{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20181021,Language='FR')/Transcripts"}},"ID":20181021,"Language":"FR","BusinessShortNumber":"18.1021","BusinessType":18,"BusinessTypeName":"Question","BusinessTypeAbbreviation":"Q","Title":"Pourquoi le Conseil f\u00e9d\u00e9ral ne se pr\u00e9occupe-t-il pas davantage de la protection des donn\u00e9es par Swisscom?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>L'entreprise Swisscom n'est h\u00e9las pas un exemple pour ce qui est de la protection des donn\u00e9es. Elle fait partie de la r\u00e9gie publicitaire Admeira, qui se propose de vendre de la publicit\u00e9 personnalis\u00e9e. Mais elle a modifi\u00e9 il y a un an sa politique de confidentialit\u00e9 de telle sorte que ses clients doivent demander express\u00e9ment que leurs donn\u00e9es ne soient pas transmises \u00e0 des tiers. Et il est apparu \u00e0 l'occasion du vol de donn\u00e9es clients survenu en d\u00e9but d'ann\u00e9e non seulement que Swisscom avait failli dans la conception de son syst\u00e8me informatique, comme chacun a pu le voir, mais qu'elle n'avait pas non plus \u00e9t\u00e9 \u00e0 la hauteur en mati\u00e8re d'information des clients, qui d'une part ont \u00e9t\u00e9 avertis beaucoup trop tardivement, et qui d'autre part ont d\u00fb demander par texto si le vol les concernait, l'entreprise n'ayant pas pris la peine de les joindre elle-m\u00eame. D'o\u00f9 les questions que je pose au Conseil f\u00e9d\u00e9ral\u00a0:</p><p>1. Est-il dispos\u00e9, en sa qualit\u00e9 de propri\u00e9taire de Swisscom, \u00e0 demander \u00e0 celle-ci d'accorder une attention accrue \u00e0 la protection des donn\u00e9es\u00a0? Quelles mesures a-t-il d'ores et d\u00e9j\u00e0 prises concr\u00e8tement, quelles mesures va-t-il encore prendre, et quand\u00a0?</p><p>2. S'assure-t-il que les donn\u00e9es secondaires de t\u00e9l\u00e9communication, qui sont conserv\u00e9es uniquement parce la loi sur la surveillance de la correspondance et la loi sur le renseignement l'exigent, ne soient pas d\u00e9tourn\u00e9es pour servir \u00e0 un autre usage\u00a0?</p><p>3. S'agissant du vol de donn\u00e9es rendu public au d\u00e9but de l'ann\u00e9e 2018, que pense-t-il de l'attitude adopt\u00e9e par Swisscom, notamment du retard de plusieurs mois avec lequel les clients ont \u00e9t\u00e9 inform\u00e9s, de l'absence d'information proactive et du message d'avertissement re\u00e7u par les clients qui avaient envoy\u00e9 un texto pour s'informer de leur situation, selon lequel leur d\u00e9marche \u00e9tait susceptible d'entra\u00eener des frais\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. Swisscom est soumise \u00e0 la loi f\u00e9d\u00e9rale sur la protection des donn\u00e9es (LPD, RS 235.1) et \u00e0 la surveillance du pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es (PFPDT). Le fait que Swisscom ait \u00e9t\u00e9 victime d'un vol des donn\u00e9es ne permet pas de conclure que l'entreprise n'accorde pas suffisamment d'attention \u00e0 la protection des donn\u00e9es.</p><p>Le Conseil f\u00e9d\u00e9ral ne voit pas de raison d'intervenir suite \u00e0 cet incident. En tant que repr\u00e9sentant des int\u00e9r\u00eats du propri\u00e9taire, en l'occurrence de la Conf\u00e9d\u00e9ration, le Conseil f\u00e9d\u00e9ral pilote Swisscom en lui assignant des objectifs strat\u00e9giques. Il incombe au conseil d'administration de mettre en oeuvre ces objectifs. Le Conseil f\u00e9d\u00e9ral n'intervient pas dans la gestion op\u00e9rationnelle de l'entreprise.</p><p>Un des objectifs strat\u00e9giques assign\u00e9s \u00e0 Swisscom exige de \"d\u00e9velopper et d'exploiter une infrastructure de r\u00e9seau et informatique moderne en tenant compte des besoins du march\u00e9, des progr\u00e8s technologiques et de la s\u00e9curit\u00e9 (pr\u00e9server en particulier le secret des t\u00e9l\u00e9communications et garantir la protection des donn\u00e9es)\" (FF 2017 7445).</p><p>Le Conseil f\u00e9d\u00e9ral v\u00e9rifie chaque ann\u00e9e que Swisscom r\u00e9alise les objectifs strat\u00e9giques. Concernant l'objectif susmentionn\u00e9 (s\u00e9curit\u00e9), il a indiqu\u00e9, apr\u00e8s avoir pris en compte tous les \u00e9l\u00e9ments dont il avait connaissance, que\u00a0: \"Swisscom accorde une priorit\u00e9 \u00e9lev\u00e9e \u00e0 la protection des donn\u00e9es clients. Durant l'exercice, Swisscom a \u00e9t\u00e9 victime d'un vol de donn\u00e9es \u00e0 large \u00e9chelle, qui a port\u00e9 sur les donn\u00e9es de contact de 800 000 clients. ... les malfaiteurs ayant vol\u00e9 les droits d'acc\u00e8s d'un partenaire commercial. Bien qu'il ne s'agisse pas de\" donn\u00e9es sensibles \"selon la d\u00e9finition de la loi sur la protection des donn\u00e9es, Swisscom a renforc\u00e9 le dispositif de protection. Au vu des \u00e9l\u00e9ments disponibles, le Conseil f\u00e9d\u00e9ral conclut que les int\u00e9r\u00eats du pays dignes de protection n'ont pas \u00e9t\u00e9 mis en danger lors de cet incident.\" (Swisscom - Rapport succinct sur la r\u00e9alisation des objectifs strat\u00e9giques en 2017\u00a0; <a href=\"http://www.uvek.admin.ch\">www.uvek.admin.ch</a> - Le DETEC - Entreprises li\u00e9es \u00e0 la Conf\u00e9d\u00e9ration - Objectifs strat\u00e9giques et r\u00e9alisation).</p><p>2. Swisscom doit respecter le principe de la finalit\u00e9, selon lequel les donn\u00e9es personnelles - dont font partie les diff\u00e9rentes cat\u00e9gories de donn\u00e9es secondaires (donn\u00e9es accessoires) - ne doivent \u00eatre trait\u00e9es que dans le but qui est indiqu\u00e9 lors de leur collecte, qui est pr\u00e9vu par une loi ou qui ressort des circonstances (art. 4, al. 3 LPD). Elle ne peut donc pas faire n'importe quel usage des diff\u00e9rentes cat\u00e9gories de donn\u00e9es secondaires. Les mandats de surveillance rel\u00e8vent de diff\u00e9rents syst\u00e8mes\u00a0: certains de ces syst\u00e8mes sont exclusivement utilis\u00e9s pour la surveillance tandis que d'autres sont aussi utilis\u00e9s dans le cadre de l'exploitation et de la gestion des acc\u00e8s au r\u00e9seau et des raccordements. Les syst\u00e8mes sont prot\u00e9g\u00e9s de telle sorte que seul du personnel sp\u00e9cialement form\u00e9 et comp\u00e9tent y a acc\u00e8s. Selon l'arr\u00eat 1C_598/2016, rendu le 2 mars 2018 par le Tribunal f\u00e9d\u00e9ral, les usagers peuvent demander \u00e0 des tiers la restitution des donn\u00e9es accessoires compte tenu de la protection des donn\u00e9es.</p><p>3. Le Conseil f\u00e9d\u00e9ral a pris acte du fait que des inconnus ont acc\u00e9d\u00e9 de mani\u00e8re illicite \u00e0 des donn\u00e9es d'adresses qui \u00e9taient stock\u00e9es dans la banque de donn\u00e9es des clients de Swisscom. Il appr\u00e9cie que Swisscom ait signal\u00e9 l'incident au PFPDT, bien que la loi sur la protection des donn\u00e9es ne le prescrive pas. Il incombait \u00e0 Swisscom de d\u00e9finir la date et le type d'informations qu'elle souhaitait fournir aux clients concern\u00e9s et au public. De mani\u00e8re g\u00e9n\u00e9rale, il s'agit dans de tels cas de mettre en balance, d'une part le droit \u00e0 la transparence des clients concern\u00e9s et du public, de l'autre la n\u00e9cessit\u00e9 de ne pas compromettre le dispositif de protection. Selon les informations en possession du Conseil f\u00e9d\u00e9ral, Swisscom n'a factur\u00e9 aucun frais pour les SMS li\u00e9s \u00e0 cet incident.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1526428800000)\/","SubmittedBy":"Gl\u00e4ttli Balthasar","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1526428800000)\/","ResponsibleDepartment":9,"ResponsibleDepartmentName":"D\u00e9partement  de l'environnement, des transports, de l'\u00e9nergie et de la communication","ResponsibleDepartmentAbbreviation":"DETEC","IsLeadingDepartment":true,"Tags":"34|1236","Category":null,"Modified":"\/Date(1750802890330)\/","SubmissionDate":"\/Date(1521158400000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5012,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"M\u00e9dias et communication|Droits de l'homme"}}