- Avant d’être transmises à l’étranger, les données à caractère personnel sont protégées par cryptage, authentification, mesures organisationnelles et anonymisation partielle.
- Les transferts de données à l’étranger ne sont effectués que dans des États offrant une protection adéquate des données ou dans le cadre de contrats garantissant une protection comparable.
- En cas de perte de données à l’étranger, seules les informations transmises sont concernées : Numéros de téléphone, noms, adresses, données de facturation et d’utilisation.
- Les données pourraient être combinées avec des informations tierces (cartes de crédit, e‑mail, utilisation d’Internet) ; les clients devraient choisir des fournisseurs offrant un niveau élevé de protection des données.
Interpellation Grin (09.4022) : Risques pour la sécurité des données téléphoniques traitées à l’étranger
Fait (19.03.2010)
Texte soumis
Étant donné que certains risques émanent du Pakistan, je pose les questions suivantes au Conseil fédéral :
1. les informations sont-elles cryptées avant d’être envoyées dans des pays tiers, de sorte qu’il est impossible d’établir un lien entre les personnes et les données ?
2. la protection des données est-elle garantie par les opérateurs téléphoniques ? Si oui, comment ?
3. si des personnes non autorisées pouvaient avoir accès aux données CRM : Quelles informations pourraient-elles en tirer ?
Justification
Les opérateurs téléphoniques font traiter leurs données CRM (Customer Relationship Management) à l’étranger. Par CRM, on entend “un processus de traitement de toutes les données qui servent à identifier les clients, à créer des bases de données d’informations sur la clientèle, à développer les relations avec les clients et à améliorer l’image de l’entreprise et des produits auprès de la clientèle”. Les données CRM sont utilisées pour définir les besoins des clients et leur proposer des offres sur mesure. Swisscom, par exemple, fait traiter ses données au Pakistan.
<
h1>Prise de position du Conseil fédéral
<
h1>
La présente interpellation a pour objet le traitement des “données téléphoniques” en général. Dans le développement, il est toutefois fait mention de Swisscom qui fait traiter ses données CRM au Pakistan. Interrogée à ce sujet, Swisscom rétorque qu’elle ne traite pas de données CRM au Pakistan. Seuls les travaux de maintenance d’une application spécifique sont encore effectués au Pakistan, mais ces travaux seront probablement repris exclusivement par Swisscom dans le courant de l’année.
Les réponses suivantes aux questions de l’interpellation se basent sur les informations fournies par les quatre plus grandes entreprises de télécommunication en Suisse, qui desservent ensemble jusqu’à 97% des clients suisses, selon le secteur. Il en ressort que ces entreprises se comportent conformément à la loi. Le Conseil fédéral ne dispose d’aucun élément lui permettant de conclure que d’autres fournisseurs de services de télécommunication ne respectent pas également les dispositions applicables en matière de protection des données.
1. avant de transmettre des données personnelles à l’étranger, des mesures organisationnelles et techniques sont prises pour garantir le respect de la loi du 19 juin 1992 sur la protection des données (LPD ; RS 235.1). En particulier, les données sont cryptées et authentifiées afin de garantir la sécurité de la transmission des données. Selon l’application, le contenu des données est également anonymisé. L’anonymisation n’est toutefois pas toujours possible, par exemple lorsque le nom et l’adresse sont nécessaires au traitement. Par ailleurs, des contrats de protection des données sont conclus et des mesures organisationnelles sont prises, comme par exemple la limitation de l’accès aux données et des contrôles réguliers.
2) Pour la communication de données personnelles à des destinataires à l’étranger, les maîtres de fichiers, donc aussi les fournisseurs de services de télécommunication, doivent notamment respecter l’article 6 LPD. Selon cet article, la communication de données à l’étranger n’est autorisée que si la législation sur la protection des données y garantit une protection appropriée. Le Préposé fédéral à la protection des données et à la transparence (Edöb) tient une liste publique des Etats qui garantissent cette protection.
En revanche, la communication de données personnelles à des destinataires situés dans des États ne disposant pas d’une protection adéquate n’est autorisée que dans certains cas. Ainsi, la communication est autorisée lorsqu’un contrat avec le destinataire des données à l’étranger garantit une protection adéquate. La communication est également autorisée lorsqu’elle a lieu entre des sociétés soumises à une direction unique et que les personnes concernées sont soumises à des règles de protection des données qui garantissent une protection adéquate.
Les données relatives au trafic et à la facturation ne sont envoyées que vers des pays qui, selon la liste d’Edöb, garantissent une protection adéquate des données ou vers des entreprises étrangères avec lesquelles des contrats garantissent la protection des données. Toutefois, si les clients téléphonent dans des pays non sécurisés, il est évident que des données de trafic y sont également générées.
3. si des personnes non autorisées devaient avoir accès à des données personnelles à l’étranger, elles ne pourraient pas en tirer plus d’informations que celles qui ont été transmises de la Suisse à l’étranger. Selon l’ordre de traitement, les données suivantes peuvent en faire partie : Numéros de téléphone, noms, adresses, données de facturation, comportement en matière de téléphonie, informations sur les services utilisés via Internet. Il n’est toutefois pas exclu que les données susmentionnées provenant de services de télécommunication soient combinées avec des données provenant d’autres entreprises de services, par exemple des transactions par carte de crédit, des services Internet de recherche d’informations, des e‑mails ou des services de chat. Pour toutes les données sensibles, les clients devraient donc choisir un fournisseur de services offrant une protection des données aussi élevée que possible.