13.403 Initiative parlementaire Extranet. Accès des parlementaires Rapport du Bureau du Conseil national du 8 novembre 2013

Madame la Présidente, Mesdames, Messieurs, Par le présent rapport, nous vous soumettons un projet de modification de l'ordonnance de l'Assemblée fédérale portant application de la loi sur le Parlement et relative à l'administration du Parlement, que nous transmettons simultanément au Conseil fédéral pour avis.

Le Bureau du Conseil national propose d'adopter le projet d'acte ci-joint. Une minorité (Favre, Huber, Hassler, Büchler, Lustenberger) propose de ne pas entrer en matière sur le projet.

8 novembre 2013

Pour le bureau: La présidente, Maya Graf

2013-2875

8003

Rapport 1

Genèse du projet

Depuis le 1er janvier 2008, les procès-verbaux et autres documents des commissions parlementaires sont accessibles pour consultation sur l'extranet, un réseau électronique sécurisé (cf. art. 6a et 6b de l'ordonnance sur l'administration du Parlement [OLPA], RS 171.115). Les membres de chaque conseil ont le droit d'accéder aux procès-verbaux et aux documents des commissions dont ils sont membres ainsi que des commissions homologues de l'autre conseil (art. 6a, al. 2, let. a et b, OLPA).

Le 2 juillet 2012, la Commission de l'économie et des redevances du Conseil national (CER-N) a proposé au Bureau du Conseil national de permettre à tous les députés d'accéder, sur l'extranet, aux projets d'acte, aux initiatives parlementaires, aux initiatives des cantons, aux motions traitées par le second conseil, aux pétitions et aux rapports ne concernant pas la haute surveillance. Selon la CER-N, il y a lieu de garantir l'accès aux documents lorsqu'un membre d'une commission se fait remplacer pour une séance (art. 18 du règlement du Conseil national, RS 171.13).

Le 24 août 2012, le Bureau du Conseil national s'est penché sur plusieurs points ayant trait à la garantie de la confidentialité lors de son examen de la proposition de la CER-N. Il a accepté de déposer une initiative en précisant que les visites des pages de l'extranet devaient être identifiables, de manière à pouvoir élucider tout soupçon concret d'utilisation abusive. Le Bureau du Conseil des Etats s'est rallié à cette décision en posant la même condition que celle émise par le Bureau du Conseil national. Le 8 novembre 2013, le Bureau du Conseil national est entré en matière sur le projet par 7 voix contre 5 et a approuvé, au vote sur l'ensemble, le projet à l'intention du conseil par le même nombre de voix. Une minorité (Favre, Huber, Hassler, Büchler, Lustenberger) propose de ne pas entrer en matière sur le projet, car elle estime qu'il serait plus difficile de garantir la confidentialité si les droits d'accès étaient étendus.

Le 1er avril 2012, la section Traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la loi sur l'organisation du gouvernement et de l'administration (LOGA, RS 172.010) est entrée en vigueur. En se fondant sur ces nouvelles dispositions, le Conseil fédéral a édicté l'ordonnance sur le
traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération (RS 172.010.442), qui concerne également les membres de l'Assemblée fédérale; toutefois, étant donné que toutes les règles relatives au personnel de la Confédération ne s'appliquent pas aux députés, il y a lieu de fixer les règles propres aux députés dans une autre ordonnance.

Le bureau entend donc profiter de la révision de l'OLPA, qui vise à étendre l'accès aux procès-verbaux des commissions sur l'extranet, pour définir également les procédures à suivre pour l'analyse des journaux d'accès et pour créer les bases légales ad hoc.

8004

2

Grandes lignes du projet

2.1

Accès aux procès-verbaux des commissions sur l'extranet

Actuellement, les procès-verbaux relatifs aux objets visés à l'art. 6, al. 4, OLPA sont remis sur demande aux membres des deux conseils en version imprimée. Conformément à l'art. 8 OLPA, ce droit concerne également les documents des commissions. Ainsi, les députés ont déjà accès ­ en version papier ­ aux documents auxquels le texte de l'initiative vise à étendre les droits d'accès. Le présent projet d'acte crée donc la base légale pour l'accès à la version électronique des documents concernés sur l'extranet.

Etant donné que le droit d'accéder à ces documents existe déjà, la mise en oeuvre des nouvelles dispositions sera rétroactive: cela signifie que les députés auront accès aux documents relatifs aux objets visés à l'art. 6, al. 4, OLPA qui ont été mis en ligne sur l'extranet à partir de 2007­2008. Techniquement, cette solution est non seulement la plus simple, mais également la moins onéreuse.

2.2

Analyse des journaux d'accès électroniques

2.2.1

Généralités concernant l'analyse des données secondaires

Données secondaires: les données secondaires sont des données qui découlent de l'utilisation de l'infrastructure informatique et qui fournissent des informations sur l'expéditeur, le destinataire, le moment, la durée et l'instrument de communication utilisé. En ce qui concerne l'extension des droits d'accès à l'extranet, les bureaux se sont demandé dans quelles conditions les données secondaires de l'extranet pouvaient être analysées afin de déterminer qui a accédé à quel document; la réponse à cette question se fonde sur les art. 57i ss LOGA.

LOGA: l'art. 57j, al. 1, LOGA prévoit le principe selon lequel les organes fédéraux ne sont pas autorisés à enregistrer et analyser les données personnelles liées à l'utilisation de leur infrastructure électronique, sauf si la poursuite des buts prévus aux art. 57l à 57o l'exige. Toutefois, conformément à l'art. 57i LOGA, ces dispositions ne s'appliquent que si une autre loi fédérale ­ en matière de procédure pénale ou de droit disciplinaire (cf. ch. 1.2.2), par exemple ­ ne règle pas le traitement desdites données. La LOGA détermine dans quels buts les données personnelles peuvent être enregistrées (art. 57l) et dans quels buts une analyse des données secondaires ne se rapportant pas aux personnes (art. 57m et 57n) ou se rapportant aux personnes (art. 57o) peut être effectuée.

Analyse ne se rapportant pas aux personnes: une telle analyse peut notamment être effectuée afin de sauvegarder les données, de maintenir la sécurité des informations, d'assurer la maintenance technique et de contrôler les règlements d'utilisation.

Analyse se rapportant aux personnes: le législateur a déterminé de manière exhaustive à l'art. 57o LOGA dans quels buts une analyse se rapportant aux personnes pouvait être effectuée. L'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération règle les modalités des droits d'accès aux données, de leur conservation et des conditions 8005

d'analyse. Conformément à l'art. 57q, al. 3, LOGA, cette ordonnance s'applique également aux membres de l'Assemblée fédérale et au personnel des Services du Parlement, à moins qu'une ordonnance de l'Assemblée fédérale n'en dispose autrement. Le bureau estime que l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération est directement applicable. Toutefois, en ce qui concerne l'analyse de données secondaires se rapportant aux personnes en cas d'utilisation abusive ou de soupçon d'utilisation abusive, il y a lieu de définir les procédures et les compétences relatives aux députés et aux collaborateurs des secrétariats des groupes dans le cadre de l'OLPA.

2.2.2

Relations avec le droit de la procédure pénale et le droit disciplinaire

Droit de la procédure pénale: conformément à l'art. 57i LOGA, les dispositions de la LOGA et les dispositions d'exécution concernées ne sont pas applicables lorsqu'une autre loi fédérale règle le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique. Les dispositions du code de procédure pénale (CPP; RS 312.0) ­ notamment les art. 246 ss, qui règlent la perquisition de documents et enregistrements ­ déterminent s'il est possible de soumettre à une perquisition les enregistrements audio, vidéo et d'autre nature, les supports informatiques ainsi que les installations destinées au traitement et à l'enregistrement d'informations liées à une procédure pénale.

Si, sur la base d'une dénonciation pénale, quelqu'un est soupçonné d'avoir violé le secret de fonction en utilisant ses droits d'accès à l'extranet, les autorités de poursuite pénale doivent établir les faits et mettre les preuves en sûreté. Si les soupçons ne portent pas sur une personne en particulier, elles doivent en premier lieu identifier l'auteur de la violation présumée. A cette fin, elles peuvent prendre des mesures de contrainte qui portent atteinte aux droits fondamentaux des personnes intéressées (cf. art. 196 CCP [définition des mesures de contrainte]): elles peuvent demander des renseignements afin de savoir qui a accédé à tel document à un certain moment, exiger que leur soient remis les journaux d'accès ou saisir des éléments de preuve.

Par contre, les autorités de poursuite pénale ne sont pas autorisées à chercher à savoir qui a accédé à quel document en ne se fondant que sur une vague supposition ou sur de simples rumeurs. En tel cas, l'autorité appelée à enquêter pourrait déposer une plainte pour se défendre contre les autorités de poursuite pénale qui lui demanderaient des renseignements, voire exigeraient qu'elle leur remette des documents et des journaux d'accès. Ainsi, les autorités de poursuite pénale doivent toujours avoir recours au moyen le moins intrusif pour identifier l'auteur d'une violation présumée.

Si, à la suite des investigations, le soupçon porte sur un député en particulier, les collèges présidentiels des conseils doivent donner leur autorisation au premier examen des faits ou à la mise en sûreté des preuves, conformément à l'art. 18 de la loi sur le Parlement (LParl;
RS 171.10). En outre, l'art. 17 LParl soumet à l'autorisation des commissions compétentes l'ouverture d'une poursuite pénale contre un député en raison d'une infraction en rapport direct avec ses fonctions ou ses activités parlementaires.

8006

Droit disciplinaire: le bureau de chaque conseil est autorisé à prendre des mesures disciplinaires contre un député qui enfreint les prescriptions en matière d'ordre ou de procédure (cf. art. 13 LParl). Si un soupçon concret pèse sur un député, le bureau pourrait demander que les données secondaires relatives à ce député soient analysées. Par contre, l'art. 13 LParl ne constitue pas de base légale permettant d'engager une procédure disciplinaire contre inconnu. Le bureau n'a pas la compétence de faire appel à des informateurs, d'entendre des personnes en qualité de témoins ou d'ordonner une analyse généralisée se rapportant aux personnes.

3

Commentaire par article

Actuellement, l'OLPA réglemente l'accès à l'extranet des membres des commissions et des collaborateurs compétents des Services du Parlement (à l'art. 6a) et celui des secrétariats des groupes parlementaires (à l'art. 6b). Le projet prévoit de restructurer ces articles, de sorte que l'art. 6a concerne exclusivement les membres des conseils et des commissions et que l'art. 6b s'applique aux collaborateurs des secrétariats des groupes parlementaires et des Services du Parlement.

Art. 6a, al. 2 et 2bis Conformément à l'art. 6a, al. 2, du projet, les membres des conseils ont désormais accès, sur l'extranet, aux procès-verbaux des commissions relatifs aux projets d'acte, aux initiatives parlementaires, aux initiatives des cantons, aux motions traitées par le second conseil, aux pétitions et aux rapports ne concernant pas la haute surveillance (art. 6, al. 4, OLPA). Cela permet aux députés qui prennent part à une séance de commission en qualité de suppléants d'accéder, sur l'extranet, aux dits documents.

Par contre, ils n'auront toujours pas accès aux procès-verbaux et aux documents relatifs aux affaires internes des commissions. Quant à l'al. 2bis, il correspond au droit en vigueur.

Art. 6b, titre, al. 1, phrase introductive, et al. 1bis Les droits d'accès applicables aux secrétariats des groupes parlementaires et aux collaborateurs compétents des Services du Parlement demeurent inchangés.

Titre précédant l'art. 16c

Section 8 Traitement des données personnelles liées à l'utilisation de l'infrastructure informatique Le bureau constate que l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération est en principe applicable, même si l'Assemblée fédérale doit encore clarifier certaines questions la concernant, notamment pour ce qui est des compétences. Pour cette raison, le bureau propose de compléter l'OLPA par une section 8 portant sur le traitement des données personnelles liées à l'utilisation de l'infrastructure informatique.

8007

Art. 16c

Bases légales et compétences

L'al. 1 reprend le principe de l'art. 57q, al. 3, LOGA, selon lequel l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération s'applique également aux membres de l'Assemblée fédérale; il précise que les dispositions de l'ordonnance précitée s'appliquent aussi aux collaborateurs des secrétariats des groupes parlementaires, si ces derniers utilisent l'infrastructure des Services du Parlement. Le Service Informatique et technologies nouvelles (SITN) est l'exploitant du système informatique de l'Assemblée fédérale, des Services du Parlement et des secrétariats des groupes parlementaires.

L'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération confie différentes tâches au «service désigné par le schéma directeur de l'organe fédéral concernant la protection des données». Le bureau propose de transmettre à la Délégation administrative la compétence de désigner ce service. Concrètement, il s'agira du délégué à la sécurité de l'Assemblée fédérale, qui est déjà désigné par la Délégation administrative.

Art. 16d

Analyse nominale se rapportant aux personnes en cas d'utilisation abusive ou de soupçon d'utilisation abusive

Conformément à l'art. 57o, let. a, LOGA, les données enregistrées peuvent être analysées en rapport avec des personnes et de manière nominale notamment dans le but d'élucider un soupçon concret d'utilisation abusive ou de poursuivre un cas d'utilisation abusive. L'art. 10, al. 1, de l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération précise qu'il y a abus lorsque l'utilisation de l'infrastructure électronique enfreint les prescriptions de l'organe fédéral ou de la législation par sa nature, son ampleur ou sa fréquence. Selon les dispositions précitées, une analyse se rapportant aux personnes peut être effectuée lorsqu'il existe un soupçon concret concernant une personne en particulier. Il n'est par contre pas possible de procéder à une telle analyse sans éléments concrets; un contrôle systématique général des données secondaires est donc exclu.

Selon le bureau, il est important de prévoir des règles précises applicables au mandat sur lequel repose une analyse se rapportant aux personnes et effectuée en cas d'utilisation abusive ou de soupçon d'utilisation abusive; il convient aussi de réglementer clairement l'exécution de l'analyse, car toute analyse de ce type constitue une atteinte à la sphère privée des personnes qui en font l'objet. Les règles relatives aux données secondaires visent à protéger les utilisateurs de l'infrastructure électronique d'un accès disproportionné aux données d'utilisation les concernant. En règle générale, pour les employés de la Confédération, c'est le supérieur hiérarchique qui ordonne une analyse se rapportant aux personnes. Conformément à l'art. 57o, al. 2, let. b, LOGA, cette analyse ne peut être effectuée qu'après information écrite de la personne concernée. Si la personne concernée ne consent pas à l'analyse, le chef de l'organe fédéral doit l'autoriser. En outre, il y a lieu de désigner un service qui vérifie que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante et que la personne concernée a été informée par écrit de l'existence d'un soupçon concret.

Les membres de l'Assemblée fédérale ne sont pas intégrés à une hiérarchie et ne sont soumis à aucune autorité supérieure. Pour cette raison, il est important de déterminer la personne chargée de vérifier que les conditions nécessaires à la réali8008

sation d'une analyse les concernant sont remplies. Cette question doit également être réglée pour les collaborateurs des secrétariats des groupes parlementaires. Par ailleurs, il y a lieu de désigner un service chargé d'autoriser la réalisation de l'analyse dans l'hypothèse où la personne concernée refuserait de donner son accord.

Pour l'analyse des données secondaires se rapportant aux députés et aux collaborateurs des secrétariats des groupes parlementaires et effectuée en cas d'utilisation abusive ou de soupçon d'utilisation abusive, le bureau propose d'appliquer par analogie les art. 10 ss de l'ordonnance sur le traitement des données personnelles liées à l'utilisation de l'infrastructure électronique de la Confédération, en observant la procédure suivante: 1.

Toute personne qui soupçonne un abus s'adresse au délégué à la sécurité de l'Assemblée fédérale. Ce dernier rédige un rapport en se fondant sur les informations fournies pour étayer le soupçon. S'il peut obtenir l'autorisation de la personne concernée, il charge l'exploitant du système (c'est-à-dire le SITN) de procéder à une analyse des données secondaires relatives à cette personne.

Si cette dernière ne consent pas à donner son accord, l'autorisation doit être donnée par la Délégation administrative pour ce qui est des députés et par le président du groupe concerné pour ce qui est des collaborateurs des secrétariats des groupes parlementaires.

4

2.

Avant que l'exploitant du système procède à l'analyse, le délégué de la Délégation administrative vérifie que le soupçon concret d'utilisation abusive est motivé par écrit de manière suffisante ou que l'utilisation abusive est prouvée et que la personne concernée a été informée par écrit de l'existence d'un soupçon concret.

3.

Une fois que l'analyse technique a été effectuée, l'exploitant du système (SITN) transmet le résultat au délégué à la sécurité de l'Assemblée fédérale.

Ce dernier en informe la personne concernée ainsi que la personne ou l'organe qui a déposé la demande d'analyse. Selon le résultat de l'analyse, l'ouverture d'une procédure pénale est proposée ou une procédure disciplinaire est engagée.

Conséquences financières et effet sur l'état du personnel

La publication des documents des commissions législatives sur l'extranet est largement automatisée. L'extension des droits d'accès à tous les députés implique que ce processus automatique devra être adapté. Pour les documents qui sont déjà disponibles sur l'extranet, cette extension nécessitera également certaines adaptations.

Il convient de prendre des dispositions techniques pour les analyses des données secondaires. Il s'agit de définir le processus et les instruments idoines et de garantir le savoir-faire nécessaire pour que les analyses puissent être effectuées dans les meilleurs délais.

Ces modifications entraîneront des coûts ainsi qu'une charge de travail supplémentaires.

8009

Pour la réalisation du projet, il faut tabler, d'après les estimations, sur des prestations externes représentant une vingtaine de jours de travail, pour un coût d'environ 24 000 francs (1200 fr. par jour), et sur des prestations internes représentant une quinzaine de jours de travail. Ces estimations sont calculées pour une modification du système destinée à permettre l'accès aux documents déjà publiés.

Les charges d'exploitation sont directement liées aux analyses et dépendent de leur fréquence et de leur complexité. En moyenne, une analyse devrait représenter deux jours de travail environ et durer une semaine.

Une fois que les deux conseils auront approuvé la modification des dispositions de l'OLPA, la réalisation du projet devrait prendre environ trois mois.

5

Bases légales

L'art. 47 LParl affirme le principe de la confidentialité des séances des commissions. L'accès aux procès-verbaux et aux documents des commissions ainsi que la consultation de ces documents sont réglés par voie d'ordonnance (cf. art. 6 ss.

OLPA).

8010