L’Office fédéral de la police (fedpol), l’Office fédéral de la douane et de la sécurité des frontières (OFDF) et l’entreprise Xplain ont accepté dans leur intégralité, à la fin du mois de mai 2024, toutes les recommandations que le Préposé fédéral à la protection des données et à la transparence (PFPDT) a proposées en lien avec l’attaque au rançongiciel contre Xplain.
Le PFPDT avait ouvert trois enquêtes au cours du deuxième semestre 2023 et publié un rapport final pour chacune d’elles le 1er mai 2024 (cf. communiqué du 01.05.2024). Dans chaque rapport, il avait formulé des recommandations sur la protection des données, que fedpol, l’OFDF et l’entreprise Xplain ont maintenant acceptées. L’administration fédérale et ses sous-traitants privés sont tenus de réexaminer la collaboration à la lumière des conclusions des trois enquêtes. Le PFPDT se réserve le droit d’effectuer des contrôles dans l’ensemble de l’administration fédérale.
Dans les trois enquêtes, le PFPDT a constaté des violations de la loi sur la protection des données dues à des erreurs dans les processus de support. Les résultats des enquêtes montrent que, d’une part, les mesures nécessaires en matière de protection des données n’ont pas été prises lors de la transmission des données personnelles par les offices fédéraux de la police ainsi que de la douane et de la sécurité des frontières à Xplain et que, d’autre part, ces données ont ensuite été conservées par Xplain en violation de la protection des données et en partie en violation des obligations contractuelles.
Dans le cadre d'un examen approfondi des faits, le PFPDT a examiné les traitements des données de clients effectués par Digitec Galaxus, l'un des plus grands magasins en ligne de Suisse. Dans son rapport final, il constate que les principes de transparence et de proportionnalité ont été violés et formule des recommandations en conséquence.
La loi sur la protection des données, qui a été totalement révisée, et ses ordonnances d’exécution entreront en vigueur le 1er septembre 2023. Les travaux du PFPDT visant à assurer un passage sans heurts à la nouvelle législation se déroulent comme prévu. Le nouveau site Internet est mis à jour en continu, et les portails de notification qui y sont accessibles seront complétés d’ici à la date d’entrée en vigueur. À partir de ce moment, le PFPDT intensifiera progressivement ses activités d’investigation dans le cadre de l’exercice de ses nouvelles compétences, ce qui suppose une utilisation efficace des ressources, à laquelle doit notamment contribuer la publication d’un nouveau document destiné aux activistes informatiques. Compte tenu de l’augmentation des cas dans lesquels la loi sur la transparence ne s’applique pas et de la multiplication du recours au droit de nécessité, le PFPDT publie désormais une liste de toutes les exceptions prévues par des lois spéciales.
Le PFPDT ouvre une enquête contre les offices fédéraux de la police ainsi que des douanes et de la sécurité des frontières en raison d'indices de violations potentiellement graves des dispositions sur la protection des données.
Le PFPDT a achevé la procédure d’établissement des faits concernant l’application de rencontres Once. Le fournisseur de cette application, domicilié en Suisse mais actif à l’échelle internationale, informait de manière insuffisante ses utilisatrices et utilisateurs sur le traitement des données et ses finalités. Dans son rapport final, le PFPDT a émis plusieurs recommandations pour remédier aux lacunes et garantir le respect des principes du traitement des données selon la loi fédérale de la protection des données. L’entreprise a accepté les recommandations.
Le PFPDT a clos la procédure d’établissement des faits concernant une société de recouvrement. Cette entreprise remplit les exigences de la protection des données en ce qui concerne les mesures visant à garantir l'exactitude, l'actualité et l'exhaustivité des données ainsi que celles relatives à la rectification et à la suppression des données erronées. L'instrument dit de la « solvabilité négative dans un ménage » est toutefois apparu comme étant illicite. Dans son rapport final, le PFPDT a donc recommandé à l'entreprise de mettre fin aux renseignements sur la solvabilité basée sur des « résultats négatifs du ménage ». L’entreprise a accepté la recommandation du PFPDT.
Suite à la réception d’un signalement par un particulier, le Préposé a procédé à un établissement des faits concernant une banque de données insuffisamment sécurisée de centres privés de dépistage Covid-19. Dans son rapport final publié ce jour, il a établi que les données de santé traitées dans la banque de données avaient été exposées à des risques de sécurité considérables en raison de la faille signalée. Comme les responsables avaient pris les mesures immédiates appropriées après la découverte de cette faille, le risque pour les personnes concernées a pu être réduit. La procédure est ainsi close sans recommandation.
En décembre 2021, des articles de presse ont attiré l’attention du Préposé fédéral à la protection des données et à la transparence (PFPDT) sur des soupçons de traitement illégal de données pesant sur un collaborateur de la société zougoise Mitto SA. L’enquête préliminaire du PFPDT a conclu à l’absence de violation de la législation sur la protection des données. Il a donc clos son enquête préliminaire sans émettre de recommandations.
Les élections et les votations à tous les niveaux de l’État suisse se déroulent dans la réalité glo-bale du numérique. Les acteurs du processus politique de formation d’opinion se servent d’instruments numériques pour véhiculer des messages aussi ciblés que possible auprès des électeurs. Dès lors, les risques pour l’autodétermination informationnelle et la vie privée des personnes concernées sont importants. Un guide actualisé permet de s’informer sur ces questions dans la perspective des élections fédérales de 2023.
La fondation Swisstransplant a accepté la plupart des recommandations formulées dans le rapport du PFPDT du 13 octobre 2022. Les risques liés à la poursuite provisoire de l’exploitation du registre national du don d’organes, telle qu’initialement prévue, auraient ainsi été significativement réduits. Le risque résiduel relevé dans le rapport n’est cependant plus pertinent, dès lors que la fondation a annoncé au PFPDT, en date du 18 octobre 2022, mettre un terme à l’exploitation du registre.
Dans son rapport d’activités publié aujourd’hui, le Préposé constate que l’indifférence pour la protection des données des citoyens s’est généralisée et que la sphère privée est une notion de plus en plus dévaluée. Cette évolution est confirmée à la fois par l’accumulation de défaillances dans le traitement de données personnelles sensibles par les plates-formes de santé et par la tendance, désormais constatée en Europe également, à discréditer le droit de la population à chiffrer ses données en le qualifiant d’abus de liberté.
À l’invitation du PFPDT, les autorités sanitaires ont réalisé une dernière tentative pour sauver les données de sorte que le Préposé peut lever sa recommandation de les supprimer.
En août 2021, dans le rapport final de la procédure d’établissement des faits relative à la plateforme mesvaccins.ch, le PFPDT avait constaté un manque d’intégrité des données. Ce manque n’ayant pu être comblé à ce jour, le PFPDT a, en accord avec le préposé à la protection des données du canton de Berne, ordonné à l’Office des faillites Berne-Mittelland de renoncer, dans le cadre de la procédure de faillite, à la vente prévue des données relatives aux vaccins à des tiers et de détruire ces données.