Le Préposé fédéral exige l’effacement des données de contrôle des titulaires de SwissPass

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié sa première recommandation de l’année 2016 en matière de protection des données et exige de l’Union des transports publics (UTP) et les Chemins de fer fédéraux (CFF) l’effacement des données de contrôle collectées auprès des passagers détenant un «SwissPass».

Fonctionnement du SwissPass
Le PFPDT a mené une procédure d’établissement des faits de laquelle il ressort que le SwissPass est muni de deux puces RFID: la puce A lisible à 3 cm et servant au contrôle de validité des titres de transports et la puce B lisible à 30 cm utilisables pour les services partenaires (abonnements de ski par exemple). La puce A contient comme seule donnée personnelle un numéro d’identification (MedienID).

Lors de la commande d’un SwissPass, le client communique notamment ses nom, prénom, adresse, date de naissance, photo, etc.. Ces informations sont enregistrées dans la base de données centrale des clients et abonnements (KUBA). S’il n’y a pas de prestations en cours, les informations clients sont automatiquement effacées 5 ans après leur dernière modification et les informations liées aux abonnements 18 mois après la dernière prestation achetée.

Les contrôleurs disposent d’un appareil qui contient une copie locale de la base de données. Lors de la lecture du SwissPass, le MedienID va rechercher une concordance dans la base de données et cas échéant afficher les informations sur le client (identité, validité de l’abonnement, etc.). Les données de contrôle (heure, numéro du train et le numéro de la carte SwissPass) sont ensuite conservées pendant 90 jours.

Enregistrement illégal des données de contrôle
Le PFPDT a retenu dans sa Recommandation du 4 janvier 2016 que les traitements réalisés sur les données collectées durant les contrôles ne sont pas proportionnels et ne reposent pas sur une base légale suffisante. Il demande donc l’effacement immédiat des données de contrôle et l’abandon de la banque de données de contrôle. Dans le cas où la Recommandation n’est pas suivie, le PFPDT pourra saisir le Tribunal administratif fédéral (TAF).

Les entreprises de transport agissent en tant qu’organe fédéral et doivent donc disposer d’une base légale matérielle (ordonnance fédérale par exemple). S’agissant du traitement de données sensibles, une base légale formelle (loi fédérale par exemple) est requise. Il n’y en a pourtant actuellement aucune qui permettrait de collecter et conserver les données de contrôle des titres de transports valables.

Le traitement n’est pas non plus proportionné, car il ne repose sur aucun but légitime. Les CFF ont de plus renoncé à un traitement des données à but marketing ou d’analyse.

Et encore trois suggestions
Dans son Rapport final, le PFPDT formule également quelques propositions d’amélioration. Il invite premièrement les UTP et les CFF à clarifier qui est le maître du fichier et faire en sorte que cela ressorte de manière claire pour les clients. Deuxièmement, la formulation des conditions générales applicables doit être améliorée afin que les clients soient clairement et convenablement informés sur l’utilisation de leurs données à des fins de marketing et sur leur droit de s’opposer à cette utilisation (opt-out). Troisièmement, la documentation interne des UTB et des CFF doit être adaptée pour exclure l’option initialement envisagée d’analyse des données pseudonymisées qui a depuis lors été abandonnée.

Un domaine ou un site web ne peut pas être séquestré

Dans un arrêt non publié (1B_294/2014), le Tribunal fédéral a refusé le séquestre d’un domaine Internet. Pour le tribunal cantonal valaisan, le blocage était comparable à une destruction au sens de l’art. 69 al. 2 CP, comme le pensaient plusieurs autres tribunaux cantonaux.

Pour le Tribunal fédéral, le blocage ne constitue pas une destruction d’un objet dangereux comme le permet l’art. 69 al. 2 CP, mais c’est la cessation immédiate d’un comportement (à savoir la publication d’opinions sur un site web). De plus, la destruction au sens de l’art. 69 al. 2 CP est une sanction pénale qui ne peut être ordonnée que par un juge de première instance dans un jugement pénal (art. 69 al. 2 CP) et non au stade de l’instruction.

Pas de confiscation d’un site web
La mesure étant disproportionnée, le Tribunal fédéral renvoie la cause sans trancher la question essentielle de savoir si des pages web peuvent être considérés comme des objets dangereux ou des instruments délictuels pouvant faire l’objet d’une confiscation sur la base de l’art. 69 al. 1 CP.

Le Tribunal fédéral exclut néanmoins implicitement la confiscation d’un site web ou de son accès, dès lors qu’il considère que le blocage correspond à la cessation d’un comportement.

A la demande de la revue juridique Medialex, j’ai commenté cette décision avec Nicolas Guyot dans l’édition 7/8 2015.

Sylvain Métille a rejoint HDC en tant qu’associé

HDC_SylvainMetille

Pour plus d’informations:  www.hdclegal.ch

5 ans déjà

Il y a cinq ans, j’ai commencé à écrire quelques billets pour ce blog. Il y en a maintenant plus de 180 qui ont été publiés, et malgré plusieurs changements professionnels, j’essaie de continuer à vous fournir régulièrement un contenu que j’espère de qualité.

Le blog est aussi disponible à l’adresse blog.sylvainmetille.ch.

Avec le temps, le design du site était devenu désuet et inadapté aux tablettes et téléphones portables. Une petite mise à jour s’est donc imposée.

L’ancien design du site:

L'ancienne version

Paiements par carte de crédit et en espèce

A la fin de l’année 2014, la Commission de la concurrence (COMCO) signé un accord amiable avec les entreprises qui émettent les cartes de crédits (Issuers ou émetteurs) et celles qui concluent des contrats avec les commerçants pour qu’ils acceptent les cartes de crédits (Acquirers) dont l’objet premier était de faire baisser le taux des commissions d’interchange (soit la commission payée à l’émetteur par l’acquirer, en partie supportée par le commerçant). Ce taux a été abaissé de 0.95% à 0.7% le 1er août dernier et une seconde baisse à 0.44% aura lieu le 1er août 2017.

Mêmes coûts pour les paiements en espace et par carte
L’accord amiable a aussi prévu la levée de l’interdiction de non-discrimination qui avait été introduite en 2005. Les acquirers peuvent à nouveau prévoir, dans leurs contrats avec les commerçants, une clause qui interdit aux commerçants de différencier leurs prix en fonction du moyen de paiement utilisé. Cela se justifie car la commission d’interchange a été fixée à un niveau tel que le commerçant est indifférent au moyen de paiement choisi (carte de crédit ou numéraire). Il supporte en effet les mêmes coûts dans les deux cas et n’a pas d’incitation à encourager le client à payer en espèces ou par carte.

Ce n’est pas une obligation, mais une possibilité laissée à l’acquirer de contraindre le commerçant à appliquer les mêmes prix que le paiement ait lieu par carte de crédit ou en espèce. Ceci correspond à la solution prévue par la régulation dans l’Union Européenne, où il est interdit de demander un supplément en cas de paiement par carte de crédit si une carte de crédit avec une commission d’interchange régulée est utilisée (surcharging).

Pour aller plus loin
La Documentation pour la conférence de presse concernant le cas des commissions domestiques d’interchange pour les cartes de crédit II (KKDMIF II) contient plusieurs shémas sur le fonctionnement des commissions d’interchange.

Publications: quel statut juridique pour les robots?

Des robots commencent à évoluer dans notre environnement, mais le cadre juridique actuel n’est pas très adapté. Pour éviter de faire face prochainement à des situations insatisfaisantes, notamment en termes de responsabilités, une prise de conscience et des aménagements légaux sont nécessaires. Cela pourrait passer par une reconnaissance du robot comme sujet de droits et obligations.

Je propose quelques pistes de réflexions dans l’article «Le moment est venu de reconnaître un statut juridique aux robots» co-écrit avec Nicolas Guyot et publié dans la revue Plaidoyer 03/2015.

Que fait-on de nos données?

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.