6 July 1998
Date: Mon, 06 Jul 1998 12:41:35 +0200 To: jya@pipeline.com From: Visiteur du cybercafé <visiteur@ii-mel.com>@demon.ii-mel.com News and Links PRESS RELEASE July 6 from http://www.edsb.ch concerning SWISSCOM MOBILE TRACE: 6 juillet 1998 Rapport du PFPD concernant le traitement de données personnelles par Swisscom SA dans le domaine de la téléphonie mobile (Réseau Natel) Résumé Le 28 décembre 1997, la «Sonntagszeitung» a publié un article relatif au traitement de données par Swisscom SA dans le domaine de la téléphonie mobile (réseau «Natel»). En particulier, l’article relevait que: Swisscom SA enregistrait sans base légale les données de déplacement des utilisateurs d’un téléphone mobile; les services de protection de l’Etat et la police avait également accès à ces données et que la localisation de l’utilisateur d’un téléphone mobile était également enregistrée même en l’absence de communication téléphonique dans la mesure où l’appareil était enclenché. Il était ainsi possible d’établir en tout temps un profil exact des déplacements de chaque utilisateur. Suite à cet article et aux réactions qu’il a suscitées, le Préposé fédéral à la protection des données a ouvert une enquête en application des articles 27 et 29 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD, RS 235.1). L’objet de l’enquête a consisté à vérifier si les allégations de la «Sonntagszeitung» étaient exactes. L’enquête ne s’est pas limitée à l’examen de la banque de données de Swisscom SA et aux traitements de données qui en résultent. Elle a également touché à d’autres aspects de protection des données dans le cadre de la téléphonie mobile. Ainsi, nous avons examiné la collecte des données lors de l’utilisation d’un téléphone mobile, et notamment la pertinence des données collectées et leur durée de conservation, les finalités pour lesquelles ces données sont traitées et utilisées, les autorités ayant accès aux données et selon quelle procédure, le droit d’accès des personnes concernées, la question de «l’identification des abonnés» par rapport au produit «Natel easy», ainsi que la procédure d’annonce des fichiers auprès du Préposé fédéral à la protection des données. Nous avons constaté que Swisscom SA peut localiser un téléphone mobile simplement enclenché avec une précision allant jusqu’à la zone de localisation [le réseau «Natel» se compose actuellement d’une trentaine de zones de localisation (Location Area)] et non pas jusqu’à la cellule [à l’heure actuelle, le réseau «Natel» compte environ 2500 cellules] comme indiqué dans l’article de la «Sonntagszeitung». En ce qui concerne la collecte et le traitement de données personnelles dans le cadre de mesures de surveillance des télécommunications, nos investigations ont révélé des zones d’ombre. Nous estimons nécessaire de poursuivre nos éclaircissements dans ce secteur en collaboration avec les autorités cantonales de protection des données. Dans le cadre de notre enquête, nous avons examiné des documents écrits, procédé à des auditions et visité les installations du Centre Swisscom Mobile d’Ostermundigen et du Centre régional de Berne du Service des tâches spéciales (Département fédéral de l’environnement, des transports, de l’énergie et de la communication). Si dans l’ensemble les organes et personnes impliqués dans notre enquête ont collaboré à l’établissement des faits, nous nous sommes néanmoins malheureusement heurtés à certaines résistances notamment en relation avec nos compétences d’investigation et l’étendue de notre enquête. En outre, nous avons noté des propos contradictoires dans certaines réponses qui nous ont été données. Aux termes de notre enquête, nous parvenons aux conclusions suivantes: I. Données personnelles traitées par Swisscom SA Sur la base des informations obtenues de Swisscom SA (renseignements écrits et visite du centre Swisscom Mobile d’Ostermundigen), nous constatons que les traitements de données personnelles effectués par Swisscom SA sont conformes à la LPD, avec une réserve concernant la durée de conservation des données. II. Conservation des données Le temps nécessaire au traitement des données afin d’établir, d’une part, la communication (durée très courte) et, d’autre part, obtenir le paiement dû pour les prestations fournies (en règle générale pas plus de trois mois) est dans tous les cas inférieur à six mois. La durée de conservation ne peut donc pas être supérieure au délai de six mois fixé par l’article 50, 1er alinéa de l’ordonnance du 6 octobre 1997 sur les services de télécommunications (OST; RS 784.101.1). Swisscom SA ne doit ainsi pas conserver les données susmentionnées au-delà de six mois. III. Surveillance des télécommunications Dans les limites de ses compétences et en collaboration avec les autorités cantonales de protection des données, le Préposé fédéral à la protection des données poursuivra ses investigations dans le domaine de la surveillance des télécommunications. IV. Droit d’accès L’article 45 de la loi fédérale du 30 avril 1997 sur les télécommunications (LTC; RS 784.10) ne règle que la communication aux usagers des données utilisées pour la facturation des prestations et ne restreint pas le droit d’accès régi par l’article 8 LPD. La délégation de compétence au Conseil fédéral prévue par l’article 46 LTC ne restreint pas non plus l’application de la LPD. Formellement, une restriction du droit d’accès doit être prévue dans une loi au sens formel (article 9, 1er alinéa, lettre a LPD). Du point de vue matériel, les articles 45 LTC et 50 OST ne restreignent pas le droit d’accès. En effet, ces dispositions ne limitent pas la communication aux personnes concernées des seules données énumérées. A l’heure actuelle, aucun motif ne justifie l’introduction d’une telle restriction dans une loi au sens formel. V. «Natel easy» L’article 49 OST ne constitue pas une base légale suffisante pour enregistrer les acquéreurs de «Natel easy». L’enregistrement des acquéreurs de «Natel easy» n’est ni nécessaire ni apte pour lutter contre le crime organisé. L’identification d’une personne ne signifie pas l’enregistrement de cette personne dans un fichier. VI. Annonce de fichiers auprès du Préposé fédéral à la protection des données (délai au 30 septembre 1998) L’Office fédéral de la communication et Billag SA doivent annoncer tous leurs fichiers (article 11, 2ème alinéa LPD). Swisscom SA doit annoncer tous ses fichiers relatifs au personnel soumis au droit public et tous ses fichiers relatifs au service universel (article 11, 2ème alinéa LPD). Quant aux autres fichiers contenant des données sensibles ou des profils de la personnalité, ou dont les données sont communiquées à des tiers, Swisscom SA doit les annoncer si le traitement de ces données n’est soumis à aucune obligation légale ou si les personnes concernées n’en ont pas connaissance (article 11, 3ème alinéa LPD). VII. Collaboration avec le Préposé fédéral à la protection des données Dans le cadre d’une procédure de corapport, les départements impliqués doivent informer le Préposé fédéral à la protection des données afin qu’il puisse faire valoir son point de vue. Les personnes entendues par le Préposé fédéral à la protection des données sont tenues de collaborer à l’établissement des faits conformément aux articles 27 et 29 LPD. Il est regrettable que les Secrétaires généraux du Département fédéral de justice et police et du Département fédéral de l’environnement, des transports, de l’énergie et de la communication n’aient pas collaboré à l’établissement des faits comme le prévoit l’article 27, 3ème alinéa, LPD.