Commentaire de l’ordonnance sur les systèmes d’information de la Confédération dans le domaine du sport (OSIS, projet du 25.01.2012)
1. Introduction
1.1 Complexité du droit fédéral dans le domaine de la protection des données en
rapport avec les systèmes d’information dans le domaine du sport (et donc de l’OFSPO) Le droit général de la Confédération sur la protection des données, c’est-à-dire la loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1) et l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD; RS 235.11), règle en principe l’exploitation de banques de données au sein de l’administration fédérale. Il ne manque donc, en plus de cette législation transversale qui contient avant tout des prescrip- tions relatives à la protection formelle des données, que des bases légales (éventuellement bases juridiques formelles) matérielles portant sur l’exploitation de banques de données ou de systèmes d’information. De telles bases légales se situent au niveau de la législation spé- cialisée. Les art. 20 et 21 OLPD, en rel. avec les art. 8 à 10, contiennent des prescriptions complètes et détaillées sur l’exploitation des systèmes d’information, notamment en matière de sécurité des données et en vue de la réglementation des accès dans un règlement de traitement. Pour trois des domaines dans lesquels l’OFSPO traite des données personnelles dans ses systèmes d’information, la législation actuelle comporte des bases légales suffisantes, ré- glant de manière détaillée et exhaustive le traitement des données personnelles: – Gestion générale des affaires: l’art. 57h de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA; RS 172.010) contient une base légale pour le traitement des données personnelles (y compris les données sensibles et les profils de la personnalité) dans un système d’information et de documentation «à des fins d’enregistrement, de gestion, d’indexation et de contrôle de la correspondance et des dossiers». Cette norme a été édictée comme base pour GEVER, mais son champ d’application va bien plus loin: pour l’OFSPO, elle couvre, à l’échelon législatif, l’ensemble de l’administration de la Haute école ainsi que l’administration des bâtiments et des installations. – Données concernant le personnel: l’art. 27 de la loi fédérale du 24 mars 2000 sur le per- sonnel de la Confédération (LPers; RS 172.220.1) règle le traitement des données concernant le personnel des organes fédéraux. L’ordonnance y relative du 26 octobre 2011 concernant la protection des données personnelles dans l’administration fédérale (RS 172.220.111.4) règle de manière complète le traitement de ces données sur la base de l’art. 27 LPers. Etant donné que la LPers s’applique à tout le personnel de l’administration fédérale à l’exception des apprentis et que le champ d’application de l’ordonnance concerne explicitement «le traitement des données personnelles relatives aux employés, aux anciens employés et aux candidats aux emplois de l’administration fédérale», ces dispositions du droit du personnel de la Confédération couvrent non seu- lement le traitement des données personnelles du personnel fédéral, et donc de celui de l’OFSPO, mais aussi le traitement des données personnelles des enseignants. – Traitements cliniques et thérapeutiques du service médical de l’OFSPO: s’agissant des traitements cliniques et thérapeutiques qu’il propose (examens, traitements, soins, suivi de patients malades et blessés), le service médical de l’OFSPO est comparable à un ca- binet médical de groupe ou une clinique privée. Il est donc en concurrence avec les cabi-
Commentaire Projet d’OSIS du 06.03.2012 Page 2
nets médicaux privés. Il est soumis à l’autorisation des autorités sanitaires du canton de Berne, et, en tant qu’activité de droit privé exercée par un organe fédéral, aux prescrip- tions de la loi sur la protection des données (cf. art. 23, al. 1, LPD). Au niveau fédéral, la LPD et l’OLPD règlent de manière complète le traitement des données personnelles. Il ne reste ainsi aucune marge pour des dispositions supplémentaires dans le droit public fédéral. Toutefois, étant donné que le service médical de l’OFSPO est soumis à l’autorisation des autorités sanitaires bernoises, les dispositions du droit sanitaire bernois concernant le traitement des données personnelles sont également applicables. Celui-ci règle de manière complète la gestion des documents relatifs aux patients (y compris leur conservation et leur destruction), l’obligation de renseigner et de garder le secret ainsi que les droits de patients. Le 1er octobre 2010, le Parlement a adopté un complément à la LOGA qui règle la question de l’enregistrement et de l’analyse des données personnelles liées à l’utilisation d’une infras- tructure électronique (FF 2010 5993). Pour l’OFSPO, ces nouvelles dispositions concernent tous les systèmes de contrôle des entrées et des sorties dans les bâtiments et installations (y compris les systèmes automatiques pour la vente de prestations, cf. art. 57k, let. e et f, nLOGA). Les systèmes actuels de l’OFSPO et l’utilisation qui en est faite sont tout à fait conformes à ce qui sera admis dans la nouvelle loi (art. 57l et 57o nLOGA). Le présent projet d’ordonnance se fonde sur toutes ces nouvelles dispositions, en particulier sur l’art. 57q nLOGA. Ces dispositions entreront en vigueur le 1er avril 2012. En plus de ces dispositions concernant le traitement des données personnelles, la nouvelle législation sur le sport s’accompagne des nouvelles prescriptions suivantes: – La loi sur l’encouragement du sport (LESp) règle ainsi l’examen extraordinaire de la répu- tation (art. 10), le traitement des données dans le domaine du dopage (art. 21, al. 3 et 4; art. 24) et l’échange de données avec l’étranger (art. 25). – La loi fédérale sur les systèmes d’information de la Confédération dans le domaine du sport (LSIS) règle le système d’information national sur le sport et le système d’information pour les données médicales de manière détaillée.
1.2 Bases légales formelles pour les systèmes d’information de l’OFSPO
Suite à une analyse détaillée des structures informatiques, il s’avère que l’OFSPO dispose, sur le plan technique, de six systèmes d’information traitant des données personnelles. L’exploitation de ces systèmes d’information est soumise aux dispositions de loi suivantes: Dénomination du système d’information (voir Base légale formelle aussi art. 1, al. 1, OSIS) a. Système d’information national pour le LSIS sport b. Système d’information pour les données LSIS; législation du canton de Berne médicales concernant la protection des données et la santé publique (pour les activités soumises à l’autorisation d’exercer) c. Banque d’adresses centralisée de Art. 57h LOGA; en partie LPD; art. 27 l’OFSPO LPers; en partie aussi art. 8 LSIS en rel. avec l’art. 9, let. a d. Système d’information de la Haute école Art. 57h LOGA; art. 27 LPers; en partie
Commentaire Projet d’OSIS du 06.03.2012 Page 3
fédérale de sport aussi art. 8, al. d, LSIS, en rel. avec l’art. 9, let. a, b, g et h e. Deux systèmes d’information destinés à Art. 57l ss LOGA; en partie aussi art. 57h l’exploitation des bâtiments et des installa- LOGA tions
1.3 Structure des dispositions à l’échelon réglementaire
Le projet d’ordonnance vise les trois buts suivants: – Eviter la surréglementation; – Eviter les redondances (tout ne doit figurer qu’une seule fois dans le droit fédéral); – Permettre une règlementation à l’échelon approprié (règlementation à l’échelon de l’acte législatif minimal requis selon le principe de légalité et correspondant à la systématique du droit général sur la protection des données). En conséquence, les dispositions dont le droit général sur la protection des données prévoit qu’elles soient inscrites au niveau du règlement de traitement de l’office (art. 21 OLPD), à savoir la description des champs de données et des unités d’organisation qui y ont accès, figurent désormais, dans le domaine du sport aussi, dans des règlements de traitement. Ain- si, ce qui se trouve aujourd’hui en partie à l’annexe de l’ordonnance du 30 octobre 2002 sur la banque de données nationale pour le sport (OBDNS; RS 415.051.1) figurera désormais dans les règlements de traitement au niveau de l’office. En effet, il n’est pas approprié de faire figurer dans une ordonnance du Conseil fédéral des champs de données qui doivent être modifiés chaque fois que le système d’information auquel ils appartiennent est adapté. Il n’existe aucun motif objectif de régler le traitement des données dans le domaine du sport autrement que dans le reste de l’administration fédérale.
1.4 Articulation
La première section contient des prescriptions d’ordre général qui s’appliquent à tous les systèmes d’information, à savoir la dénomination de l’entité exploitant le système et les auto- risations d’accès (pour le traitement des données, sous forme de renvoi au règlement de traitement). Les sections suivantes concernent chacune un système d’information en particulier, mais conservent la même structure thématique (les aspects qui ne concernent pas un système d’information, p. ex. parce qu’ils figurent déjà dans la loi, n’apparaissent pas dans cette structure): – But du système d’information; – Objet du système d’information (description détaillées des données); – Lien et/ou échange avec d’autres systèmes d’information; – Conservation des données; – Archivage et destruction des données. Le projet d’ordonnance est donc articulé en sections qui correspondent aux systèmes d’information de l’OFSPO (y compris dans le titre), ce qui en fait un acte législatif clair.
Commentaire Projet d’OSIS du 06.03.2012 Page 4
2. Commentaire article par article
2.1 Section 1 Dispositions générales
Préambule En ce qui concerne le préambule, nous renvoyons aux paragraphes 1.1 et 1.2 du présent commentaire. Art. 1 La LSIS ne régit que les deux systèmes d’information visés à l’art. 1, al. 1, let. a et b, OSIS. Il est donc nécessaire de réglementer tous les systèmes d’information au niveau de l’ordonnance. En ce qui concerne les bases légales formelles des systèmes d’information visés à l’art. 1, al. 1, let. c à e, nous renvoyons au paragraphe 1.2 du présent commentaire. Comme l’indique le paragraphe 1.1, les activités thérapeutiques et cliniques du service mé- dical de l’OFSPO sont soumises à la législation sanitaire du canton de Berne. Les obliga- tions que celle-ci impose eu égard au traitement des données des patients doivent être res- pectées en plus des dispositions fédérales. Art. 2 Nous renvoyons aux explications apportées au paragraphe 1.3. La nécessité d’édicter un règlement de traitement découle de l’art. 21 OLPD. Chacun des systèmes d’information soumis à l’ordonnance remplit au moins un des critères énoncés à l’art. 21, al. 1, let. a, c ou d, OLPD. Art. 3 Le fait que l’exploitant des systèmes de données soit nommément cité forme la base de l’exercice du droit d’accès prévu à l’art. 8 de la loi sur la protection des données. Art. 4 L’art. 4 définit les critères en vertu desquels des collaborateurs de l’OFSPO ont accès aux données des systèmes d’information. Au surplus, les autorités et organisations visées à l’art. 11 LSIS ont accès en ligne aux données du système d’information national pour le sport.
2.2 Section 2 Système d’information national pour le sport
Les art. 8 et 9 LSIS décrivent suffisamment le but de ce système et les données qu’il con- tient. La collecte de ces données et leur communication sont elles aussi suffisamment ré- glementées au niveau de la loi (respectivement aux art. 10 et 11 LSIS). Aussi l’OSIS ne con- tient-elle pas de prescriptions à cet égard. Art. 5 Pour ce qui est de la conservation des données personnelles, on part du principe que les intéressés doivent ou veulent être enregistrés dans le système d’information national tant qu’ils sont actifs sur le plan sportif. Certaines personnes, en effet, sont actives au sein du cadre J+S durant plusieurs décennies et, parallèlement ou alternativement, sont aussi ac- tives dans le sport de compétition ou le sport des adultes à certaines périodes de leur vie – ces activités constituant souvent le prolongement de leurs activités et expériences précé- dentes. Compte tenu du principe de proportionnalité instauré par la loi sur la protection des données (art. 4, al. 2, LPD), l’âge de 70 ans peut être considéré comme la limite au-delà de laquelle il
Commentaire Projet d’OSIS du 06.03.2012 Page 5
n’est plus justifié de conserver des données personnelles sans examen. Les données per- sonnelles sont donc conservées dans la banque de données et ne sont effacées qu’à partir du moment où la personne atteint l’âge de 70 ans, si elles n’ont plus été traitées depuis 5 ans (art. 4, al. 2, OSIS). Certaines données requièrent toutefois un traitement différencié. Les données pénales qui sont nécessaires pour justifier une décision d’attribution, de suspension ou de retrait de re- connaissance de cadre Jeunesse+Sport doivent par exemple être effacées de la banque de données au moment où elles sont éliminées du casier judiciaire, ceci à la demande de la personne concernée. La conservation des données concernant les qualifications obtenues par les enseignants de sport ou les spécialistes en sciences du sport dans une haute école est objectivement justi- fiée car certaines personnes désirent, après une longue interruption de leur activité (congé maternité, absences pour cause de blessure…) reprendre des études pour compléter leur formation ou devenir entraîneurs. Dans ce cas, elles doivent pouvoir produire les informa- tions demandées sur leurs qualifications. Art. 6 L’archivage et la destruction sont régis par les dispositions générales de la loi fédérale sur l’archivage (RS 152.1).
2.3 Section 3 Système d’information pour les données médicales
Le contenu, la collecte et la communication des données médicales sont elles aussi régle- mentées au niveau de la loi (art. 14, 15 et 16 LSIS), si bien que l’OSIS ne contient pas de prescriptions à ce sujet. Art. 7 L’accès à ces données est réservé aux personnes qui, dans les domaines de la médecine du sport, de la psychologie du sport, de la physiothérapie du sport et de la physiologie du sport, en ont obligatoirement besoin pour accomplir leur travail. Par ailleurs, les personnes char- gées de la maintenance du système ont également besoin d’y accéder dans le cadre légal défini à l’art. 4 LSIS. Art. 8 La durée de dix ans prévue à l’art. 8 correspond à l’art. 6, al. 1, LSIS (deuxième phrase). Toutefois, une personne doit avoir la possibilité de faire supprimer plus tôt du système ces données fournies volontairement, ou de les faire conserver plus longtemps (p. ex. si elle est toujours active dans le sport de compétition). Art. 9 L’archivage est régi par les dispositions générales de la loi fédérale sur l’archivage (RS 152.1).
2.4 Section 4 Banque d’adresses centralisée
Art. 10 et 11 Du but énoncé, il découle que la banque d’adresses centralisée est en fait une sorte de banque de données auxiliaire pour les autres systèmes d’information. En tant que telle, elle contient des données qui servent en premier lieu aux relations d’affaires de l’OFSPO.
Commentaire Projet d’OSIS du 06.03.2012 Page 6
Art. 12 Une banque d’adresses centralisée n’est utile que si les données qu’elle contient peuvent être utilisées par tous les autres systèmes d’information, de manière à ce que l’OFSPO dis- pose de données d’adressage toujours à jour. C’est la raison pour laquelle l’art. 12 OSIS réglemente les liens entre la banque d’adresses et d’autres systèmes d’information. Art. 13 et 14 La disposition qui régit la conservation des données contient un critère temporel. On peut admettre, compte tenu du principe de la proportionnalité (art. 4, al. 2, LPD), qu’il n’est pas justifié de conserver les données personnelles qui n’ont plus été traitées depuis cinq ans. La référence au dernier traitement en date permet d’automatiser leur archivage. Même si de simples données d’adressage ne méritent guère d’être archivées, la loi fédérale sur les don- nées d’archivage exige qu’elles soient proposées aux Archives fédérales.
2.5 Section 5 Système d’information de la Haute école fédérale de sport
Le système d’information de la Haute école fédérale de sport est soumis aux mêmes règles que la banque d’adresses. Certaines des informations concernant les étudiants font égale- ment partie des données qui, selon la loi, doivent figurer dans le système d’information na- tional pour le sport (art. 9, let. a, b, g et h, LSIS). Art. 15 et 16 Le but et l’objet du système d’information de la Haute école fédérale de sport – qui constitue en fait une banque de données auxiliaire – doivent être définis dans l’OSIS. Art. 17 Les données des enseignants doivent pouvoir être coordonnées et échangées avec le sys- tème d’information sur le personnel; la comptabilité des salaires dépend des pensums. Pour faciliter la facturation des taxes d’études et d’autres frais imputables aux étudiants, il faut que leurs données puissent être échangées avec le système d’informations financières. Art. 18 Les données doivent en principe être conservées durant cinq ans à compter de leur dernier traitement, autrement dit en général durant les cinq ans qui suivent la fin de la formation. Les données concernant les diplômes de fin d’études font exception à cette règle: elles doivent être conservées aussi longtemps que la personne concernée est dans la vie active, de ma- nière à pouvoir être mises à sa disposition au cas où elle perdrait son diplôme et en aurait besoin, par ex. dans le cadre d’une procédure de postulation. Art. 19 L’archivage est régi par les dispositions générales de la loi fédérale sur l’archivage (RS 152.1).
2.6 Section 6 Système d’information pour les bâtiments et les installations
Art. 20 et 21 Le but et l’objet du système d’information pour les bâtiments et les installations doivent être définis dans l’OSIS. Les dispositions en question s’inspirent de l’art. 57l LOGA.
Commentaire Projet d’OSIS du 06.03.2012 Page 7
Art. 22 L’échange automatique avec le système d’informations financières est nécessaire pour pou- voir facturer automatiquement les prestations enregistrées par les badges aux terminaux et aux distributeurs automatiques. Art. 23 et 24 Les données doivent être conservées durant cinq ans à compter de leur dernier traitement. L’archivage est régi par les dispositions générales de la loi fédérale sur l’archivage (RS 152.1)
2.7 Section 7 Participation aux frais
Art. 25
L’idée consiste à reprendre l’arrangement existant entre les cantons pour en faire une règle. Actuellement, les cantons participent aux frais de la banque de données nationale pour le sport en versant annuellement un montant fixe de 4000 francs, auquel s’ajoute un montant variable qui peut aller de 300 à 5300 francs (selon le nombre d’offres J+S facturées et le montant des indemnités versées pour celles-ci). Au total, leur participation aux frais s’élève à 150’000 francs environ, une bagatelle face aux 3 millions de francs investis annuellement dans l’exploitation, l’entretien et le développement de la banque de données. Le législateur propose que le DDPS définisse, dans une ordonnance sur les émoluments, les forfaits de raccordement et un montant pour les offres réalisées. La solution envisagée pré- voit pour l’instant la perception d’une taxe forfaitaire – dont le montant s’élèvera comme maintenant à 4000 francs – et d’une taxe de 1 franc pour tout cours, tout camp ou toute offre de formation des cadres réalisés. Cela donne, si l’on se base sur les chiffres de 2011, une somme totale de 156’389 francs pour l’ensemble des cantons. La marge de manœuvre maximale accordée au DDPS pour la fixation des émoluments est, par contre, définie dans le présent projet d’ordonnance. La définition généreuse qui en est donnée se justifie au vu du montant nominal extrêmement faible des émoluments.
2.8 Section 8 Disposition finales
Art. 26 L’actuelle ordonnance sur la banque de données nationale pour le sport (OBDNS) doit être abrogée. Aucune adaptation ne semble pour l’instant devoir être apportée à d’autres ordonnances.
*** *