Le big data préoccupe le Préposé fédéral à la protection des données

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) Hanspeter Thür a présenté son 22e rapport d'activité . Il couvre la période du 1er avril 2014 au 30 mars 2015. Durant cette période, les activités du PFPDT ont été largement marquées par le big data. Ainsi Hanspeter Thür a notamment dû intercéder auprès de Postfinance, qui prévoyait d’analyser les opérations de paiement de ses clients dans le cadre de sa nouvelle plateforme d’e-banking et d'exclure de ses services les clients qui refusaient cette analyse. Grâce à l'intervention du PFPDT, Postfinance s’est, selon le rapport, «déclarée prête à offrir des possibilités de choix à ses clients et à les informer avec plus de précision».

En outre, Hanspeter Thür s'est élevé contre la plateforme de renseignement Moneyhouse. Il estime que cette dernière met à disposition une grande quantité de données de particuliers sans leur consentement. Le site n'ayant pas l'intention de suivre ses recommandations, le PFPDT souhaite porter le cas devant le Tribunal administratif fédéral.

En matière de surveillance de l’Etat, la nouvelle loi sur le renseignement (LRens) et la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT), avec notamment l'élargissement des mesures de surveillance et de collecte des données (Chevaux de Troie et IMSI-catchers notamment) ont donné du fil à retordre au PFPDT. Face aux risques pour la sphère privée que ces deux lois engendrent, ce dernier a milité pour que soit clairement défini le recours à ces mesures. Il a aussi déconseillé aux autorités fédérales d'externaliser le traitement des données à des sociétés ayant leur siège dans un pays dans lequel le niveau de protection des données n'est pas similaire à celui de la Suisse et en particulier les Etats-Unis.

Les données des patients en sécurité?

Cette recommandation s'applique encore plus strictement aussi aux médecins, qui sont de plus en plus nombreux à recourir à des services de stockage de leurs données dans le cloud et à qui il a été demandé de stocker les informations médicales des patients uniquement en Suisse. Hanspeter Thür a rappelé que les médecins restent dans tous les cas responsables du respect du secret médical. 

Par ailleurs, des contrôles ont été effectués auprès des services de réception des données de douze assurances-maladie, qui doivent, depuis 2014, disposer d’un service certifié pour la réception des factures de type DRG. Il en ressort que ces services fonctionnaient globalement bien hormis quelques lacunes qui ont été signalées aux organes de certification.

La protection des données des patients était également au coeur des contrôles que le PFPDT a effectués auprès des services de réception des données de douze assurances-maladie. Du fait du nouveau régime de financement des hôpitaux, les assureurs-maladie doivent, depuis 2014, disposer d’un service certifié pour la réception des factures. Les contrôles effectués ont révélé que ces services de réception fonctionnaient bien en général. Les quelques cas présentant des lacunes ont été signalés par le PFPDT aux certificateurs.

Vidéosurveillance

Hanspeter Thür a aussi été alerté de cas d’enregistrements audio et vidéo en particulier dans le secteur de la restauration. Ces pratiques étant interdite, il est intervenu pour procéder à un examen des faits dans deux entreprises. Mais les caméras avaient déjà été démontées.

Le PFPDT rappelle en outre que les enregistrements provenant de caméras embarquées dans des véhicules pour filmer ce qu’il se passe sur la voie publique sont une atteinte à la sphère privée et qu'ils ne sont autorisés qu’«exceptionnellement, par exemple en relation avec un événement spécifique».