{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153046,Language='FR')/Transcripts"}},"ID":20153046,"Language":"FR","BusinessShortNumber":"15.3046","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Vol et perte de donn\u00e9es de clients ou de collaborateurs, notamment de num\u00e9ros AVS ou de donn\u00e9es bancaires. La loi est-elle suffisante?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>1. Les entreprises et collectivit\u00e9s publiques ou parapubliques qui traitent des donn\u00e9es personnelles ont-elles l'obligation d'informer les personnes dont elles traitent les donn\u00e9es en cas de vol ou de perte de donn\u00e9es, notamment sensibles\u00a0? Si non, le Conseil f\u00e9d\u00e9ral envisage-t-il d'inscrire une telle obligation dans la LPD ou une autre l\u00e9gislation\u00a0?</p><p>2. Quelles obligations ces entreprises et collectivit\u00e9s ont-elles envers les personnes dont les donn\u00e9es ont \u00e9t\u00e9 vol\u00e9es ou perdues\u00a0? Doivent-elles notamment tout mettre en oeuvre pour \u00e9viter l'usurpation d'identit\u00e9\u00a0? Doivent-elles prendre en charge tous les frais qui d\u00e9coulent du vol ou de la perte (notamment les d\u00e9marches administratives pour obtenir de nouvelles donn\u00e9es)?</p><p>3. Le droit du travail (priv\u00e9 et public) est-il en particulier suffisant pour prot\u00e9ger les travailleurs dont l'employeur se fait voler ou perd les donn\u00e9es que la loi l'autorise \u00e0 traiter\u00a0?</p><p>4. Quelles mesures existe-t-il en cas de vols de num\u00e9ros AVS, notamment en vue de pr\u00e9venir l'usurpation d'identit\u00e9 ou l'abus de prestations\u00a0?</p><p>5. L'AVS a-t-elle l'obligation de fournir un nouveau num\u00e9ro AVS en cas de vol de donn\u00e9es (en particulier en cas de risque d'usurpation d'identit\u00e9)? Si non, pourquoi\u00a0? Le Conseil f\u00e9d\u00e9ral compte-t-il combler cette lacune\u00a0?</p><p>6. La l\u00e9gislation en vigueur est-elle suffisante en cas de vol ou de perte de donn\u00e9es bancaires, notamment en vue de pr\u00e9venir l'usurpation d'identit\u00e9\u00a0?</p><p>7. La s\u00e9curit\u00e9 des syst\u00e8mes informatiques des banques, que cela soit au niveau des sites Internet, des sites de e-banking ou du syst\u00e8me coeur, est-elle assur\u00e9e\u00a0? Par qui sont-ils v\u00e9rifi\u00e9s et contr\u00f4l\u00e9s\u00a0? Peut-il y avoir une sanction en cas de d\u00e9faut de s\u00e9curit\u00e9 informatique d'une banque\u00a0?</p><p>8. Le Conseil f\u00e9d\u00e9ral est-il pr\u00eat \u00e0 \u00e9tudier ces probl\u00e8mes en d\u00e9tails dans le cadre de sa r\u00e9ponse \u00e0 la motion 14.3288\u00a0?</p>","ReasonText":"<p>Les r\u00e9centes attaques informatiques contre la BCGE, Sony, Linkedin, J. P. Morgan Chase ou Home Depot ont montr\u00e9 que des pirates pouvaient d\u00e9rober un grand nombre de donn\u00e9es de clients ou de collaborateurs, parmi lesquelles des donn\u00e9es \u00e9minemment sensibles comme des num\u00e9ros de s\u00e9curit\u00e9 sociale ou de compte bancaire. Il est malheureusement \u00e0 craindre que ces attaques se multiplient et s'aggravent. Parmi les d\u00e9sagr\u00e9ments que subissent les victimes, il y a notamment le risque accru d'usurpation d'identit\u00e9.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. La loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD\u00a0; RS 235.1) ne pr\u00e9voit pas une obligation pour les ma\u00eetres de fichiers d'informer la personne concern\u00e9e en cas de violation de ses donn\u00e9es personnelles. Une partie de la doctrine consid\u00e8re n\u00e9anmoins qu'une telle obligation d\u00e9coule des principes g\u00e9n\u00e9raux de s\u00e9curit\u00e9 (art. 7 LPD) et de la bonne foi (art. 4 al. 2 LPD).</p><p>Aujourd'hui, le droit de la protection des donn\u00e9es fait l'objet d'un remaniement tant au sein du Conseil de l'Europe que de l'Union europ\u00e9enne. Ces r\u00e9formes pr\u00e9voient une obligation d'informer l'autorit\u00e9 de contr\u00f4le et/ou la personne concern\u00e9e. Le 1er avril 2015, le Conseil f\u00e9d\u00e9ral a charg\u00e9 le D\u00e9partement f\u00e9d\u00e9ral de justice et police (Office f\u00e9d\u00e9ral de la justice) de pr\u00e9parer un avant-projet de r\u00e9vision de la LPD en tenant compte des d\u00e9veloppements europ\u00e9ens. L'introduction d'une obligation de notifier la violation de donn\u00e9es personnelles sera examin\u00e9e dans le cadre de ces travaux.</p><p>2. Si la perte ou le vol de donn\u00e9es d\u00e9coulent d'une violation de l'article 7 LPD, les rem\u00e8des de la protection de la personnalit\u00e9 pourront \u00eatre mis en oeuvre contre cette violation et ses cons\u00e9quences (art. 15 LPD, en relation avec l'art. 28a CC pour les personnes priv\u00e9es, l'art. 25 LPD pour les organes f\u00e9d\u00e9raux). Les obligations pr\u00e9vues aux articles 7 LPD et 8 alin\u00e9a 1 lettres d et e OLPD (RS 235.11) impliquent de prendre des mesures aux fins d'emp\u00eacher une utilisation abusive des donn\u00e9es. Les entreprises et les collectivit\u00e9s concern\u00e9es ont aussi tout int\u00e9r\u00eat \u00e0 limiter le dommage que peuvent subir les victimes et qu'elles pourraient \u00eatre tenues de r\u00e9parer. Les frais d\u00e9coulant de la perte ou du vol des donn\u00e9es pourront entrer dans le dommage \u00e0 r\u00e9parer par l'entreprise ou la collectivit\u00e9.</p><p>3. L'article 328b CO concr\u00e9tise l'obligation de prot\u00e9ger la personnalit\u00e9 du travailleur en mati\u00e8re de protection des donn\u00e9es. Les obligations de s\u00e9curit\u00e9 en vertu de la LPD s'imposent donc \u00e9galement \u00e0 l'employeur. En cas de perte ou de vol de donn\u00e9es le concernant, le travailleur peut demander la cessation de l'atteinte et la r\u00e9paration du dommage subi.</p><p>En ce qui concerne le personnel de la Conf\u00e9d\u00e9ration, la protection de la personnalit\u00e9 de l'employ\u00e9 est assur\u00e9e par l'art.\u00a04, al.\u00a02, let.\u00a0g, de la loi sur le personnel de la Conf\u00e9d\u00e9ration (Lpers\u00a0; RS 172.220.1) qui d\u00e9rive de l'article 328 CO. La responsabilit\u00e9 de l'employeur en cas de dommage caus\u00e9 \u00e0 son employ\u00e9, est r\u00e9gie par la loi sur la responsabilit\u00e9 (LRCF\u00a0; RS 170.32).</p><p>Le Conseil f\u00e9d\u00e9ral est d'avis que ces r\u00e9glementations sont suffisantes. Les d\u00e9veloppements du droit de la protection des donn\u00e9es d\u00e9crits au chiffre 1 s'appliqueront en outre pleinement \u00e0 la relation de travail tant dans le secteur priv\u00e9 que public.</p><p>4. Le NAVS13 (num\u00e9ro AVS \u00e0 13 chiffres) est un attribut d'identification \u00e0 caract\u00e8re public au m\u00eame titre que le nom de famille, le pr\u00e9nom et la date de naissance par exemple. Depuis 2008, il ne permet plus de d\u00e9duire l'\u00e2ge, la nationalit\u00e9 ou le sexe d'une personne. Le NAVS13 ne constitue pas un document officiel d'identit\u00e9 et ne permet pas de produire une preuve recevable et formelle d'identit\u00e9. En effet, le NAVS13 n'est qu'un attribut d'identification administratif mis \u00e0 disposition des collectivit\u00e9s pour \u00eatre employ\u00e9 en sus des attributs d'identification d\u00e9mographiques usuels (nom, pr\u00e9nom, etc.) \u00e0 des fins administratives uniquement. Il ne dispense en rien les utilisateurs syst\u00e9matiques de cet identificateur d'un devoir l\u00e9gal de s'assurer de l'identit\u00e9 d'une personne par la pr\u00e9sentation d'une pi\u00e8ce d'identit\u00e9 officielle. Par ailleurs, le NAVS13 ne donne aucunement acc\u00e8s \u00e0 une quelconque prestation des assurances sociales sur simple pr\u00e9sentation. Aucune mesure administrative particuli\u00e8re n'est par cons\u00e9quent pr\u00e9vue en cas de vols de num\u00e9ro AVS.</p><p>5. Puisque le vol d'un NAVS13 n'entra\u00eene pas de risque suppl\u00e9mentaire d'usurpation d'identit\u00e9 qui r\u00e9sulterait d'un usage abusif de l'identificateur par un tiers, la Centrale de compensation, qui dispose de l'exclusivit\u00e9 en mati\u00e8re d'attribution du NAVS13, n'a pas d'obligation de changer le num\u00e9ro d'une personne assur\u00e9e en cas de vol de donn\u00e9es, m\u00eame si une utilisation ill\u00e9gale de cet identificateur constitue un d\u00e9lit au sens de l'article 87 LAVS (RS 831.10). Par ailleurs, aucun vol probl\u00e9matique de NAVS n'est connu \u00e0 ce jour. Il n'existe pas de lacune.</p><p>6. Les banques sont \u00e9galement tenues de respecter les principes g\u00e9n\u00e9raux de s\u00e9curit\u00e9 de la LPD (voir ci-dessus ch. 1 et 2). Lors de la r\u00e9vision partielle de la circulaire de la FINMA 2008/21 \"Risques op\u00e9rationnels - banques\", les exigences relatives aux risques op\u00e9rationnels et au traitement des donn\u00e9es \u00e9lectroniques de clients ont \u00e9t\u00e9 renforc\u00e9es. Les exigences concernant notamment les donn\u00e9es d'identification du client pr\u00e9voient que les banques sont tenues de mettre en oeuvre certaines mesures afin de pr\u00e9venir les risques de vol ou de perte des donn\u00e9es des clients (annexe 3 de la circulaire). Le Conseil f\u00e9d\u00e9ral est de l'avis que cette r\u00e9glementation est suffisante.</p><p>7. La circulaire de la FINMA 2008/21 prescrit que la direction op\u00e9rationnelle de la banque doit se doter d'une infrastructure technologique ad\u00e9quate afin notamment d'att\u00e9nuer les risques op\u00e9rationnels. Elle doit en outre garantir la s\u00e9curit\u00e9 et l'int\u00e9grit\u00e9 des donn\u00e9es d'identification des clients (annexe 3). En r\u00e8gle g\u00e9n\u00e9rale, une soci\u00e9t\u00e9 d'audit est charg\u00e9e de contr\u00f4ler la mise en oeuvre de cette circulaire. La FINMA a \u00e9galement la possibilit\u00e9 de proc\u00e9der \u00e0 un contr\u00f4le sur place. Lors de cas de violation graves tels que la perte de donn\u00e9es de clients, la FINMA peut prononcer certaines mesures \u00e0 l'encontre de la banque conform\u00e9ment \u00e0 la loi sur la surveillance des march\u00e9s (RS 956.1). La banque peut \u00e9galement \u00eatre poursuivie pour violation du secret bancaire au sens de l'art.\u00a047, al.\u00a02, la loi f\u00e9d\u00e9rale sur les banques (RS 952.0).</p><p>8. Suite \u00e0 l'adoption de la motion Comte 14.3288, le Conseil f\u00e9d\u00e9ral est charg\u00e9 de pr\u00e9senter une modification du droit p\u00e9nal faisant de l'usurpation d'identit\u00e9 une infraction p\u00e9nale \u00e0 part enti\u00e8re. Dans le cadre de l'\u00e9laboration de la modification l\u00e9gislative demand\u00e9e, le Conseil f\u00e9d\u00e9ral analysera la probl\u00e9matique de l'usurpation d'identit\u00e9 sous l'angle p\u00e9nal. Si, lors de cet examen, de nouvelles lacunes devaient appara\u00eetre, il n'exclut pas de proposer des mesures suppl\u00e9mentaires.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1430265600000)\/","SubmittedBy":"Schwaab Jean Christophe","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1434672000000)\/","ResponsibleDepartment":5,"ResponsibleDepartmentName":"D\u00e9partement de justice et police","ResponsibleDepartmentAbbreviation":"DFJP","IsLeadingDepartment":true,"Tags":"15|34|44|1236","Category":null,"Modified":"\/Date(1690524072253)\/","SubmissionDate":"\/Date(1425427200000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":4917,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"\u00c9conomie|M\u00e9dias et communication|Emploi et travail|Droits de l'homme"}}