Présentation du Rapport d'activité 2017 de l'Autorité cantonale de la transparence et de la protection des données

15 Mai 2018 - 10H00

L'Autorité cantonale de la transparence et de la protection des données (ATPrD) a présenté aujourd'hui son Rapport d'activité 2017. Dans le cadre de la transparence, un des points forts de l'année écoulée était l'adaptation de l'Ordonnance sur l'accès aux documents (OAD) à la Convention d'Aarhus. Dans le cadre de la protection des données, l'Autorité s'est occupée des problématiques diverses en vue de la digitalisation de l'administration cantonale, telles que l'externalisation des services informatiques à des prestataires externes ou dans les Clouds.

Transparence
Désormais, toute la législation fribourgeoise dans le domaine de la transparence est conforme à la Convention du 25 juin 1988 sur l'accès à l'information, la participation et l'accès à la justice en matière d'environnement (Convention d'Aarhus). Cette Convention, entrée en vigueur pour la Suisse le 1er juin 2014, octroie au public un droit d'accès aux documents environnementaux allant sur certains points un peu plus loin que celui qui était prévu de manière générale par la Loi sur l'information et l'accès aux documents (LInf).

L'introduction dans la loi du principe de l'interprétation conforme à la Convention d'Aarhus a permis de faire l'économie de plusieurs modifications de détail dans l'OAD. Certaines adaptations restaient toutefois nécessaires, d'abord parce que les modifications apportées par le législateur n'étaient pas limitées au seul domaine de l'environnement, mais aussi en raison des changements d'ordre procédural qui devaient être précisés au niveau de l'Ordonnance. De plus, quelques ajustements de l'Ordonnance tiennent compte de la pratique des six premières années d'application de la législation sur l'accès aux documents.

Dans le domaine de la médiation, onze demandes ont été adressées en 2017 à la Préposée à la transparence. Sept cas ont débouché sur un accord de médiation, et la Préposée a émis une recommandation dans un cas. Le nombre de demandes d'accès déposées l'année passée auprès des organes publics s'est élevé selon les chiffres communiqués à l'Autorité à 48. Dans 37 cas, les organes publics ont accordé un accès complet ou restreint. 

Comme au niveau fédéral, l'Autorité cantonale part de l'idée qu'en réalité le nombre de demandes d'accès est nettement plus haut, mais que les demandes d'accès adressées aux organes publics ne sont pas toujours reconnues comme telles et, en conséquence, ni traitées sous l'aspect de la LInf ni annoncées dans le cadre de l'évaluation. Une sensibilisation constante des organes publics semble dès lors très importante. 

Protection des données
Dans le domaine de la protection des données, la charge de travail pour l'année 2017 était de nouveau élevée. Parmi les 323 nouveaux dossiers, 300 concernaient la protection des données, 6 concernaient les demandes d'accès à la plateforme du contrôle des habitants (Fri-Pers) et 17 les demandes d'autorisation d'installation de systèmes de vidéosurveillance. La majorité des demandes ont été déposées par les services de l'administration cantonale et les communes, mais aussi par des institutions privées accomplissant des tâches de droit public. Les demandes d'autorisation d'installation de systèmes de vidéosurveillance ont été déposées en grande partie par des particuliers. Malgré le fait que le nombre de dossier est resté dans des proportions égales à celui de l'année dernière, ceux-ci ont augmenté en complexité.

La digitalisation de l'administration cantonale, qui constitue un point fort du programme gouvernemental 2017-2021, engendre des projets considérables. Ceux-ci présentent de nouveaux défis en matière de protection des données et de sécurité informatique. Plusieurs domaines sont concernés, par exemple la cyberadministration, l'introduction du dossier électronique du patient ou les banques de données de l'administration scolaire. L'Autorité salue le fait d'être associée à temps aux différents projets.

L'interfaçage de banques de données sans base légale suffisante constitue un point particulièrement critique. L'Autorité est régulièrement confrontée à des demandes dans ce domaine, par exemple dans le cadre de demandes d'accès à la plateforme informatique Fri-Pers. Dans ce contexte, l'Autorité a déjà plusieurs fois attiré l'attention sur les risques en lien avec l'utilisation généralisée du numéro AVS comme identificateur personnel universel.

Durant l'année dernière, l'Autorité a également focalisé son attention sur l'externalisation croissante des prestations informatiques. L'implication de prestataires informatiques externes, la sauvegarde de données des citoyens dans le Cloud ou des droits d'accès élargis accordés aux mandataires externes présentent des risques particuliers. Au cours de l'année 2017, l'Autorité a élaboré une fiche informative en matière d'externalisation,  en particulier concernant l'externalisation de données dans le Cloud.

L'entrée en vigueur de la réforme européenne du droit de la protection des données et la révision de la Loi fédérale sur la protection des données à venir exigent une mise à jour de la loi cantonale. Les travaux préparatoires à cet effet ont été entrepris au cours de l'année 2017 et vont continuer tout au long de l'année 2018.

Information active
L'Autorité a également suivi une politique d'information active, notamment par le biais de sa page Internet et de publications dans sa Newsletter. Le Guide pratique à l'attention des communes en matière de protection des données et de transparence a été mis à jour fin 2017.