FF 2004 Volume 13 P. 1309

Questions liées à l'organisation de la protection des données au sein de l'administration fédérale Rapport du 21 novembre 2003 de la Commission de gestion du Conseil national Avis du Conseil fédéral du 24 mars 2004

Monsieur le Président, Mesdames et Messieurs, Conformément à l'art. 112, al. 3, LParl, nous vous présentons ci-après l'avis du Conseil fédéral sur le rapport du 21 novembre 2003 de la Commission de gestion du Conseil national sur les questions liées à l'organisation de la protection des données au sein de l'administration fédérale.

Nous vous prions d'agréer, Monsieur le Président, Mesdames et Messieurs, l'assurance de notre haute considération.

24 mars 2004

Au nom du Conseil fédéral suisse: Le président de la Confédération, Joseph Deiss La chancelière de la Confédération, Annemarie Huber-Hotz

2004-0215

1309

Avis 1

Introduction

Le 22 janvier 2003, la sous-commission «Affaires générales» de la Commission de gestion du Conseil national (CdG-N) a eu un entretien avec le Préposé fédéral à la protection des données (Préposé). À la suite de cette visite, elle a décidé de se pencher plus spécifiquement sur l'organisation de la protection des données au sein de l'administration fédérale, en particulier dans le cadre de projets importants impliquant des traitements de données personnelles. A cet effet, elle a procédé à toute une série de consultations. La CdG-N en a adopté le rapport à l'unanimité lors de sa séance du 21 novembre 2003 et l'a transmis pour avis au Conseil fédéral, en le priant de répondre avant la fin de mars 2004.

2

Etat de la protection des données dans l'administration fédérale

Le Conseil fédéral est conscient du fait que le développement rapide des technologies entraîne un développement considérable du traitement de données personnelles dont la protection est de plus en plus complexe et importante. Il accorde et continuera d'accorder une place essentielle à la protection des données dans l'administration fédérale. Pour tous les projets ayant des incidences dans ce domaine, le Préposé est régulièrement consulté dans le cadre des procédures internes à l'administration. En ce qui concerne la procédure des co-rapports, l'avis du Préposé est transmis au Conseil fédéral en même temps que la proposition. Le respect de la protection des données est ainsi assuré de manière optimale. A l'échelon de l'administration, il existe en outre un groupe interdépartemental des conseillers à la protection des données dans les départements, dont fait également partie une délégation du Préposé, groupe placé sous la direction de la Chancellerie fédérale et assurant la coordination non seulement entre les départements mais encore avec ledit Préposé.

3

Réorientation des activités du Préposé fédéral à la protection des données et question des ressources

Le Conseil fédéral a pris connaissance du fait que le Préposé est en train de réorienter ses activités. Le préposé entend étoffer systématiquement ses tâches de surveillance tout en limitant ses activités de conseiller. C'est ainsi qu'il n'accompagnera plus, au sein de groupes de travail ou de commissions, tous les projets de l'administration impliquant la protection des données, pour concentrer son activité sur les cas qui exigent des connaissances spécifiques ou qui paraissent particulièrement sensibles. Il cessera en outre de répondre aux questions des départements et des offices, à moins qu'elles n'émanent de leur conseiller à la protection des données.

Font également exception les projets législatifs, au sujet desquels le Préposé continuera de prendre position dans le cadre des procédures internes à l'administration.

1310

La loi charge le Préposé de surveiller l'application par les organes fédéraux des dispositions (fédérales) relatives à la protection des données et d'établir les faits, d'office ou à la demande de tiers. Elle le charge en outre d'assister les organes fédéraux dans le domaine de la protection des données et de se prononcer sur les projets qui touchent à cette protection.

Dans le cadre de son mandat légal, le Préposé s'acquitte de ses tâches de manière autonome. Le Conseil fédéral peut comprendre que des considérations financières et économiques puissent entraîner un recentrage autour de certaines tâches spécifiques liées à la protection des données. Il n'en demeure pas moins que les tâches imparties au Préposé par la loi doivent être exécutées aussi complètement qu'elles l'ont été jusqu'ici.

La réorientation demandée par le Préposé libère des ressources qui lui permettront de mieux s'acquitter de son mandat légal. Le Conseil fédéral accorde une grande importance à la protection des données dans l'administration fédérale. Le budget 2004 octroie des moyens supplémentaires au Préposé, permettant de financer trois nouveaux postes. Le Conseil fédéral est toutefois convaincu que les dispositions relatives à la protection des données sont en règle générale très scrupuleusement observées par l'administration fédérale. Il ne voit donc pas de raison de renforcer le personnel du Préposé au-delà des crédits octroyés, étant donné que cette augmentation irait à l'encontre de la tendance générale des mesures d'allégement budgétaires de la Confédération. Un signal de cet ordre serait d'ailleurs mal compris par le public.

La réorientation des activités du Préposé oblige les départements et les offices à assumer eux-mêmes un plus grand nombre de tâches liées à la protection des données. Par conséquent, il faut revaloriser le statut des conseillers des départements et des offices en la matière. Le Conseil fédéral tient donc à ce que leur fonction dans l'organisation, leur position hiérarchique et leurs tâches soient clairement réglées.

Leur indépendance et les ressources qui leur sont nécessaires doivent être garanties.

Les conseillers doivent en outre justifier d'une formation professionnelle suffisante.

Le Conseil fédéral est d'avis que la mise en oeuvre de la protection des données par les conseillers des
départements et des offices doit en principe se faire dans le cadre des ressources dont disposent la Chancellerie, les départements et les offices. Ceci dit, il convient de tenir compte de l'importance croissante de ces spécialistes.

1311

4

Commentaire des diverses recommandations de la commission

4.1

Recommandation 1: Statut des conseillers des départements et des offices à la protection des données

La recommandation demandant le règlement uniforme, détaillé et contraignant au niveau fédéral des tâches et des compétences de ces spécialistes est déjà partiellement réalisée. Leurs tâches sont définies à l'art. 23 de l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD)1. Ils ont d'une part un devoir d'assistance, qui consiste à conseiller les organes responsables et les utilisateurs et à promouvoir l'information et la formation des collaborateurs; d'autre part, ils doivent concourir à l'application des prescriptions relatives à la protection des données. Aucune tâche légale de surveillance ni aucune décision de fond (lors de l'élaboration de projets relatifs à la protection des données, par exemple) ne leur sont par contre attribuées.

Les exigences des départements et de la chancellerie en matière de protection des données sont très diverses parce que ces organes gouvernementaux diffèrent en taille et que les données qu'ils traitent sont plus ou moins sensibles. C'est pourquoi il n'existe à ce jour aucune réglementation détaillée unifiée s'appliquant à toutes les unités administratives. Dans le cadre des dispositions légales, les départements ou les offices fédéraux ont défini eux-mêmes les tâches et les compétences de leurs conseillers à la protection des données. La Chancellerie fédérale, le Département fédéral de justice et police et le Département fédéral de la défense, de la protection de la population et des sports appliquent des directives détaillées.

Dans son message du 19 février 2003 relatif à la révision de la loi fédérale sur la protection des données (FF 2003 1915), le Conseil fédéral s'est déclaré prêt à régler le rôle et les tâches des conseillers à la protection des données (art. 11a, al. 6, du projet). Les modalités doivent être définies à l'échelon de l'OLPD.

La CdG-N recommande aussi que les conseillers soient directement subordonnés à la direction du département ou de l'unité administrative. Cette demande d'indépendance reçoit l'approbation du Conseil fédéral qui s'est déjà exprimé en faveur d'une indépendance organisationnelle de ce type (subordination hiérarchique directe, non-obligation de s'en tenir aux instructions du maître du fichier) dans le message du 19 février évoqué ci-dessus (cf. FF 2003 1949). Comme la réorientation des
activités du Préposé entraîne un renforcement du rôle des conseillers départementaux à la protection des données, il est essentiel que leur indépendance soit garantie.

Le Conseil fédéral est donc prêt à accepter la recommandation.

Autre recommandation: améliorer et renforcer les instruments de coordination interet intradépartementale. Au niveau interdépartemental, de tels instruments sont déjà fournis par la procédure de consultation des offices et par la procédure de co-rapport. Il existe en outre un groupe interdépartemental «protection des données», placé sous la direction de la Chancellerie fédérale, même s'il ne s'agit pas à l'heure actuelle d'un organe de coordination au sens de l'art. 55 de la loi sur l'organisation du gouvernement et de l'administration (LOGA)2. Le Conseil fédéral 1 2

RS 235.11 RS 172.010

1312

est d'avis que les instruments de coordination interdépartementaux existants se sont avérés efficaces. Il est toutefois prêt à étudier une éventuelle institutionnalisation du groupe «protection des données», étant donné la réorientation des activités du Préposé. Dans le domaine de la coopération intradépartementale, le Conseil fédéral recommande par contre aux départements d'étudier si des mesures doivent être prises ou non, la nécessité d'agir étant plus ou moins forte d'un département à l'autre. Il est d'avis qu'il faut chercher des modes de collaboration allégés, efficaces et économiques.

La recommandation 1 de la CdG-N concerne l'ensemble des départements et la Chancellerie fédérale. La meilleure façon de garantir que le manque avéré de coordination sera pallié consiste, aux yeux du Conseil fédéral, à en confier la mise en oeuvre à la Conférence des secrétaires généraux.

4.2

Recommandation 2: Formation des conseillers à la protection des données

La réorientation des activités du Préposé entraîne un transfert massif des tâches de conseil et d'accompagnement de projets vers les conseillers à la protection des données des départements et des offices, dont la fonction va par conséquent gagner en importance. Le Conseil fédéral est donc lui aussi d'avis que l'offre de formation pour ces conseillers doit être étoffée. Les services du Préposé préparent en ce moment un classeur-type à leur intention. Cette documentation devant leur fournir une aide appropriée, il importe qu'elle soit bientôt achevée. Par ailleurs, le Préposé est invité à développer une offre de formation destinée aux conseillers à la protection des données de l'administration fédérale. Ces diverses mesures visent à garantir que les responsabilités accrues qui incomberont aux conseillers (du fait de la réorientation des activités du Préposé) seront effectivement prises en compte.

4.3

Recommandation 3: Ressources adéquates pour les conseillers à la protection des données

Au début de 2002, le groupe «protection des données» a rédigé un descriptif du poste de conseiller à la protection des données au sein de la Chancellerie fédérale et des départements, destiné à clarifier la fonction et les tâches y afférentes. Ce descriptif a été transmis pour information à la Conférence des secrétaires généraux (CSG) lors de la séance qu'elle a tenue le 31 mai 2002.

Le descriptif de poste est conçu comme une recommandation à l'adresse de la Chancellerie fédérale et des départements. Il doit leur servir à définir eux-mêmes les tâches de leur conseiller, en tenant compte de leurs besoins spécifiques et de leur taille. Les tâches décrites dans le cahier des charges standard se fondent sur un taux d'occupation de 20 % à l'échelon de la Chancellerie fédérale et des départements.

Cette condition n'est toutefois pas impérative. Selon la taille de l'unité administrative et le volume de travail engendré par la protection des données à l'échelon des offices fédéraux, les ressources nécessaires varient et le taux d'occupation peut être fixé plus haut ou plus bas. C'est aux départements qu'il incombe de définir leurs besoins. La CSG a réservé un accueil favorable au descriptif, tout en soulignant que 1313

ce dernier ne doit pas être compris comme une incitation à créer de nouveaux postes.

Le Conseil fédéral partage cet avis et suit la recommandation de la CdG-N en confiant aux départements le mandat de chiffrer l'importance des tâches de protection des données (en termes de taux d'occupation) et d'inscrire ce pourcentage dans le cahier des charges de leurs conseillers à la protection des données.

L'ordre de grandeur des ressources nécessaires exposé ici ne se rapporte qu'à l'échelon de la Chancellerie fédérale et à celui des départements. Il se peut par contre que certains offices aient des besoins nettement supérieurs: étant les unités en charge de l'administration fédérale, ce sont eux avant tout qui sont les responsables internes de la protection des données, alors qu'à l'échelon départemental il n'en résulte souvent qu'une tâche de coordination.

4.4

Recommandation 4: Participation du Préposé au développement du droit de la protection des données

Le Conseil fédéral partage l'avis de la CdG-N qui préconise de laisser à l'Office fédéral de la justice la compétence législative en matière de protection des données et de ne pas transférer cette compétence au Préposé. Ce dernier doit cependant être intégré au processus de développement du droit de la protection des données. La recommandation demandant que des procédures claires garantissent au Préposé la possibilité de faire entendre son avis sur l'évolution du droit est déjà réalisée. Le Préposé est régulièrement invité à s'exprimer dans le cadre de la procédure de consultation des offices lorsque des questions liées à la protection des données se présentent. S'il a des remarques à formuler au stade du co-rapport, celles-ci sont présentées au Conseil fédéral par la chancelière de la Confédération. En outre, l'Aide-mémoire de la Chancellerie fédérale relatif aux messages du Conseil fédéral prévoit que les «autres conséquences» d'un projet doivent être exposées au ch. 3.4 où doivent donc figurer les conséquences éventuelles en termes de protection des données, notamment en ce qui concerne le traitement des données personnelles, l'établissement de liaisons en ligne et les mesures de sécurité prises dans ce contexte. Le Conseil fédéral estime que la procédure actuelle garantit suffisamment que le point de vue du Préposé est examiné et pris en compte dans le cadre de l'élaboration des messages à l'intention des Chambres. À ses yeux, aucune action spécifique n'est donc nécessaire.

1314