

Stellungnahme des Bundesrates

1 et 2) Sur le plan légal, les cantons sont libres de leurs acquisitions et doivent s'en tenir à leurs dispositions cantonales en matière de droit des marchés publics et de droit de la protection des données. La Confédération n'a pas de compétence décisionnelle et ne s'exprime pas sur les acquisitions des polices cantonales. Sous réserve du droit cantonal, les polices cantonales disposent d'une marge de manoeuvre pour recourir à la reconnaissance faciale. Elles doivent cependant respecter les art. 13 et 36 Cst. et la Directive (UE) 2016/680 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités dans le domaine pénal, notamment dans le cadre de la coopération Schengen. Il y a par ailleurs lieu de tenir compte des exigences de la Convention pour la protection des personnes à l'égard du traitement automatisé des données personnelles (Convention 108+) ainsi que son protocole d'amendement (STCE : 223), que la Suisse s'apprête à ratifier.

Une reconnaissance faciale est un traitement de données personnelles qui ne peut se faire que sur une base légale claire et moyennant des garanties appropriées (notamment des mesures techniques et organisationnelles afin de prévenir toute destruction, perte, utilisation non autorisée, modification, etc.). En outre, si le système de reconnaissance faciale permet d'identifier la personne d'une manière univoque, il s'agira d'un traitement de données sensibles, qui implique des conditions et garanties encore plus importantes. L'arrêt ATF 146 I 11 du Tribunal fédéral précise que, sans base légale suffisante, l'enregistrement de données d'identification par les autorités cantonales à partir des plaques d'immatriculation dans le cadre d'un système de surveillance du trafic et le fait de les combiner en l'espace de quelques secondes avec d'autres banques de données constituent une atteinte à l'art. 13, al. 2, Cst. Dans l'arrêt, la base légale n'a pas été jugée suffisante.

Les exigences posées par le Tribunal fédéral et par la Cour européenne des droits de l'homme s'appliqueraient a fortiori si les autorités cantonales avaient recours à un système de surveillance et d'identification par reconnaissance faciale.

La Confédération ne fait pas usage du logiciel "Clearview".

3) Le Conseil fédéral garantit, dans son domaine de compétences, que les systèmes d'identification biométrique de personnes sont utilisés dans la stricte observation des bases légales en vigueur. La mise en oeuvre est du ressort des autorités fédérales concernées. Celles-ci doivent se porter garantes, dans toutes leurs actions, du respect des bases légales.

La nouvelle loi fédérale sur la protection des données (LPD ; BBl 2020 7397, entrée en vigueur probable au 1er septembre 2023) qualifie les données biométriques identifiant clairement une personne physique de manière univoque de données personnelles sensibles (art. 5, let. c, ch. 4). L'utilisation d'un logiciel de reconnaissance faciale, qui sert spécifiquement à identifier des personnes physiques de manière univoque, doit être qualifiée de traitement de données sensibles au sens de la nouvelle LPD. Les organes fédéraux auront besoin d'une base légale formelle pour traiter des données sensibles (art. 34, al. 2, let. a).

Réponse du Conseil fédéral.