98.3529 · Motion · 1998-11-17
Département de justice et police
Liquidé
Wortlaut
Le Conseil fédéral est invité à soumettre aux Chambres fédérales une révision de la loi fédérale du 19 juin 1992 sur la protection des données (LPD). Cette révision a pour objectif :
1. d'imposer des bases légales pour toute liaison "on-line", même lorsqu'il s'agit d'un projet pilote ;
2. de prévoir, pour les requêtes et l'installation de liaisons "on-line" avec les systèmes informatiques de la Confédération, des normes minimales permettant d'améliorer la collaboration entre la Confédération et les cantons. La Confédération règle l'accès, l'utilisation, la protection et le contrôle de ses banques de données.
Antrag des Bundesrates
Le Conseil fédéral propose de transformer la motion en postulat.
Stellungnahme des Bundesrates
1. Selon le droit actuel, une base légale expresse est nécessaire pour établir une procédure d'appel permettant d'accéder en ligne à une banque de données qui est gérée par un organe fédéral au sens de l'art. 3, let. h, LPD et qui contient des données personnelles (art. 17 al. 1er, art. 19 al. 3 LPD). Une base légale expresse dans une loi formelle est même requise lorsque la procédure d'appel rend accessibles des données sensibles ou des profils de la personnalité (art. 19 al. 3 LPD). Le Conseil fédéral interprète ces dispositions comme s'appliquant à tout projet de banque de données, y compris durant la phase pilote. Cela étant, il serait inutile de réviser la LPD pour préciser que les exigences de cette loi valent aussi pour la phase pilote des projets informatiques.
Pour le Conseil fédéral, il s'agit à l'avenir non pas tant de renforcer les exigences de la LPD en matière de légalité mais plutôt d'optimiser ces exigences. La nécessité d'une base légale formelle expresse pour introduire une liaison avec procédure d'appel sur des données sensibles n'est en effet pas sans poser des problèmes lors de la phase initiale d'un projet. En l'absence de test en grandeur réelle, il est souvent difficile de circonscrire avec précision le cercle des instances administratives fédérales et cantonales, voire, dans certains cas, les personnes privées, susceptibles d'avoir besoin d'accéder par procédure d'appel à une banque de données en création. Le respect strict de l'exigence d'une base légale formelle peut conduire à une réglementation trop large qui crée des attentes chez les instances administratives mentionnées dans la loi et qui rend plus difficile le refus ultérieur d'une demande d'accès en ligne.
Conscient de ce problème, le Conseil fédéral est prêt à proposer une révision de la LPD en vue d'y introduire une réglementation particulière pour la phase pilote d'un projet, lorsqu'un motif d'intérêt public important rend indispensable le traitement de données sensibles ou de profils de personnalité avant l'édition d'une base légale formelle. On pourrait envisager la création d'une norme de délégation dans la LPD permettant de s'appuyer durant cette phase sur une ordonnance du Conseil fédéral, voire sur une autorisation du préposé fédéral à la protection des données qui serait assortie de charges. Le défaut provisoire de base légale formelle devrait être compensé par d'autres garanties permettant d'assurer la protection des droits des personnes concernées.
Dans la mesure où il ne ressort pas clairement du texte de la motion si la nécessité d'une base légale se réfère à une base légale formelle ou à une base légale matérielle, le Conseil fédéral propose de transformer la motion en postulat.
2. Actuellement, le champ d'application de la LPD est délimité en fonction de l'organe qui traite les données personnelles. Le traitement de données par les autorités cantonales est en principe régi non pas par la LPD mais par le droit cantonal (art. 2 al. 1er LPD). Peu importe que les données traités aient été obtenues directement par les autorités cantonales ou que celles-ci les reçoivent par un accès en ligne sur une banque de données gérée par la Confédération. Cette autonomie cantonale en matière de protection des données résulte de l'autonomie organisationnelle cantonale, un principe fondamental du fédéralisme suisse. En matière de protection des données, l'autonomie cantonale a cependant été restreinte déjà à plusieurs reprises par le législateur fédéral (cf. art. 16 al. 2, art. 37 al. 1er LPD ; art 16 al. 3 LMSI ; art. 16 al. 1er, art. 17 al. 1er LStat).
Ces extensions du champ d'application des dispositions fédérales de protection des données montrent que le législateur fédéral tend déjà à éviter que l'autonomie cantonale n'abaisse le seuil de protection des données transmises par la Confédération aux autorités cantonales. La Confédération a en effet la responsabilité de veiller à ne pas communiquer les données personnelles qu'elle gère à des tiers qui ne respecteraient pas les mêmes standards de protection. La sécurité d'un système informatique et la protection des données qui y sont contenues se mesurent à l'aune du maillon le plus faible. Actuellement, le niveau de protection des données est différent d'un canton à l'autre ; seuls 17 cantons et demi-cantons ont ainsi adopté une loi de protection des données et tous les cantons n'ont pas encore mis en place une autorité de protection des données comme l'art. 37, al. 2, LPD les y invite. Le large accès en ligne d'autorités cantonales et communales à certaines banques de données fédérales pourrait à l'avenir s'avérer problématique en l'absence d'une harmonisation entre la Confédération et les cantons sur les standards de protection à respecter. De ce point de vue, il ne serait pas inutile de fixer au niveau fédéral le standard à respecter en matière d'accès, d'utilisation, de protection et de contrôle des banques de données fédérales. Il conviendra toutefois d'examiner si ce standard doit prendre la forme de règles fédérales directement applicables ou s'il peut être atteint par des normes supplétives qui ne s'appliquent qu'en l'absence d'une réglementation cantonale correspondante.
C'est la raison pour laquelle le Conseil fédéral propose, sur ce point également, de transformer la motion en postulat.
Le Conseil fédéral propose de transformer la motion en postulat.