FF 2000 Volume 42 P. 4794

Décision dans la cause Requête du 25 septembre 1996 du préposé fédéral à la protection des données concernant l'introduction du système de traitement des données relatives au personnel de la Confédération (BV PLUS) du 14 août 2000

1. Exposé des faits Dans sa recommandation du 4 juillet 1996, le préposé fédéral à la protection des données (PFPD) a préconisé que L'OFPER n'utilise le système centralisé de gestion des données BV PLUS que pour le traitement des salaires. Il a de plus demandé la création d'une base légale matérielle et formelle.

L'OFPER a rejeté ces recommandations par lettre du 28 août 1996. Ce rejet était principalement motivé par le fait que la nécessité d'une protection particulière des données personnelles traitées par le biais du système BV PLUS n'était pas prouvée.

Les exigences relatives à la base légale n'étaient pas fondées, non plus.

Dans sa requête du 25 septembre 1996, le PFPD a demandé au DFF de ne permettre le traitement des données utilisées dans le système BV PLUS que dans les limites définies par sa recommandation du 4 juillet 1996.

Le 19 décembre 1997, le Conseil fédéral a décidé de mettre en place un système central de gestion en utilisant le logiciel standard SAP R/3 HR.

Après avoir rencontré des représentants du DFF le 12 mars 1998, le PFPD a de nouveau demandé, par lettre du 29 avril 1998, que le DFF publie une décision au sujet de BV PLUS. Le DFF a répondu par lettre du 15 juin 1998 qu'il ne pourrait prendre une décision définitive qu'une fois l'analyse préalable du projet terminée.

A la fin de la phase d'analyse préalable, le comité de projet BV PLUS constitué de représentants des départements s'est prononcé à l'unanimité lors de sa séance du 2 novembre 1998 en faveur d'un système de base central destiné à la gestion du personnel (HR-only) de toute l'administration fédérale.

Le 14 décembre 1998, le Conseil fédéral a transmis au Parlement son message (FF 1999 1421) relatif à la nouvelle loi sur le personnel de la Confédération (LPers).

La LPers a été traitée par le Conseil national durant la session d'automne 1999 et par le Conseil des Etats durant celle d'hiver 1999. Les divergences entre les deux chambres ont été éliminées durant la session du printemps 2000 et la loi a été adoptée par le Parlement le 24 mars 2000. La LPers devrait entrer en vigueur au plus tard le 1er janvier 2002.

Le 25 août 1999, le Conseil fédéral a transmis au Parlement son message concernant la création et l'adaptation des bases légales nécessaires au traitement de données personnelles (FF 1999 8381).
Depuis le 1er janvier 2000, BV PLUS est exploité à titre expérimental au sein du DFAE, de l'OFPER, de l'OFMET, du centre des ressources du DFJP ainsi que du CGF. Le 1er janvier 2001, BV PLUS sera introduit dans toute l'administration géné4794

2000-2191

rale de la Confédération (à l'exception du domaine des EPF). BV PLUS est ainsi appelé à remplacer l'actuel système informatisé de gestion du personnel, PERIBU.

2. Considérants a. Système central de gestion Un système central de gestion couvre les besoins centraux ainsi que les fonctions communes à tous les domaines. Les travaux de réalisation du projet ont démontré que le système, en raison de sa complexité, n'est réalisable que sous cette forme et qu'une solution centrale est appropriée.

Les exigences relatives à la protection des données particulièrement sensibles (classe de protection 3) ne peuvent être remplies que par l'intermédiaire de directives et de contrôles centralisés (principe de la limitation des autorisations d'accès).

L'exécution de nouvelles directives légales en vertu de la LPers doit être contrôlée de manière centralisée afin qu'elle se fasse de manière uniforme dans toute l'administration fédérale et dans les brefs délais à disposition.

Lors de l'élaboration de la solution centralisée, il est apparu que cette dernière était la seule qui permette d'optimiser la gestion des ressources humaines disponibles. En outre, elle est également la seule qui offre la possibilité d'exploiter toutes les possibilités d'intégration du produit BV PLUS SAP R/3.

Le système central de gestion permet donc: a.

de disposer d'un système informatisé de gestion du personnel unique, que toutes les unités d'organisation de l'administration générale de la Confédération utilisent de la même manière et dans lequel chaque personne n'est recensée qu'une seule fois;

b.

de représenter les structures de toutes les unités d'organisation de l'administration générale de la Confédération jusqu'au niveau du poste planifié, base de la planification des dépenses de personnel;

c.

de mettre à la disposition des supérieurs hiérarchiques et des services du personnel des offices, des groupements et des départements diverses bases de décision, qui peuvent prendre la forme d'analyses, de simulations budgétaires ou de planification des coûts du personnel;

d.

d'introduire directement les données de BV PLUS dans le système de gestion des finances et de la comptabilité (REFICO).

b. Bases légales La LPers (texte soumis au référendum dans la FF 2000 2105) fournit, dans son art. 27 (Traitement des données), la base légale formelle sur laquelle s'appuie BV PLUS. L'al. 2, let. c, de cet article constitue la base légale concernant la gestion des données traitées par le biais de systèmes informatisés, d'une part, et l'accès aux données par procédure d'appel, d'autre part. Cette base légale permet un traitement des données personnelles efficace et adapté aux circonstances, qui satisfait à la fois aux exigences d'une gestion du personnel moderne et à la protection de la personnalité. Les dispositions d'exécution de la loi sur le personnel de la Confédération, qui entreront en vigueur en même temps que ladite loi, régleront dans les détails les procédures et compétences dans le domaine de la protection des données.

4795

Lors de l'examen du projet de loi, les Chambres fédérales ont apporté des modifications mineures à l'art. 27, qui ne concernaient cependant pas l'al. 2, let. c. Par ailleurs, le Parlement a complété l'art. 27 en ajoutant un art. 28, qui règle plus précisément le traitement des données médicales. Dès l'entrée en vigueur de la LPers, le traitement des données personnelles par la Confédération en tant qu'employeur reposera sur une base légale au sens formel, comme le requièrent les art. 17 et 19 de la loi fédérale sur la protection des données (LPD; RS 235.1).

Dans son message du 25 août 1999 concernant la création et l'adaptation des bases légales nécessaires au traitement de données personnelles, le Conseil fédéral a précisé que, dans ce domaine, une modification du statut des fonctionnaires du 30 juin 1927 (RS 172.221.10) n'était pas nécessaire (FF 1999 8401). Si la LPers est acceptée lors de la votation populaire du 26 novembre 2000, le Conseil fédéral fera en sorte que les art. 27 et 28 entrent déjà en vigueur le 1er janvier 2001 (entrée en vigueur échelonnée de la loi, telle que la prévoit l'art. 42 al. 2, LPers). Si la LPers devait être refusée par le peuple, une modification du statut des fonctionnaires serait proposée alors au Parlement.

Grâce à la procédure de corapport qui lui donnait la possibilité de prendre position, le préposé fédéral à la protection des données a été associé aussi bien à l'élaboration de la loi sur le personnel de la Confédération qu'à la rédaction des modifications des bases légales relatives au traitement de données personnelles.

3. Décision Compte tenu des motifs évoqués ci-dessus et en vertu de l'art. 27, al. 5, ainsi que de l'art. 33, al. 1, let. b, LPD, il est décidé: 1.

La requête du préposé fédéral à la protection des données du 25 septembre 1996 est rejetée.

2.

L'OFPER est autorisé à poursuivre le développement du système centralisé de traitement des données BV PLUS. L'application de ce système ne se limite pas à la gestion des salaires mais concerne aussi tous les domaines traités par le logiciel standard SAP R/3 «HR only» ainsi que le traitement de toutes les données sur le personnel de la Confédération enregistrées dans ce système informatisé.

3.

Cette décision peut faire l'objet d'un recours écrit dans les 30 jours suivant sa parution dans la Feuille fédérale auprès de la Commission fédérale de la protection des données, Chancellerie fédérale, 3003 Berne. Le mémoire de recours doit être adressé à l'autorité de recours en deux exemplaires. Il doit indiquer les conclusions, les motifs et les moyens de preuve, et porter la signature du recourant, de la recourante ou de son/sa mandataire.

Les personnes ayant qualité pour recourir sont les employés et employées de la Confédération dont les données sont enregistrées dans le système informatisé de gestion du personnel.

14 août 2000

Département fédéral des finances: Le secrétaire général, Peter Grütter

4796