FF 2020 Volume 8 P. 1279

20.005 Message concernant la loi fédérale sur le traitement des données personnelles par le Département fédéral des affaires étrangères (Révision totale) du 15 janvier 2020

Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, Par le présent message, nous vous soumettons le projet d'une loi sur le traitement des données personnelles par le Département fédéral des affaires étrangères, en vous proposant de l'adopter. L'objectif de la révision totale de la loi est de créer ou d'adapter les bases légales nécessaires au traitement des données sensibles pour répondre aux exigences des art. 17, al. 2, et 19, al. 3, de la loi fédérale du 19 juin 1992 sur la protection des données (LPD)1.

Nous vous prions d'agréer, Madame la Présidente, Monsieur le Président, Mesdames, Messieurs, l'assurance de notre haute considération.

15 janvier 2020

Au nom du Conseil fédéral suisse: La présidente de la Confédération, Simonetta Sommaruga Le chancelier de la Confédération, Walter Thurnherr

1

RS 235.1

2019-2697

1279

Condensé La loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1) exige que tout traitement de données sensibles par des organes fédéraux soit prévu expressément dans une loi au sens formel. Il en va de même lorsque de telles données sont rendues accessibles en ligne. Ces conditions doivent être remplies dès le moment où le traitement est effectif. Par décision du 9 décembre 2011, le Conseil fédéral a chargé le Département fédéral des affaires étrangères (DFAE) de préparer une modification de la loi fédérale sur le traitement des données au Département fédéral des affaires étrangères, afin de créer la base légale l'habilitant à traiter des données personnelles relatives à la santé des Suisses de l'étranger et des Suisses à l'étranger. Les données médicales (qui font partie des données personnelles relatives à la santé) de cette catégorie de personnes sont intrinsèquement liées aux activités du DFAE dans le cadre de l'assistance fournie à l'étranger (prestations consulaires, protection consulaire, etc.).

Il s'est rapidement avéré que les autres buts que la loi sur le traitement des données personnelles au DFAE est censée remplir ne le sont que partiellement, notamment au regard des développements organisationnels internes, technologiques et sociétaux intervenus ces dernières années ainsi que des nouveaux défis en matière de protection des données. Une adaptation de la législation est nécessaire pour que l'ensemble des traitements de données sensibles intervenant au sein du DFAE soit prévu dans une base légale au sens formel

1280

FF 2020

Table des matières Condensé

1280

1

Contexte 1.1 Exigences de la loi fédérale sur la protection des données 1.2 Décision du Conseil fédéral du 9 décembre 2011 1.3 Travaux préparatoires 1.4 Décision du chef du département du 2 décembre 2015 1.5 Relation avec le programme de la législature et avec les stratégies du Conseil fédéral 1.5.1 Relation avec le programme de la législature 1.5.2 Relation avec les stratégies du Conseil fédéral

1282 1282 1282 1283 1283

2

Procédure préliminaire, consultation comprise 2.1 Principales modifications par rapport à l'avant-projet 2.2 Autres remarques significatives de la consultation non retenues

1284 1285 1285

3

Présentation du projet

1286

4

Commentaire des dispositions

1288

5

Conséquences 5.1 Conséquences pour la Confédération 5.2 Conséquences pour les cantons et les communes, ainsi que pour les centres urbains, les agglomérations et les régions de montagne 5.3 Conséquences économiques 5.4 Conséquences sanitaires et sociales 5.5 Conséquences sur l'égalité entre hommes et femmes 5.6 Conséquences environnementales

1305 1305

Aspects juridiques 6.1 Constitutionnalité 6.2 Compatibilité avec les obligations internationales de la Suisse 6.3 Forme de l'acte à adopter 6.4 Frein aux dépenses 6.5 Conformité à la loi sur les subventions 6.6 Délégation de compétences législatives

1306 1306 1306 1306 1306 1306 1306

6

Loi fédérale sur le traitement des données personnelles par le Département fédéral des affaires étrangères (Projet)

1284 1284 1284

1305 1305 1305 1305 1305

1309

1281

FF 2020

Message 1

Contexte

1.1

Exigences de la loi fédérale sur la protection des données

La loi fédérale du 19 juin 1992 sur la protection des données (LPD)2 est entrée en vigueur le 1er juillet 1993. Cette loi vise à protéger la personnalité et les droits fondamentaux des personnes dont on traite les données, notamment le droit à l'autodétermination informationnelle. Elle s'applique également au traitement de données effectué par des organes fédéraux, indépendamment du mode de traitement ou de la nature des données traitées. De manière générale, la LPD prévoit que la collecte des données personnelles doit être licite et que leur traitement doit être conforme aux principes de la bonne foi et de la proportionnalité. Les données personnelles doivent être exactes et les organes fédéraux ne sont en droit de traiter des données personnelles que s'il existe une base légale le prévoyant. La LPD fixe des exigences plus élevées lorsque le traitement concerne des données sensibles au sens de l'art. 3, let.

c, LPD ou des profils de la personnalité. Aux termes de l'art. 17, al. 2, LPD, de telles données ne peuvent être traitées que si une loi au sens formel le prévoit expressément. Exceptionnellement, une entorse peut être faite à cette règle si l'accomplissement d'une tâche clairement définie dans une loi au sens formel l'exige absolument (art. 17, al. 2, let. a, LPD), si le Conseil fédéral l'a autorisé, considérant que les droits des personnes concernées ne sont pas menacés (art. 17, al. 2, let. b, LPD), ou si la personne concernée y a, en l'espèce, consenti ou a rendu ses données accessibles à tout un chacun (art. 17, al. 2, let. c, LPD). Ces exigences légales valent également pour la communication des données; ainsi, conformément à l'art. 19, al. 3, LPD, les organes fédéraux ne sont en droit de donner accès à ces données en ligne que si une loi au sens formel le prévoit expressément.

Les exigences de la LPD découlent du principe constitutionnel selon lequel toute atteinte grave aux droits fondamentaux nécessite une autorisation expresse dans une loi au sens formel. Le traitement de données sensibles ou de profils de la personnalité, y compris leur communication en ligne, constitue une telle atteinte.

1.2

Décision du Conseil fédéral du 9 décembre 2011

Par décision du 9 décembre 2011, le Conseil fédéral a chargé le Département fédéral des affaires étrangères (DFAE) de préparer une modification de la loi fédérale du 24 mars 2000 sur le traitement des données au Département fédéral des affaires étrangères3 (loi), afin de créer la base légale l'habilitant à traiter des données personnelles relatives à la santé des Suisses de l'étranger et des Suisses à l'étranger. Les données médicales (qui font partie des données personnelles relatives à la santé) de 2 3

RS 235.1 RS 235.2

1282

FF 2020

cette catégorie de personnes sont intrinsèquement liées aux activités du département dans le cadre de l'assistance fournie à l'étranger (prestations consulaires, protection consulaire, etc.).

Le manque de base légale permettant le traitement de ces données sensibles par le DFAE a été constaté lors de la consultation des offices relative à l'ordonnance du 9 décembre 2011 sur le système d'information EDAssist+4. Ce système permet une coopération professionnelle et coordonnée entre la Direction consulaire et les représentations diplomatiques et consulaires suisses à l'étranger, afin de faire face à l'augmentation des cas d'aide consulaire et des situations de crise (tremblement de terre, tsunami, etc.).

1.3

Travaux préparatoires

Durant les années 2012 à 2015, l'ensemble des activités du DFAE a été passé au crible afin d'identifier quels domaines de compétences traitaient, dans les faits, des données personnelles. Des entretiens ont eu lieu avec les différents acteurs du DFAE de manière à ne pas en oublier. Le résultat de ces travaux préparatoires a été documenté dans l'esquisse de révision de la loi, datée du 11 mai 2016, qui a été soumise au chef du département avec recommandation d'en approuver le contenu et de décider d'une révision totale de la loi.

1.4

Décision du chef du département du 2 décembre 2015

Les travaux ayant précédé et suivi la décision du Conseil fédéral du 9 décembre 2011 ont rapidement montré que les autres buts que la loi est censée remplir ne le sont que partiellement, notamment au regard des développements organisationnels internes, technologiques et sociétaux intervenus depuis quelques années ainsi que des nouveaux défis de la protection des données. Une adaptation de la législation est donc nécessaire pour garantir que l'ensemble des traitements de données sensibles intervenant au sein du DFAE soit prévu dans une base légale au sens formel. À moins que d'autres intérêts jugés prépondérants justifient le maintien de dispositions sur le traitement de données dans des lois spéciales, l'unité de la matière requiert une centralisation des dispositions concernées dans la loi.

Le 2 décembre 2015, le chef du département a confirmé le projet de révision totale de la loi et demandé que l'ouverture de la procédure de consultation soit proposée au Conseil fédéral au plus tard à la fin juin 2017.

4

RS 235.24

1283

FF 2020

1.5

Relation avec le programme de la législature et avec les stratégies du Conseil fédéral

1.5.1

Relation avec le programme de la législature

Le projet n'a été annoncé, ni dans le message du 27 janvier 2016 sur le programme de la législature 2015 à 20195, ni dans l'arrêté fédéral du 14 juin 2016 sur le programme de la législature 2015 à 20196.

Le présent projet de loi permet de répondre aux exigences de la LPD, selon lesquelles tous les traitements de données personnelles par des organes fédéraux doivent reposer sur une base légale.

1.5.2

Relation avec les stratégies du Conseil fédéral

Le projet est compatible avec la Stratégie nationale de protection de la Suisse contre les cyberrisques7 ainsi qu'avec la Stratégie Open Government Data8.

Par ailleurs, le projet s'intègre, sans y être prévu explicitement, dans la mise en oeuvre de la Stratégie «Suisse numérique»9. Adoptée le 20 avril 2016 par le Conseil fédéral, la stratégie «Suisse numérique» a remplacé la stratégie du Conseil fédéral pour une société de l'information en Suisse du 9 mars 2012. Cette nouvelle stratégie vise à ce que la Suisse profite davantage de l'essor du numérique et se développe de manière encore plus dynamique en tant qu'économie publique novatrice.

Le projet est également en adéquation avec la stratégie suisse de cyberadministration10, qui vise le développement de la cyberadministration en Suisse par la Confédération, les cantons et les communes.

2

Procédure préliminaire, consultation comprise

La consultation des cantons, des partis politiques, des associations faîtières des communes, des villes, des régions de montagne et de l'économie qui oeuvrent au niveau national, ainsi que des milieux intéressés a eu lieu entre le 28 juin et le 20 octobre 2017.

Le rapport sur les résultats de la consultation11 a été publié le 16 janvier 2020.

5 6 7 8 9 10 11

FF 2016 981 FF 2016 4999 La stratégie peut être consultée à l'adresse suivante: www.upic.admin.ch > Directives informatiques > Stratégies et stratégies partielles.

La stratégie peut être consultée à l'adresse suivante: www.upic.admin.ch > Directives informatiques > Stratégies et stratégies partielles.

La stratégie peut être consultée à l'adresse suivante: www.ofcom.admin.ch > Suisse numérique et internet > Suisse numérique.

La stratégie peut être consultée à l'adresse suivante : www.upic.admin.ch > Directives informatiques > Stratégies et stratégies partielles.

Le rapport peut être consulté à l'adresse suivante: www.admin.ch > Droit fédéral > Consultations > Procédures de consultation terminées > 2017 > DFAE.

1284

FF 2020

2.1

Principales modifications par rapport à l'avant-projet

Le projet a été modifié principalement sur les points suivants.

Le traitement de données sur les opinions et activités religieuses et la sphère intime des employés du DFAE qui sont affectés ou qu'on envisage d'affecter à l'étranger et leurs proches n'est plus prévue de manière systématique, mais uniquement dans des cas d'espèce et dès lors que des circonstances particulières du lieu d'affectation rend le traitement de ces données indispensable dans l'intérêt de la personne concernée.

Au sujet des données sur la sphère intime, il faut souligner que le DFAE ne souhaitait pas, au travers de cette révision, créer un nouveau traitement de données sensibles, mais bien assurer une transparence totale vis-à-vis des personnes concernées qui, dès lors qu'elles livrent des informations sur leur personne accompagnante (telles que leur nom et prénom), fournissent de facto des informations sur leur orientation sexuelle.

Le projet ne prévoit plus explicitement le traitement de données sur les opinions religieuses, l'appartenance à une race ou à une ethnie et les opinions ou activités politiques des personnes candidates à des postes aux Nations Unies et au sein d'organisations internationales. Après analyse, il s'est en effet avéré que le DFAE ne collecte pas ces informations. Si d'aventure un candidat décidait de donner des informations au DFAE à ce sujet dans un curriculum vitae, leur traitement serait régi directement par l'art. 57h de la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration12. Ces données ne sont pas communiquées à des tiers.

Enfin, le projet prévoit désormais un droit d'accès en ligne afin de tenir compte notamment des besoins de la Genève internationale, qui souhaite pouvoir se positionner comme une organisatrice de conférences internationales moderne. Seules les personnes concernées par le traitement des données au sein du DFAE bénéficieront de ce droit d'accès en ligne. La Genève internationale a néanmoins un intérêt à ce que les conférences organisées par l'entremise du DFAE disposent d'outils technologiques modernes.

2.2

Autres remarques significatives de la consultation non retenues

La délégation législative au bénéfice du Conseil fédéral est conservée, puisqu'elle correspond aux standards actuels en la matière (art. 27 ss. de la loi du 24 mars 2000 sur le personnel de la Confédération13). Le caractère normatif d'une telle réglementation est insuffisant pour figurer dans la loi. Seule une telle délégation de compétences permet cependant au DFAE d'intégrer rapidement de nouvelles manières de travailler modernes, propres à améliorer l'efficacité. Si, pour chaque modification apportée au traitement de certaines données, il était nécessaire d'entreprendre une

12 13

RS 172.010 RS 172.220.1

1285

FF 2020

lourde révision législative devant le Parlement, l'action du DFAE serait pour ainsi dire paralysée.

Le projet ne répète pas les principes généraux régissant le traitement de données personnelles dans la LPD. De même, il ne prévoit pas des principes de traitement plus sévères que ceux prévus dans la LPD, afin de respecter l'égalité de traitement et de garantir l'efficacité de l'action du DFAE. En effet, l'adoption de mesures telles que le consentement explicite en cas de traitement de données ou l'obligation d'information en cas de transmission engendrerait une charge de travail supplémentaire disproportionnée par rapport au but poursuivi.

Aucune consultation du personnel du DFAE ou des associations le représentant ne sera menée. L'art. 33 LPers n'exige une telle consultation qu'en cas de modification de la LPers. Or, le projet ne la modifie pas et ne prévoit aucun nouveau traitement de données par rapport au cadre légal actuel.

3

Présentation du projet

Le projet remplace la loi du 24 mars 2000 sur le traitement des données personnelles au DFAE pour, d'une part, mieux répondre aux défis liés aux nouvelles technologies et, d'autre part, tenir dûment compte des exigences de la LPD. Il reprend dans la mesure du possible les règles et principes qui ont fait leurs preuves. Il ne crée pas de nouvelles compétences en faveur du DFAE ni de nouveaux traitements de données.

Il en résulte un cadre juridique plus clair, compatible avec les besoins liés à l'innovation et permettant au DFAE d'assumer les tâches qui lui incombent de manière moderne et efficace.

L'idée d'une loi régissant le traitement de l'ensemble des données sensibles au sein du DFAE a été adoptée, en accord avec le Préposé fédéral à la protection des données, dans le cadre des travaux en lien avec l'art. 38, al. 3, LPD. Cette disposition transitoire prévoyait que les fichiers contenant des données sensibles ou des profils de la personnalité qui existaient avant l'entrée en vigueur de la LPD au 1er juillet 1993 pouvaient continuer d'être exploités pendant cinq ans, soit jusqu'au 1er juillet 1998. Le délai prévu dans cette disposition a ensuite été prolongé jusqu'au 31 décembre 2000.

Si certaines tâches du DFAE impliquant le traitement de données sensibles sont clairement définies dans des bases légales formelles (loi du 26 septembre 2014 sur les Suisses de l'étranger14 , loi du 22 juin 2007 sur l'État hôte15, loi fédérale du 23 septembre 1953 sur la navigation maritime sous pavillon suisse16, etc.), d'autres activités ne font pas l'objet d'une description précise dans une loi formelle. Les objectifs fixés dans l'ordonnance du 20 avril 2011 sur l'organisation du Département fédéral des affaires étrangères17 en font notamment partie. Cette ordonnance prévoit en effet que le DFAE doit s'efforcer d'assurer une présence active de la Suisse dans 14 15 16 17

RS 195.1 RS 192.12 RS 747.30 RS 172.211.1

1286

FF 2020

les relations internationales. Les activités permettant de remplir cet objectif impliquent un traitement de données sensibles. Or, ce type de traitement ne peut être réglé au niveau d'une ordonnance.

Par ailleurs, certains traitements de données sensibles doivent être prévus au niveau d'une loi au sens formel s'ils sont le fait d'un organe fédéral au sens de l'art. 3, let. h, LPD, alors même que l'activité concernée intervient à l'étranger sur la base du droit local. C'est notamment le cas de la gestion du personnel local du DFAE, qui est engagé sur la base du droit du travail local du pays hôte, mais dont le traitement de données doit tout de même être prévu, en vertu de la LPD, dans une base légale formelle de droit suisse.

Pour des raisons de transparence, de meilleure lisibilité et de cohérence, il convient donc de conserver une loi qui répertorie tous les traitements de données sensibles intervenant au sein du département. Si le projet vise, en principe, l'ensemble de ces traitements, des exceptions peuvent se justifier. Des dispositions spéciales continueront donc à régir le traitement de données sensibles dans certains domaines, comme le rappelle l'art. 1, al. 2, du projet. Il en va ainsi de la loi fédérale du 18 décembre 2015 sur les valeurs patrimoniales d'origine illicite (LVP)18. La LVP contient aux art. 5, al. 3, et 23 des dispositions relatives aux traitements des données. L'art. 5, al.

3, LVP énonce un principe important en matière d'avoirs de potentats, à savoir la publication au Recueil officiel du droit fédéral d'une liste nominative des personnes visées par un blocage, ce qui inclut les données sensibles telles que l'appartenance à un parti politique ou l'existence de poursuites ou de sanctions pénales ou administratives. La publication de ces données sensibles est une spécificité importante de la pratique suisse en la matière. Il convient de conserver cette disposition dans la LVP pour des motifs de transparence et de lisibilité à l'égard des personnes concernées.

Cette solution permet de respecter au mieux les exigences de l'art. 4, al. 4, LPD, qui dispose que la collecte de données et les finalités du traitement doivent être reconnaissables pour la personne concernée. Enfin, le maintien de cette disposition dans la LVP permet d'éviter une fragmentation des bases légales
applicables en matière de recouvrement d'avoirs, fragmentation qui avait été jugée non souhaitable lors des travaux préparatoires de la LVP19. L'art. 23 LVP, qui donne une base légale formelle au traitement de données par les autorités compétentes de la Confédération, et non uniquement par le DFAE, n'est pas non plus déplacée dans le présent projet de loi par cohérence avec la solution retenue pour l'art. 5, al. 3, LVP.

Notons enfin que le présent projet ne régit pas les traitements de données qui sont le fait du DFAE, mais qui interviennent sur mandat d'autres autorités suisses. En effet, ces situations dans lesquelles le DFAE agit à l'étranger pour le compte d'une autre autorité sont régies par d'autres bases légales, qui prévoient d'ores et déjà le traitement des données qui en découle. C'est le cas notamment de l'établissement des documents d'identité des ressortissants suisses, qui est régi par la loi du 22 juin 2001 sur les documents d'identité (LDI)20: dans ce cadre, le DFAE est amené à traiter des données en sa qualité d'autorité d'établissement au sens de l'art. 4, al. 2, LDI et de 18 19 20

RS 196.1 FF 2014 5133 RS 143.1

1287

FF 2020

l'art. 6, al. 2, de l'ordonnance du 20 septembre 2002 sur les documents d'identité21.

Il en va de même, par exemple, pour les données traitées pour l'octroi de visas, qui est régi par la loi fédérale du 16 décembre 2005 sur les étrangers et l'intégration (LEI)22 et qui précise les activités dévolues au DFAE (art. 6, al. 1, LEI). C'est également le cas lorsque le DFAE transmet des demandes d'entraide en matière administrative à l'étranger à la requête d'autorités suisses.

4

Commentaire des dispositions

Chapitre 1

Objet et champ d'application

Art. 1 Le but du projet de loi est identique à celui du droit en vigueur.

Chapitre 2

Champ d'application personnel

Section 1

Personnes à l'étranger

Art. 2

But et personnes

Aux termes de l'art. 40 de la Constitution (Cst.)23, la Confédération contribue à renforcer les liens qui unissent les Suisses et les Suissesses de l'étranger entre eux et à la Suisse. Se fondant sur cette disposition, l'Assemblée fédérale a adopté la loi sur les Suisses de l'étranger (LSEtr)24 qui, tout en concrétisant les tâches consulaires prévues par l'art. 5 de la Convention de Vienne du 24 avril 1963 sur les relations consulaires25 (CVRC), règle notamment les mesures de soutien, de mise en réseau et d'information des Suisses de l'étranger, leurs droits politiques, l'aide sociale qui peut leur être accordée et le soutien d'institutions spécifiques.

Al. 1: le DFAE et les représentations de la Suisse à l'étranger gèrent un registre des Suisses de l'étranger (titre 2, chap. 2, LSEtr). La LSEtr règle également la protection consulaire et les autres prestations consulaires en faveur de personnes à l'étranger (titre 3 LSEtr, applicable aux Suisses de l'étranger; cf. art. 39, al. 1, let. a, LSEtr), de même que les prestations découlant des mesures d'aide sociale qui sont accordées par la Confédération aux Suisses de l'étranger indigents (titre 2, chap. 4, LSEtr).

Pour les Suisses de l'étranger, la notion de proches désigne les proches de ressortissants suisses pouvant bénéficier des prestations consulaires prévues au titre 3, chap.

1, LSEtr.

21 22 23 24 25

RS 143.11 RS 142.20 RS 101 RS 195.1 RS 0.191.02

1288

FF 2020

Al. 2: le DFAE et les représentations de la Suisse à l'étranger fournissent aux ressortissants suisses séjournant à l'étranger (Suisses à l'étranger) ainsi qu'aux personnes et proches pour lesquels la Suisse assume des fonctions de protection la même protection consulaire et les mêmes prestations consulaires que pour les Suisses de l'étranger (art. 39, al. 1, let. a et b, LSEtr et rapport de la Commission des institutions politiques du Conseil des États du 27 janvier 2014 concrétisant l'initiative parlementaire 11.446 pour une loi sur les Suisses de l'étranger26 [rapport relatif à la LSEtr], p. 1900, ad art. 82). La Suisse protège ainsi les intérêts de ses ressortissants qui se trouvent à l'étranger en voyage, même s'ils ne correspondent pas à la définition de Suisses de l'étranger. La Suisse peut également protéger les intérêts d'un État étranger dans un autre État étranger lorsque ces deux États ont rompu leurs relations diplomatiques et consulaires, ou si l'État concerné confie à la Suisse pour d'autres raisons, notamment financières, le soin de fournir des services consulaires à ses ressortissants. En général, le Conseil fédéral peut assurer la protection d'un ressortissant étranger sur la base d'un traité qu'il est lui-même habilité à conclure. Ce traité peut être assorti d'un mandat de puissance protectrice lorsqu'il est conclu dans le sillage d'une rupture des relations diplomatiques et consulaires. Un tel mandat peut englober des fonctions consulaires ainsi que des tâches diplomatiques, assurées soit par du personnel suisse (représentation des intérêts des États-Unis d'Amérique en Iran), soit par du personnel mis à la disposition de la Suisse par l'État demandeur (représentation bidirectionnelle des intérêts entre la Géorgie et la Russie). L'exécution de mandats de cette nature sert les intérêts politiques extérieurs de la Suisse (cf. rapport relatif à la LSEtr, p. 1884, ad art. 56).

Art. 3

Données

Al. 1: la protection consulaire accordée par la Suisse et les autres prestations consulaires fournies par la Suisse incluent une assistance générale à l'étranger fournie par le DFAE, qui comprend notamment les prestations en cas de maladie et d'accident ou en cas de crime grave (art. 45 LSEtr). En cas de privation de liberté d'une personne à l'étranger, le DFAE s'efforce notamment de se mettre en contact avec la personne concernée ou de lui rendre visite et de s'assurer que le droit à des conditions de détention conformes à la dignité humaine, les garanties de procédure et les droits de défense de la personne concernée soient respectés (art. 46 LSEtr). Le DFAE est en mesure d'offrir des prestations d'aide sociale au sens du chapitre 4 LSEtr et il peut aussi octroyer des prêts d'urgence aux personnes le nécessitant pour financer le voyage de retour, assurer une aide transitoire ou encore couvrir les frais d'hospitalisation et de consultation médicale (art. 47 LSEtr). L'exécution de ces tâches implique le traitement de données sensibles, qui sont toutes mentionnées à l'art. 3.

Al. 2: le DFAE tient le registre des Suisses de l'étranger dans le cadre de la mise en oeuvre de la LSEtr. Ce registre est considéré comme un registre officiel de personnes au sens de l'art. 2, al. 1, let. d, de la loi du 23 juin 2006 sur l'harmonisation des registres (LHR)27. L'art. 13 LHR habilite donc le DFAE à traiter le numéro d'assuré 26 27

FF 2014 1851 RS 431.02

1289

FF 2020

au sens de l'art. 50c de la loi fédérale du 20 décembre 1946 sur l'assurancevieillesse et survivants (LAVS)28. La version française de l'al. 2 fait l'objet d'une modification rédactionnelle.

Art. 4

Communication des données

Cet article permet au DFAE, dans des cas bien précis énumérés aux let. a et b, de présumer le consentement des personnes concernées lorsqu'il n'est pas possible de les consulter comme le prévoit l'art. 19, al. 1, let. b, LPD. L'ancienne version de l'art. 19, al. 1, let. b, LPD permettait, selon les circonstances, de présumer un consentement à la transmission des données si la personne concernée n'était pas en mesure de se prononcer. Le présent projet reprend cette ancienne réglementation et crée ainsi la base légale spéciale nécessaire au consentement présumé. Les autres possibilités de communication prévues par les art. 6 et 19 LPD restent valables.

L'art. 6, al. 2, let. e, LPD prévoit ainsi la possibilité de présumer le consentement d'une personne à la communication à l'étranger de ses données personnelles lorsque cette communication est nécessaire dans le cas d'espèce pour protéger sa vie ou son intégrité corporelle. Dès lors que la communication doit intervenir au bénéfice d'un acteur suisse, comme la REGA, le recours à cet instrument n'est actuelllement plus possible, ce qui représente une inégalité de traitement par rapport aux acteurs étrangers dans le domaine. Il convient d'y remédier. L'art. 4 permet ainsi une application cohérente de l'instrument du consentement présumé en dérogation à l'art. 19 LPD.

Let. a: dans les situations de crise (catastrophes naturelles, attentats, guerres, etc.; art. 48 LSEtr), le DFAE peut être tenu de transmettre des données, parfois également des données sensibles, à des intervenants tiers afin de permettre l'évacuation des Suisses de l'étranger se trouvant sur place ou pour leur venir en aide. Il peut s'agir d'autorités d'États tiers organisant des vols de rapatriement. Il peut également s'agir d'autorités d'États tiers sur place, d'organisations non gouvernementales ou du CICR, afin de permettre les recherches à effectuer dans l'hypothèse où la Suisse ne dispose pas des moyens nécessaires sur place. La transmission de données à ces tiers est uniquement envisageable si elle est dans l'intérêt même de la personne concernée.

Let. b: dans le cadre de ses activités consulaires, notamment en cas d'hospitalisation d'une personne avec laquelle il n'est plus possible de communiquer pour des raisons médicales, le DFAE est autorisé à prendre contact avec les proches
de la personne concernée, y compris en Suisse, de même qu'avec les assurances, y compris les assurances suisses, afin de clarifier par exemple les questions de prise en charge des coûts.

28

RS 831.10

1290

FF 2020

Section 2 Propriétaires, armateurs et marins de navires sous pavillon suisse Art. 5

But et personnes

Le DFAE traite des données sensibles au sens de l'art. 3, let. c et d, LPD aux fins de l'application de la Convention du 23 février 2006 sur le travail maritime29 et de la loi fédérale sur la navigation maritime sous pavillon suisse. En effet, le DFAE a pour mission d'assurer la bonne application des dispositions relatives à la navigation maritime sous pavillon suisse (art. 8). Dans ce cadre, il peut exiger en tout temps des propriétaires, armateurs et capitaines des navires sous pavillon suisse les renseignements nécessaires à l'exercice de ses fonctions et dispose d'un droit d'inspection à bord des navires suisses (art. 9, al. 3). Les dispositions de ladite loi portent sur des questions de juridiction administrative, civile et pénale (titre I, chap. III), de moyens financiers (art. 24) et de contrat d'engagement à bord (titre III, chap. II). Cette loi contient également des dispositions pénales et disciplinaires (titre VIII).

Art. 6

Données

L'exécution des tâches visées à l'art. 5 implique le traitement de données sensibles, qui sont toutes mentionnées à l'art. 6. Les armateurs concluent un accord-cadre avec la section suisse du syndicat des marins Nautilus Internationals, affiliée à l'Union syndicale suisse (USS). Conformément au droit de recours des marins, le DFAE doit prendre connaissance de cet accord. Par ailleurs, la Convention du 23 février 2006 sur le travail maritime a pour but d'assurer le respect des droits fondamentaux suivants: la liberté d'association et la reconnaissance effective du droit de négociation collective; l'élimination de toute forme de travail forcé ou obligatoire; l'abolition effective du travail des enfants; l'élimination de la discrimination en matière d'emploi et de profession. Le DFAE agit en qualité de médiateur entre le marin et l'armateur dans ce cadre (let. a). Il doit également avoir connaissance de la santé des marins pour pouvoir établir les attestations (endorsements) des certificats de capacité des marins (let. b). De plus, il doit prendre connaissance des contraventions pour entamer des procédures pénales ou administratives (let. c). Enfin, les marins naviguant sous pavillon suisses peuvent demander des mesures d'aide sociale comme prévu par le règlement du 16 décembre 2002 relatif à l'affectation des amendes versées à l'Office suisse de la navigation maritime30.

Art. 7

Communication des données

Al. 1: si des actes pénalement répréhensibles ont lieu à bord d'un navire battant pavillon suisse en haute mer, le résultat des enquêtes menées par le capitaine est transmis par le DFAE au ministère public du canton de Bâle-Ville.

Al. 2: en cas d'incidents d'une certaine portée survenus à bord de navires commerciaux battant pavillon suisse, le service suisse d'enquête de sécurité du Département fédéral de l'environnement, des transports, de l'énergie et de la communication 29 30

RS 0.822.81 Non publié au RO

1291

FF 2020

ouvre une enquête. Au besoin, le DFAE doit transmettre les documents pertinents en sa possession et les données qui y sont contenues.

Section 3 Employés du DFAE affectés à l'étranger et leurs proches Pour les employés du DFAE, la notion de proches désigne les personnes accompagnantes au sens de l'art. 3, let. d, ainsi que les enfants au sens de l'art. 3, let. e, de l'ordonnance du 20 septembre du DFAE concernant l'ordonnance sur le personnel de la Confédération31.

Art. 8

But et personnes

Les traitements de données sensibles intervenant au sein du DFAE dans le domaine de la gestion du personnel employé sur la base de la LPers se fondent sur les art. 27 ss. LPers. Il n'y a pas lieu de les régler de manière exhaustive ici. Le projet doit néanmoins prévoir des dispositions complémentaires concernant le traitement des données sensibles relatives à des employés du DFAE affectés à l'étranger au bénéfice d'un contrat de travail fondé sur la LPers. En effet, pour cette catégorie de personnes, le seul catalogue des données sensibles prévu par la LPers n'est pas suffisant. Le DFAE doit être en mesure d'évaluer au mieux les possibilités d'affecter un de ses employés à l'étranger. Les raisons qui justifient l'élargissement du catalogue des données sensibles au-delà de ce qui est prévu par la LPers sont d'une part de nature sécuritaire, dans l'intérêt de la personne concernée et de ses proches, et d'autre part d'intérêt public, notamment pour éviter des crises diplomatiques qui auraient pu être évitées en affectant les personnes plus judicieusement à la lumière des spécificités locales du pays hôte.

Art. 9

Données

L'exécution des tâches dévolues au DFAE en sa qualité d'employeur implique le traitement de données sensibles, qui sont toutes mentionnées à l'art. 9.

Al. 1: le DFAE doit être informé de l'état de santé de ses employés et des proches qui les accompagnent dans le cadre de l'affectation à l'étranger de manière à pouvoir prendre en considération notamment leurs besoins médicaux sur place ou les conditions climatiques à éviter dans l'intérêt des personnes concernées.

Al. 2, let. a: exceptionnellement, lorsque le lieu d'affectation comporte des circonstances particulières, le DFAE peut traiter les données sur les opinions et les activités religieuses des employés qui sont affectés ou qu'on envisage d'affecter à l'étranger et de leurs proches. Ainsi, lorsqu'un État est en proie à des conflits interreligieux ou que la religion y est sujette à controverse, il faut éviter que la religion des employés ainsi que les pratiques qui en découlent ne rendent impossibles les activités sur place ou ne créent un incident diplomatique et mettent en danger la sécurité des personnes concernées.

31

RS 172.220.111.343.3

1292

FF 2020

Al. 2, let. b: toujours dans des cas particuliers, le DFAE doit également pouvoir s'assurer de ne pas affecter un collaborateur dans un État dans lequel son orientation sexuelle ou celle de ses proches pourrait les mettre en danger, par exemple lorsqu'une telle orientation ne serait pas reconnue et serait susceptible de sanctions pénales.

Art. 10

Communication des données

L'affectation à l'étranger peut entraîner des désavantages sur le plan de l'assurancemaladie pour les employés et les proches qui les accompagnent. Le DFAE est amené à collaborer à cet égard avec l'assurance-maladie du département afin de pallier ces désavantages.

Section 4 Employés locaux des représentations suisses à l'étranger et leurs proches Pour les employés locaux, la notion de proches désigne les personnes faisant ménage commun avec la personne concernée.

Art. 11

But et personnes

Le DFAE fait appel à des employés locaux qui sont engagés directement par les représentations sur la base d'un contrat de travail régi par le droit local, et non par la LPers. Il traite ainsi des données sur le personnel local engagé dans divers domaines d'activités (p. ex. l'administration, les visas, le domaine de la coopération avec les États de l'Europe de l'Est, le service de maison, le jardinage). Bien que le droit local soit applicable, le droit suisse s'applique en matière de protection et de traitement des données. En effet, le DFAE est un organe fédéral soumis aux exigences de la LPD en sa qualité de maître de fichier.

Le DFAE traite des données relatives au personnel local afin de remplir son devoir d'assistance à l'égard de ses employés et d'assumer ses obligations liées à la mise en oeuvre du droit des assurances sociales. Le traitement des données a également pour objectif de réduire les frais de personnel, le taux de fluctuation et le nombre d'absences en vue d'accroître la productivité du travail et les performances du personnel.

Les employés peuvent avoir connaissance du traitement des données les concernant par le biais des décomptes de salaires par exemple, ce qui n'est pas le cas pour tous les types de traitement de données intervenant en dehors des relations de travail.

Cette section s'inspire des art. 27 ss. LPers, qui sont applicables au traitement des données du personnel de tous les employeurs soumis à la LPers.

Let. a: l'évaluation et la planification des effectifs nécessaires consistent à déterminer le personnel dont l'employeur a besoin, sur les plans quantitatif, qualitatif et temporel, pour remplir ses tâches. La planification des besoins en personnel est un élément de la planification commerciale qui prend en considération, d'une part, la stratégie et le développement de l'établissement et, d'autre part, l'évolution démo-

1293

FF 2020

graphique et les changements attendus au sein du personnel (structure d'âge, mobilité, etc.).

Let. b: le recrutement du personnel a pour but de garantir les effectifs nécessaires en collaborateurs internes et externes.

Let. c: l'administration du personnel, ou la gestion des données relatives au personnel, englobe tous les processus liés au personnel, de l'analyse des besoins à la gestion des salaires et des rémunérations, en passant par l'établissement des dossiers du personnel, la gestion des communications adressées aux assurances sociales et les formalités ayant trait au départ des collaborateurs. La gestion des données relatives au personnel met en lien les données personnelles et les informations concernant leur rôle et leur fonction et permet d'assurer le contrôle du personnel.

Let. d: la direction du personnel comprend l'affectation judicieuse des collaborateurs ainsi que leur encouragement et leur fidélisation. Elle repose sur l'acceptation mutuelle des supérieurs hiérarchiques et des employés et sur une culture d'entreprise encourageant le dialogue et les retours d'information. La direction du personnel vise aussi à mettre en oeuvre la diversité et l'égalité des chances.

Let. e: le développement du personnel comprend toutes les mesures visant à maintenir et à augmenter le niveau de qualification du personnel, notamment par la formation, le perfectionnement, la reconversion professionnelle, l'entraînement, la supervision et le mentorat. Le développement du personnel sert à promouvoir les compétences techniques et sociales, l'aptitude à diriger ainsi que les qualifications nécessaires à l'exercice des fonctions occupées.

Let. f: le contrôle du personnel comprend la planification, le pilotage et le suivi des processus liés au personnel (au moyen d'analyses des données de comparaisons, de rapports et de plans de mesures). Il crée ainsi les bases nécessaires à la réduction des frais de personnel, du taux de fluctuation et des absences et contribue à augmenter la productivité du travail et à améliorer les performances. En outre, il fournit des chiffres clés relatifs à la composition du personnel local (p. ex. effectifs, proportion d'hommes et de femmes, distribution linguistique et géographique), ainsi qu'à la réalisation des objectifs de la politique du personnel et, le cas échéant,
aux dispositions à prendre.

Let. g: l'engagement de personnel local par les représentations suisses à l'étranger est susceptible de créer des conflits d'intérêts qui peuvent mettre en danger la sécurité des personnes concernées. En effet, le contexte familial et les particularités de ce dernier peuvent, dans des constellations particulières, créer des situations dans lesquelles l'employé local est soumis à un conflit de loyauté entre son employeur et ses proches. L'objectif du traitement des données est de permettre l'identification de ces éventuels conflits d'intérêts de manière préventive afin de juger de l'opportunité d'un engagement ou d'une affectation particulière à une fonction dans la représentation.

Let. h: en sa qualité d'employeur, le DFAE se doit de protéger les intérêts de la Confédération. Il doit donc notamment éviter que l'engagement ou l'affectation d'un employé local soit susceptible, directement ou indirectement par le truchement des relations familiales, de compromettre la sûreté extérieure de la Suisse ou les intérêts

1294

FF 2020

de la Suisse en matière de politique extérieure ou d'entraîner un incident diplomatique avec l'État hôte.

Art. 12

Données

Let. a: les données relatives à la personne comprennent des informations tirées du dossier de candidature, des renseignements sur l'appartenance à une organisation syndicale (sous réserve de l'assentiment de l'employé) ou sur l'exercice d'un mandat public ou d'une activité accessoire et d'autres indications de ce type. Les données concernant les parents et la famille doivent également être traitées. Un tel traitement se justifie afin d'éviter qu'un engagement ne crée des conflits d'intérêts insurmontables au sein d'une famille et ne mette en danger la sécurité de la Suisse, par exemple. Il peut en effet arriver que l'activité professionnelle du conjoint soit incompatible avec les obligations de service de l'employé local ou avec les intérêts de la Confédération. Un employé local dont l'épouse serait à la tête des services de renseignements du pays constituerait sans nul doute un risque de sécurité pour la Suisse.

Let. b: font notamment partie des données relatives à l'état de santé les certificats médicaux, les périodes d'absence dues à une maladie ou à un accident, les rapports du service médical, des résultats d'examens d'aptitude et des données de gestion des cas.

Let. c: les données relatives à la santé sont traitées dans le cadre du rôle de l'employeur en qualité d'assureur-maladie, accidents et maternité du personnel local, dans les pays où la sécurité sociale en faveur du personnel local et de sa famille comprend des mesures de prévoyance financière en cas de maladie, d'accident, d'invalidité, de maternité, de vieillesse ou de décès qui sont insuffisantes. Ces mêmes données sont également traitées en vertu de la let. a au sujet de la famille du personnel local afin de permettre l'affiliation des conjoints au système d'assurances sociales du DFAE.

Let. d: les données requises dans le cadre de la collaboration portent notamment sur les conventions d'objectifs, l'évaluation des prestations, les compétences sociales et techniques, les résultats des tests de personnalité ou d'appréciation du potentiel et les documents concernant les formations et les perfectionnements suivis.

Let. e: les employeurs sont tenus de participer à la mise en oeuvre des assurances sociales. À ce titre, ils soumettent les comptes relatifs aux cotisations dues et perçues aux caisses de compensation et leur transmettent
les données requises pour la gestion des comptes individuels des collaborateurs. Font partie des assurances sociales l'AVS, l'AI, le régime des APG, l'assurance-chômage, la CNA et l'assuranceaccidents, les allocations familiales et PUBLICA.

Let. f: les actes et les procédures compris dans cette catégorie de données sont principalement les actes relatifs à des litiges portant sur les rapports de travail, les saisies de salaire, les extraits de décisions judiciaires pour déterminer le droit aux allocations familiales ou les rapports sur le processus d'élimination des divergences liées à l'évaluation des prestations.

1295

FF 2020

Let. g: le personnel local n'étant pas soumis aux dispositions applicables au personnel de la Confédération concernant les contrôles de sécurité relatifs aux personnes, notamment l'ordonnance du 4 mars 2011 sur les contrôles de sécurité relatifs aux personnes32, et ne pouvant être soumis à titre de tiers à un tel contrôle pour des raisons pratiques d'accès aux informations, le DFAE doit effectuer lui-même une analyse des risques découlant de l'engagement de ses employés locaux ou des affectations à certaines fonctions. Dans le cadre de ces clarifications, le DFAE est notamment amené à traiter les extraits de casier judiciaire ou d'autres informations disponibles selon les spécificités locales fournissant le même type de renseignements.

Art. 13

Traitement des données

En sa qualité d'employeur soumis à la LPers, le DFAE peut utiliser les systèmes d'information exploités par le Département fédéral des finances (DFF) au nom de l'administration fédérale (système d'information pour la gestion des données du personnel, système d'information E-Dossier personnel, système d'information E-Recrutement, etc.) pour des catégories de personnes non soumises à la LPers.

L'objectif est de permettre à un employeur unique de traiter les données relatives à ses employés de la même manière et dans les mêmes systèmes, quelle que soit la carrière à laquelle ils appartiennent.

Art. 14

Communication des données

Les données médicales traitées en lien avec les obligations d'assureur-maladie, accidents et maternité de l'employeur peuvent faire l'objet d'une transmission à l'assureur conseil de l'employeur. Lié à l'employeur par un contrat de mandat, l'assureur conseil est soumis aux mêmes obligations en matière de protection des données que l'employeur.

Section 5

Représentants consulaires honoraires et leurs proches

Le commentaire de la section 4 relatif à la notion de proches s'applique par analogie aux représentants consulaires honoraires.

Art. 15

But et personnes

Le DFAE recourt à des représentants consulaires honoraires pour effectuer ses tâches dans des endroits où il ne dispose pas de mission diplomatique ou de poste consulaire de carrière (chap. III CVRC et art. 74 de l'ordonnance du 7 octobre 2015 sur les Suisses de l'étranger33). Le DFAE traite des données dans le cadre du recrutement de ces personnes, de leur nomination par le chef du DFAE et de leurs activités pour le compte du DFAE.

32 33

RS 120.4 RS 195.11

1296

FF 2020

Let. a: le commentaire relatif à l'art. 11, let. a, s'applique par analogie.

Let. b: le commentaire relatif à l'art. 11, let. b, s'applique par analogie.

Let. c: le commentaire relatif à l'art. 11, let. c, s'applique par analogie.

Let. d: le commentaire relatif à l'art. 11, let. g, s'applique par analogie.

Let. e: le commentaire relatif à l'art. 11, let. h, s'applique par analogie.

Art. 16

Données

Let. a: le commentaire relatif à l'art. 12, let. a, s'applique par analogie.

Let. b: le commentaire relatif à l'art. 12, let. b, s'applique par analogie.

Let. c: les actes et les procédures compris dans cette catégorie de données sont principalement les actes relatifs à des litiges portant sur les prestations fournies par les représentants consulaires honoraires et les litiges entre le DFAE et les représentants consulaires honoraires en cas de non-reconduction du mandat.

Let. d: le commentaire relatif à l'art. 12, let. g, s'applique par analogie.

Art. 17

Traitement des données

Le commentaire relatif à l'art. 13 s'applique par analogie.

Section 6 Experts affectés à la promotion de la paix, au renforcement des droits de l'homme et à l'aide humanitaire et leurs proches Le commentaire de la section 3 relatif à la notion de proches s'applique par analogie aux experts affectés à la promotion de la paix, au renforcement des droits de l'homme et à l'aide humanitaire.

Art. 18

But et personnes

En vertu du mandat que lui confère l'art. 54 Cst., la Suisse s'efforce notamment de contribuer à soulager les populations dans le besoin et à lutter contre la pauvreté ainsi qu'à promouvoir le respect des droits de l'homme. Elle envoie à cet effet chaque année quelque 200 experts civils et policiers au sein d'organisations internationales pour promouvoir la paix et les droits de l'homme. Leurs missions se fondent sur les priorités géographiques et thématiques de la Division Sécurité humaine du DFAE. Les experts suisses pour la promotion de la paix et des droits de l'homme mettent leurs compétences au service de la communauté internationale.

Leurs missions consistent, par exemple, à mettre en place un État de droit au Kosovo, à observer les élections en Ukraine ou à apporter un soutien technique à la police ivoirienne. Le DFAE organise des formations d'experts en Suisse et renforce les compétences dans les zones de crises. L'Organisation des Nations Unies, l'Organisation pour la sécurité et la coopération en Europe et l'Union européenne sont ses

1297

FF 2020

principaux partenaires. Les experts sont détachés au siège de ces organisations ou envoyés en mission sur le terrain.

Les experts du Corps suisse d'aide humanitaire, pour leur part, sont déployés pour mettre en oeuvre des projets de la Direction du développement et de la coopération ou des partenaires onusiens avant, pendant et après des crises ou des conflits. Ce corps de milice est composé d'environ 700 personnes. La majorité des spécialistes sont sollicités pour mettre en oeuvre les projets de l'aide humanitaire suisse à l'étranger. D'autres sont mis à la disposition des agences onusiennes, qui profitent ainsi de leur expérience et de leur savoir-faire. Répartis selon des groupes spécialisés, ces experts sont envoyés sur le terrain pour mener des actions préventives ou pour soutenir les populations affectées.

Dès qu'une mission se présente, les experts sont soumis à un contrat de travail fondé sur la LPers et l'ordonnance du 2 décembre 2005 sur le personnel affecté à la promotion de la paix, au renforcement des droits de l'homme et à l'aide humanitaire34. Lorsque les experts ne sont pas affectés à une mission particulière, le DFAE se charge d'assurer leur formation continue.

Dans ce cadre, la gestion des données qui intervient ne consiste en rien de plus qu'une procédure de recrutement particulière qui diffère sur la forme et surtout sur la durée de celle prévue par la LPers. Comme le traitement des données dans cette procédure de recrutement particulière répond à d'autres conditions, notamment par rapport au catalogue des données, à leur conservation et à leur communication, ces points doivent être réglés dans le projet.

Let. a: l'évaluation et la planification des effectifs nécessaires consistent à déterminer le personnel dont le DFAE a besoin, sur les plans quantitatif, qualitatif et temporel, pour être en mesure de proposer les bons profils aux organisations internationales qui sont à la recherche d'experts ou afin d'engager des experts dont le profil répond à des impondérables en lien avec des crises ou des conflits. La planification des besoins en experts et la gestion des experts sont des éléments indispensables à la stratégie et au développement de la politique du DFAE dans les domaines de la promotion de la paix et des droits de l'homme, de même que dans la mise à disposition de
personnel qualifié pour faire face à ces situations de crise ou de guerre.

Let. b: le recrutement des experts a pour but de garantir les effectifs nécessaires en spécialistes présélectionnés disposant d'un profil particulier.

Let. c: le commentaire relatif à l'art. 12, let. c, s'applique par analogie.

Let. d: le commentaire relatif à l'art. 12, let. d, s'applique par analogie.

Let. e: le commentaire relatif à l'art. 12, let. e, s'applique par analogie.

Let. f: le commentaire relatif à l'art. 12, let. f, s'applique par analogie.

Let. g, h et i: le commentaire relatif à l'art. 8 s'applique par analogie.

34

RS 172.220.111.9

1298

FF 2020

Art. 19

Données

Al. 1: l'exécution des tâches dévolues au DFAE en sa qualité de recruteur et dans le cadre de la gestion des affectations des experts implique le traitement de données qui sont toutes mentionnées à l'art. 9. Les données relatives à la personne comprennent des informations tirées du dossier de candidature, des renseignements sur l'exercice d'un mandat public ou de l'activité professionnelle ainsi que d'autres indications de ce type. Les données concernant les parents et la famille doivent également être traitées afin d'éviter un engagement qui créerait des conflits d'intérêts insurmontables au sein d'une famille et qui mettrait en danger la sécurité de la Suisse.

Al. 2, let. a: le DFAE doit être informé de l'état de santé des experts et de leurs proches dans le cadre de l'affectation à l'étranger à venir et pouvoir prendre en considération notamment leurs besoins médicaux sur place ou les conditions climatiques à éviter dans l'intérêt des personnes concernées.

Al. 2, let b: les données traitées dans le cadre de la formation continue et des perfectionnements suivis permettent au DFAE de s'assurer que les experts disposent des dernières connaissances dans leur domaine de compétences afin de garantir un engagement de qualité.

Al. 2, let. c: les actes de procédures et les décisions compris dans cette catégorie de données doivent être portés à la connaissance du DFAE de manière à éviter tout conflit d'intérêt et dégât d'image dès lors qu'un expert serait engagé pour une mission donnée alors que ses antécédents judiciaires ou administratifs le disqualifieraient.

Al. 3: le commentaire relatif à l'art. 9, al. 2, s'applique par analogie.: Art. 20

Communication des données

Les données peuvent être communiquées à des employeurs potentiels afin que ceuxci puissent sélectionner des profils remplissant les critères nécessaires pour la mission spécifique. Dans ce cas de figure, le DFAE fait office d'intermédiaire entre un employeur potentiel et un candidat. En intégrant le pool d'experts, celui-ci consent à ce type de communication de données.

Section 7 Personnes bénéficiaires de privilèges, d'immunités et de facilités Art. 21

But et personnes

Dans le cadre de ses relations internationales, la Suisse accueille sur son territoire des bénéficiaires institutionnels au sens de l'art. 2, al. 1, de la loi du 22 juin 2007 sur l'Etat hôte (LEH)35, à savoir entre autres des représentations diplomatiques et consulaires, des organisations internationales et des missions permanentes auprès de ces organisations internationales. En sa qualité d'État hôte et conformément à la Con35

RS 192.12

1299

FF 2020

vention de Vienne du 18 avril 1961 sur les relations diplomatiques36 (CVRD), à la CVRC et aux accords de siège, la Suisse est soumise à des obligations de droit international impliquant le traitement de données sensibles afin d'assurer la gestion administrative des questions liées à l'accréditation, au statut juridique, au séjour et à la gestion des différentes catégories de cartes de légitimation des personnes bénéficiaires de privilèges, d'immunités et de facilités au sens de la LEH. Il s'agit des personnes appelées, à titre permanent ou non, en qualité officielle auprès de l'un des bénéficiaires institutionnels mentionnés à l'art. 2, al. 1, LEH, des personnalités exerçant un mandat international et des personnes autorisées à accompagner les personnes bénéficiaires mentionnées à l'art. 2, al. 2, let. a et b, LEH.

Le DFAE est également tenu d'intervenir dans le règlement de litiges dans lesquels les personnes concernées sont impliquées lorsque les privilèges et immunités dont elles bénéficient en vertu du droit international empêchent les tribunaux ordinaires de traiter les cas dont ils sont saisis.

Art. 22

Données

Al. 1: l'exécution des tâches concernées implique le traitement de données qui sont toutes mentionnés à l'art. 22.

Let. a: le DFAE intervient dans le règlement de litiges impliquant les personnes bénéficiaires lorsque les privilèges et immunités dont elles bénéficient en vertu du droit international empêchent les tribunaux ordinaires de traiter les cas dont ils sont saisis. Il est alors appelé à recueillir des données sur des poursuites ou sanctions pénales et administratives, afin de disposer des éléments nécessaires pour intervenir auprès de l'intéressé ou de son employeur de manière à rechercher une solution au litige ou à obtenir la levée de l'immunité de la personne concernée. Dans ce domaine, le DFAE intervient, dans les limites de ses moyens et de ses prérogatives, pour sauvegarder les intérêts des tiers.

Let. b: les personnes bénéficiaires reçoivent une carte de légitimation, établie par le DFAE, qui constitue leur titre de séjour en Suisse pour la durée de leurs fonctions officielles et atteste de leur statut juridique, en particulier des immunités dont ils bénéficient. Dès lors, le DFAE joue à leur égard le rôle du service du contrôle des habitants. De ce fait, il recueille les données nécessaires au traitement des questions liées à leurs fonctions et à leur séjour en Suisse, à l'établissement des cartes de légitimation et à la description de leurs activités. Les données relatives aux mesures d'aide sociale sont également traitées dans ce cadre. Il ne s'agit pas des mesures d'aide sociale au sens strict du terme, mais au sens de la définition de l'art. 3, let. c, ch. 3, LPD. En effet, par mesure d'aide sociale, on entend surtout les prestations des assurances sociales en rapport avec la maladie et l'accident, de même que la tutelle et l'assistance sociale. Ce type de données est traité de manière à s'assurer, lors de l'établissement des cartes de légitimation ou de leur renouvellement, que le droit des assurances sociales est respecté.

36

RS 0.191.01

1300

FF 2020

Al. 2: le DFAE gère le système d'information Ordipro (ordonnance Ordipro du 22 mars 201937), dans lequel sont traitées les données concernant les personnes bénéficiaires visées à l'art. 2, al. 2, LEH. Ce système est considéré comme un registre officiel de personnes au sens de la LHR (art. 2, al. 1, let. c, LHR). En vertu de l'art. 13 LHR, le DFAE est donc habilité à traiter le numéro d'assuré au sens de l'art. 50c LAVS.

Art. 23

Communication des données

Al. 1: les données peuvent être transmises aux autorités mentionnées pour remplir les buts de la LEH, notamment ceux visés à l'art. 28 LEH.

Al. 2: le DFAE peut transmettre aux bénéficiaires institutionnels au sens de l'art. 2, al. 1, LEH établis en Suisse les données concernant les personnes qu'ils occupent et celles qui les accompagnent. Les bénéficiaires institutionnels étant soumis au droit suisse, une telle communication n'est pas constitutive d'une communication transfrontière de données au sens de l'art. 6 LPD.

Section 8 Personnes participant à des conférences internationales organisées par la Suisse Art. 24

But et personnes

Le DFAE organise des conférences internationales pour atteindre les objectifs mentionnés plus haut, notamment celui qui vise à assurer une présence active de la Suisse dans les relations internationales. Il en découle le traitement de données permettant d'assurer la bonne tenue de telles rencontres internationales organisées par la Suisse.

Art. 25

Données

L'exécution des tâches organisationnelles et logistiques qui incombent au DFAE implique le traitement de données sensibles qui sont toutes mentionnées à l'art. 28.

Le DFAE a besoin de connaître et de traiter diverses informations sur les participants, telles que celles concernant leurs habitudes alimentaires, leurs allergies, leurs handicaps ou leur religion, afin d'être en mesure d'organiser des conférences et de répondre aux besoins particuliers des participants. L'ordre du jour d'une conférence peut être directement influencé par certaines activités religieuses. Les endroits retenus pour une conférence doivent également prendre en considération les éventuels handicaps physiques des participants, notamment en cas de déplacement en chaise roulante.

37

RS 235.21

1301

FF 2020

Art. 26

Droits de traitement

Le DFAE souhaite faciliter l'organisation de conférences internationales au moyen d'un système moderne permettant aux participants de procéder eux-mêmes à leur inscription. C'est pourquoi le projet prévoit une procédure d'accès en ligne aux données qui seront traités dans ce système. Celui-ci verra le jour prochainement.

Section 9 Personnes actives dans le domaine des prestations de sécurité privées fournies à l'étranger Art. 27

But et personnes

La loi fédérale du 27 septembre 2013 sur les prestations de sécurité privées fournies à l'étranger (LPSP)38 régit la fourniture de prestations de sécurité privées depuis la Suisse à l'étranger. Cette loi contribue à préserver la sécurité intérieure et extérieure de la Suisse, à mettre en oeuvre les objectifs de sa politique extérieure, à préserver la neutralité suisse et à garantir le respect du droit international. Un régime d'interdictions assorti d'une procédure de déclaration préalable a été instauré à cette fin. La LPSP règle en outre l'engagement d'entreprises de sécurité privées par des autorités fédérales pour l'exécution de tâches de protection à l'étranger dans des environnements complexes. L'art. 4, let. c, ch. 2, de l'ordonnance du 24 juin 2015 sur les prestations de sécurité privées fournies à l'étranger39 prévoit que le DFAE doit contrôler la bonne réputation des personnes qui sont tenues de déclarer leur activité, ce qui l'amène à traiter des données.

L'art. 20 LPSP sera remplacé par la présente section, de manière à centraliser l'ensemble des traitements de données nécessitant une base légale formelle. L'article 38, al. 1, let. b, LPSP sera modifié dans la mesure où il renvoie à l'art. 20 LPSP.

Art. 28

Données

Le DFAE est habilité à traiter les données prévues à l'art. 30 pour l'accomplissement des tâches qui lui incombent en vertu de la LPSP, à savoir préserver la sécurité intérieure et extérieure de la Suisse, mettre en oeuvre les objectifs de sa politique extérieure, préserver la neutralité suisse et garantir le respect du droit international.

Chapitre 3 Art. 29

Dispositions finales Dispositions d'exécution

Al. 1, let. a: le Conseil fédéral est tenu de régler de manière transparente l'exploitation des systèmes d'information utilisés par le DFAE. S'il existe plus d'un système 38 39

RS 935.41 RS 935.411

1302

FF 2020

d'information, leurs liens internes ou leurs interfaces externes doivent également être présentés.

Al. 1, let. b: le catalogue des données non sensibles sera défini de manière plus détaillée dans les dispositions d'exécution. Les données pourront être précisées dans une annexe, comme à l'annexe 1 de l'ordonnance du 26 octobre 2011 concernant la protection des données personnelles du personnel de la Confédération40.

Al. 2: la question des droits d'accès en ligne par les directions du DFAE et les représentations suisses à l'étranger aux données sensibles qui sont nécessaires à l'accomplissement de leurs tâches fera l'objet d'une réglementation détaillée dans les dispositions d'exécution, même si la LPD prévoit en son art. 19, al. 3, qu'un accès en ligne doit être détaillé dans une loi au sens formel. Cette différence se justifie par le fait que le DFAE est organisé de manière fort différente des autres départements fédéraux. En effet, le DFAE ne connaît pas d'offices fédéraux qui sont compétents pour l'ensemble d'un domaine d'activité: ses activités s'articulent autour de différentes directions et de son réseau de représentations à l'étranger. Ces directions sont susceptibles de s'occuper des mêmes questions et des mêmes tâches que le réseau de représentations à l'étranger, par exemple dans le cadre de la protection consulaire accordée par la Suisse, domaine dans lequel la Direction consulaire du DFAE et le réseau de représentations agissent en partenariat et de manière complémentaire.

Dans le cadre de la gestion des données relatives aux personnes bénéficiaires de privilèges, d'immunités et d'autres facilités, les acteurs internes au DFAE sont également multiples. Les questions multilatérales sont gérées directement par la Mission Suisse à Genève, qui fait partie du réseau des représentations, tandis que les questions bilatérales sont gérées par le Protocole à Berne, qui est rattaché au Secrétariat d'État, et que l'application des Conventions de Vienne incombe à la Direction du droit international public. Différents acteurs internes au DFAE doivent donc avoir accès aux mêmes informations. Au vu des particularités propres à l'organisation du DFAE, le projet délègue la compétence de régler les accès en ligne au Conseil fédéral par voie d'ordonnance, de manière à éviter, pour des questions évidentes
de meilleure gestion des ressources, de devoir passer par une lourde procédure de révision législative à la moindre modification organisationnelle interne.

Les accès en ligne au bénéfice de tiers au DFAE ne sont pas concernés par cette disposition.

Art. 30

Abrogation et modification d'autres actes

Loi fédérale du 19 décembre 2003 sur des mesures de promotion civile de la paix et de renforcement des droits de l'homme41 Art. 9 Les modifications apportées à cet article découlent de la nouvelle structure de la loi.

La possibilité de gérer des fichiers sur les personnes participant à des actions de maintien de la paix et de bons offices à des fins de planification et d'organisation des engagements est expressément prévue à l'art. 2 de cette loi. Il n'est donc pas néces40 41

RS 172.220.111.4 RS 193.9

1303

FF 2020

saire de le répéter. Il faut en revanche mentionner les dispositions relatives au traitement des données des pools d'experts, soit les art. 18 à 20 du projet, parce que le DFAE n'est pas le seul acteur dans les domaines des mesures de promotion civile de la paix et de renforcement des droits de l'homme: le DFF (Administration fédérale des douanes) et le Département fédéral de la défense, de la protection de la population et des sports doivent également pouvoir traiter les données en question.

Loi fédérale du 27 septembre 2013 sur les prestations de sécurité privées fournies à l'étranger42 Art. 20 Cette disposition est abrogée. Elle figure à l'identique aux art. 27 et 28 du projet de nouvelle loi, afin que l'ensemble des traitements de données au DFAE soit réglé dans le même texte de loi.

Loi fédérale du 19 mars 1976 sur la coopération au développement et l'aide humanitaire43 Art. 13a Cette disposition est abrogée parce que l'ensemble des traitements de données nécessaires à la mise en oeuvre de la loi est réglé dans d'autres bases légales formelles: la LPers et ses dispositions d'exécution permettent le traitement des données des employés soumis à un contrat de droit public, tandis que le projet de nouvelle loi permet le traitement des données des employés locaux.

Il faut préciser ici que même si d'autres acteurs de l'administration sont actifs dans ce domaine, seul le DFAE engage du personnel local. Les dispositions inscrites dans le projet de nouvelle loi sont donc suffisantes.

Loi fédérale du 30 septembre 2016 sur la coopération avec les États d'Europe de l'Est44 Art. 15 Cette disposition porte sur le traitement des données personnelles du personnel local du DFAE s'occupant de la coopération avec les États d'Europe de l'Est. Introduite sur demande de l'Office fédéral de la justice dans le cadre de la révision de la loi fédérale du 24 mars 2006 sur la coopération avec les États d'Europe de l'Est, elle ne donnait déjà pas satisfaction au moment de son entrée en vigueur, parce que l'engagement d'employés locaux va bien au-delà du domaine d'activité régi par cette loi sectorielle. Le DFAE doit disposer d'une base légale permettant le traitement des données de l'ensemble de ses employés. Le projet de nouvelle loi contient une base légale globale couvrant l'ensemble des besoins (cf. art. 11 à 14 du projet).

L'art. 15 de la loi fédérale du 30 septembre 2016 sur la coopération avec les États d'Europe de l'Est peut donc être supprimé, d'autant que l'ensemble des traitements 42 43 44

RS 935.41 RS 974.0 RS 974.1

1304

FF 2020

de données nécessaires à la mise en oeuvre de la loi est réglé dans d'autres bases légales formelles (cf. commentaire de la loi fédérale du 19 mars 1976 sur la coopération au développement et l'aide humanitaire)

5

Conséquences

5.1

Conséquences pour la Confédération

Le projet n'a pas de conséquences financières, ni de conséquences sur l'état du personnel de la Confédération.

5.2

Conséquences pour les cantons et les communes, ainsi que pour les centres urbains, les agglomérations et les régions de montagne

Le projet n'a pas de conséquences financières ou de quelque autre nature que ce soit pour les cantons et les communes, ni pour les centres urbains, les agglomérations et les régions de montagne.

5.3

Conséquences économiques

Le projet n'a pas de conséquences économiques.

5.4

Conséquences sanitaires et sociales

Le projet n'a pas de conséquences sociales ni sanitaires.

5.5

Conséquences sur l'égalité entre hommes et femmes

Le projet n'a pas de conséquences sur l'égalité entre hommes et femmes.

5.6

Conséquences environnementales

Le projet n'a pas de conséquences directes sur l'environnement.

1305

FF 2020

6

Aspects juridiques

6.1

Constitutionnalité

Les tâches du DFAE pour lesquelles des traitements de données sont requis s'appuient sur plusieurs dispositions constitutionnelles: aux termes de l'art. 54, al. 1, Cst., les affaires étrangères relèvent de la Confédération; l'art. 40, al. 2, Cst. prévoit que la Confédération légifère sur les droits et les devoirs des Suisses et Suissesses de l'étranger; aux termes de l'art. 87 Cst., la législation sur la navigation, notamment, relève de la compétence de la Confédération, de même que la législation en matière de droit civil aux termes de l'art. 122 Cst.; enfin l'art. 95, al. 1, Cst. dispose que la Confédération peut légiférer sur l'exercice des activités économiques lucratives privées.

6.2

Compatibilité avec les obligations internationales de la Suisse

Le projet est compatible avec les obligations internationales de la Suisse. Il permet à celle-ci, en sa qualité d'État signataire de la CVRD, de la CVRC et des accords de siège, de respecter ses droits et ses obligations.

6.3

Forme de l'acte à adopter

Le projet a la forme d'un acte modificateur unique sujet au référendum.

6.4

Frein aux dépenses

Le projet ne prévoit ni subventions ni crédits d'engagement ou plafonds de dépenses qui entraîneraient une nouvelle dépense unique de plus de 20 millions de francs ou de nouvelles dépenses périodiques de plus de 2 millions de francs.

Le projet n'implique pas de dépenses sujettes au frein aux dépenses (art. 159, al. 3, let. b, Cst.).

6.5

Conformité à la loi sur les subventions

Le projet ne prévoit pas de subventions.

6.6

Délégation de compétences législatives

L'art. 29 du projet délègue des compétences législatives au Conseil fédéral. Le Conseil fédéral conserve sa faculté de régler certaines modalités des traitements de données prévus, à savoir les questions liées à l'opportunité d'exploiter des systèmes 1306

FF 2020

d'information et de définir le catalogue des données non sensibles, la responsabilité du traitement des données et ses modalités concrètes, pour autant qu'elles ne soient pas réglées dans le présent projet (collecte, accès, conservation et destruction), et des questions liées à la communication des données à l'Office fédéral de la statistique.

Il règle en sus les droits d'accès en ligne aux données sensibles des directions du DFAE et des représentations suisses à l'étranger qui ont besoin de tels accès pour accomplir leurs tâches légales. Comme expliqué dans le commentaire de l'art. 29, al. 2, cette question fera l'objet d'une réglementation détaillée dans les dispositions d'exécution.

1307

FF 2020

1308