Qu'est-ce qui a changé avec l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données en ce qui concerne les obligations de diligence d'un Rotary club ? Le préposé fédéral à la protection des données et à la transparence, Rot. Adrian Lobsiger, explique : "Les clubs qui ont appliqué de manière exemplaire les dispositions antérieures en matière de protection des données n'ont pas de souci à se faire en ce qui concerne la nouvelle loi sur la protection des données".
Une nouvelle loi sur la protection des données est en vigueur en Suisse depuis le 1er septembre 2023. En révisant totalement la réglementation précédente, en vigueur depuis 1992, le Parlement a voulu tenir compte des changements technologiques et sociétaux de ces dernières années et garantir ainsi à la population une protection adaptée et adéquate de la sphère privée. Il a également veillé à ce que le droit suisse soit compatible avec le droit européen.
Qu'est-ce qui a changé avec l'entrée en vigueur de la nLPD en ce qui concerne les obligations de diligence d'un Rotary club ? Les réponses à ces questions se trouvent dans une fiche d'information publiée le 3 septembre par l'association Rotary Medien Schweiz/Liechtenstein (VRM). Toutefois, les personnes peu familiarisées avec la terminologie juridique et qui ne sont pas non plus des spécialistes en informatique auront peut-être du mal à comprendre le latin technique de cette notice. Il y a donc un besoin d'explication.
L'expert ne voit pas de raison de paniquer
Adrian Lobsiger, le préposé fédéral à la protection des données et à la transparence (PFPDT), est membre du RC Berne depuis 2005. Il sait quelles informations sur les Rotariens sont normalement enregistrées par un club et comment les traiter sans risquer d'être accusé d'abus. Rouge. Lobsiger ne voit aucune raison de paniquer : "Les clubs qui ont appliqué de manière exemplaire les dispositions antérieures en matière de protection des données n'ont pas à s'inquiéter en ce qui concerne la nouvelle loi sur la protection des données", explique-t-il. Les valeurs rotariennes et les principes de base de l'éducation ne sont pas affectés. "La vérité et l'équité sont également des éléments centraux dans le nDGS, on ne traite pas de données qui ne sont pas correctes". Dans l'idéal, un Rotary club devrait s'en tenir à l'épreuve des quatre questions lors du traitement des données des membres. Est-ce vrai ? Est-ce juste pour toutes les personnes concernées ? Est-ce que cela va promouvoir l'amitié et la bonne volonté ? Est-ce que cela servira le bien de toutes les personnes concernées ?
Les secrétaires de club risquent-ils désormais de devoir payer de lourdes amendes en raison de contrevenants à la nLPD ? "Ce n'est guère à craindre", estime Rot. Lobsiger, "à moins qu'ils ne se rendent coupables de violations intentionnelles des dispositions sur la protection des données et qu'ils soient dénoncés". Dans un tel cas, un tribunal ordinaire déciderait de la peine à infliger. En principe, quiconque est responsable des données des membres dans un Rotary club devrait se demander : "Est-il juste, est-il raisonnable d'utiliser ces données ?" Et celui qui installe un site web doit impérativement veiller à ce que des étrangers ne puissent pas accéder aux données du club ou des membres à l'aide de ce que l'on appelle des trackers.
Appel au bon sens
On peut attendre des Rotariennes et des Rotariens qu'ils en profitent. Celui qui a adhéré au Rotary doit donc aussi accepter que sa date de naissance, sa classification, ses adresses et ses numéros de téléphone soient visibles pour les autres membres. Certains clubs, comme le RC Solothurn-Land, produisent périodiquement des dépliants contenant des informations spécifiques au club et des portraits de membres. Ils considèrent ces médias comme leur carte de visite. La nouvelle loi fédérale sur la protection des données ne contient aucun passage interdisant de telles publications à l'attention d'un cercle restreint de personnes. Rouge. Jan Trnka (RC Wynen- und Suhrental), responsable informatique au sein du comité VRM, répond à l'auteur de cet article : "Ta description de la manière dont une brochure destinée aux membres est remise aux conférenciers dans ton club, pour autant que ceux-ci ne soient pas des Rotariens du même club, constitue une violation de la protection des données". Dans ce contexte, le Dr Lobsiger en appelle au bon sens, à la raison, à la confiance mutuelle et au principe de proportionnalité. "Chaque invité à une réunion devrait pouvoir savoir qui est assis en face de lui".
"Je ne suppose pas que des données sur la santé, des données fiscales ou d'autres informations personnelles sensibles soient générées dans la banque de données d'un club", suppose le PFPDT. Il recommande de faire preuve de sensibilité, notamment en ce qui concerne les procédures d'admission, les maladies des membres, les dispenses de présence, les interruptions de carrière, les réorientations professionnelles, l'encadrement spécial des membres âgés. En particulier, si l'on envisage de diffuser des messages personnels par le biais de lettres hebdomadaires ou d'autres canaux, il faut obtenir l'approbation des personnes concernées.
Sur l'utilisation des annuaires de membres
Trnka précise : "La protection des données ne concerne pas la protection des données générales contre les dommages, mais la protection des données personnelles contre les abus". Ce qui serait abusif, ce serait par exemple de faciliter l'accès de tiers aux répertoires des membres afin de pouvoir les utiliser à des fins commerciales ou pour des activités de collecte de fonds. Lors de sa réunion du 3 mai 2019, le Conseil des gouverneurs a déjà discuté intensivement, suite à une requête du district 1990, de la question de savoir si, compte tenu des exigences accrues en matière de protection des données, les adresses de tous les Rotariens et Rotariennes de Suisse et de la Principauté du Liechtenstein pouvaient désormais être mises à disposition, par exemple pour l'envoi des appels aux dons de la fondation mine-ex. La majorité de l'organe a estimé qu'il fallait mettre un terme à la pratique habituelle, mais a jugé qu'il n'était pas habilité à donner des instructions en la matière. La décision en la matière relève uniquement de l'appréciation et de la compétence d'un district. Adrian Lobsiger répond à une question à ce sujet : "Si tous les membres sont expressément d'accord pour que leurs données soient transmises, on peut le faire".
"En tant que club, tu peux compter à cent pour cent sur Polaris".
Le Rotary Suisse/Liechtenstein permet à tous les Rotariens et Rotariennes des districts 1980, 1990 et 2000 de consulter le répertoire national des membres. Celui-ci est toutefois exclusivement accessible dans le domaine protégé par un mot de passe. Seuls les membres de Rotary clubs suisses ou liechtensteinois sont autorisés à se connecter. "Celui qui ne dispose pas d'un mot de passe ne peut pas consulter les listes de membres ni rechercher des informations internes d'un club", souligne Jan Trnka. La nouvelle application "Polaris" saisit exclusivement des données personnelles qui sont importantes pour la gestion du club et du district et qui doivent être communiquées au Rotary International, mais pas les données de la catégorie "données sensibles". Par ailleurs, chaque membre du Rotary peut décider lui-même s'il souhaite ou non rendre visibles ses numéros de téléphone, ses adresses électroniques ou ses adresses de domicile aux membres extérieurs à son club.
La nLPD accorde également à chaque membre le droit de demander des informations sur les données enregistrées dans son club. Il peut à tout moment apporter lui-même des modifications à son profil personnel via rotary.ch sous le bouton "Mes paramètres". "En tant que club, tu peux être sûr à cent pour cent que Polaris est construit de manière à respecter les lois sur la protection des données, tant selon le droit suisse que selon le droit européen", promet Rot. Trnka. Si ce n'était pas le cas, le système informatique suisse développé au cours des dernières années avec beaucoup d'esprit, de passion et de savoir-faire, mais aussi avec un investissement financier considérable, ne serait pas devenu un modèle de réussite. "Polaris" est aujourd'hui utilisé par des districts dans huit pays différents.
Attention aux points de friction : L'utilisation des images
Une prudence accrue est de mise - et pas seulement depuis l'entrée en vigueur de la nLPD - lors de l'utilisation d'images. Des directives claires s'appliquent aussi bien dans l'espace numérique que dans les médias imprimés. Quiconque a l'intention de publier des photos d'enfants devrait obtenir au préalable l'accord des parents concernés. "Les photos sur lesquelles les personnes sont clairement identifiables ne peuvent pas être diffusées à volonté", avertit Adrian Lobsiger, "il faut leur demander l'autorisation au préalable". Il nuance toutefois : "On peut s'attendre à une certaine tolérance de la part de personnalités publiques lorsqu'on illustre par des images des rapports sur leurs apparitions en public ou au Rotary club". Des conséquences juridiques et financières parfois graves menacent si des photos sont copiées d'Internet et placées par exemple sur les sites web des clubs. Avant toute utilisation, les droits d'auteur doivent être clarifiés. En Suisse aussi, des agences spécialisées traquent à l'œil d'épervier les contrevenants qui utilisent abusivement des admissions protégées par le droit d'auteur. L'un ou l'autre Rotary Club pourrait déjà en parler.
Des astuces sournoises
En Allemagne, ce sont surtout des membres du Rotary âgés et prétendument aisés qui ont été harcelés au printemps dernier par des "appels de petits-enfants". Des faits similaires se sont produits et se produisent probablement aussi dans notre pays. Que peut-on faire pour y remédier ? Adrian Lobsiger est convaincu que les Rotariens ne tombent pas dans le piège de chaque petit-ami. "Il en va autrement pour les personnes âgées vulnérables". Dans ce cas, il compte sur les compagnons de route des Rotariens pour attirer leur attention sur les dangers potentiels, dans l'esprit d'un service amical. En cas de doute, chaque poste de police se tient volontiers à leur disposition pour les conseiller et les aider.
"La transparence est une marque de fabrique de notre communauté".
Adrian Lobsiger, 64 ans, docteur en droit, est depuis 2016, en tant que Préposé fédéral à la protection des données et à la transparence (PFPDT), pour ainsi dire la première adresse lorsque le droit à la protection de la sphère privée de chaque citoyenne et citoyen est en discussion. Son autorité, qui compte 33 postes à plein temps dans le domaine de la protection des données et six postes à plein temps dans le domaine des relations publiques - principalement des juristes, des informaticiens et également du personnel commercial - se concentre sur les grands projets numériques, tant au sein de l'État que dans l'économie privée, "plus précisément là où de nouvelles applications, qui concernent de nombreuses personnes privées, sont en train de voir le jour". En tant que responsable de la protection des données, il a le devoir de protéger la sphère privée et l'autodétermination de la population, explique Lobsiger pour décrire la première de ses deux missions. "Le défi particulier qui m'est posé consiste à garantir ces droits, surtout dans un monde marqué par le numérique". Dans l'esprit du "service public", il doit exercer une influence précoce et examinatrice sur les responsables de la protection des données dans les entreprises et aussi dans les offices fédéraux, avec pour objectif que leurs projets satisfassent finalement aux exigences de la protection des données et ne doivent pas être corrigés avec des coûts subséquents de plusieurs millions.
"En tant qu'organe de surveillance, nous recueillons des informations auprès de la population, des médias et de nos propres observations", ajoute Lobsiger. "Nous suivons quotidiennement de telles indications, confrontons les institutions concernées et les invitons à examiner les réclamations et à y remédier." Si des divergences subsistent, il peut, avec son équipe, ouvrir une enquête formelle, adopter finalement une décision de première instance, interdire un traitement de données ou au moins faire en sorte qu'un tel traitement soit reporté ou modifié.
"En tant que préposé à la transparence, je dois intervenir en tant que médiateur lorsque des citoyens, souvent des journalistes, ne parviennent pas à s'entendre avec l'administration, lorsque la divulgation de documents officiels leur est refusée". Il s'agit donc, selon lui, de donner du poids à ce que l'on appelle le principe de transparence. "La transparence est une marque de fabrique de notre collectivité. La transparence crée la confiance". Mais il faut parfois évaluer ce qui est d'intérêt public et ce qui ne l'est pas. "Nous adoptons une recommandation. L'administration doit adopter une décision qui peut être portée devant le Tribunal administratif fédéral."
Est-il trompeur de penser qu'au cours des dernières années, la protection des données a été érigée en thème de plus en plus sensible ? Adrian Lobsiger classe les choses : "Le besoin de l'homme de développer sa vie de manière privée et autodéterminée n'a pas changé, c'est toujours une préoccupation centrale". Ce qui a changé, c'est l'environnement, qui traite les données différemment qu'en 1950 ou 1970 : "En 1970 déjà, il y avait eu le scandale des fiches, une émanation de la guerre froide entre l'Est et l'Ouest. A l'époque, on était exposé à d'autres menaces qu'aujourd'hui". Aujourd'hui, c'est la numérisation qui déploie une grande dynamique. Une dynamique qui a pour conséquence que beaucoup plus de données peuvent être traitées en un laps de temps plus court. "Le problème de base est resté le même : en tant que citoyen ou client, on se sent bridé, dupé par des tiers qui génèrent d'énormes quantités de données à leurs propres fins". Celui qui qualifie les dispositions de protection des données de prescriptions limitatives et restrictives ne répond pas vraiment à l'objectif de la protection des données. "Ce qui est décisif, c'est que la sphère privée reste garantie".
Tant la nouvelle législation européenne sur la protection des données que la nouvelle loi suisse sur la protection des données sont des réponses à la numérisation. "L'ordonnance de l'Union européenne a certainement été un guide pour nous. Mais nous ne l'avons pas simplement copiée. Le droit suisse est formulé différemment, plus simplement", souligne Lobsiger.
Son titre de "PFPDT" nous donne l'impression d'être assis à la table d'une personnalité qui doit s'occuper jour après jour d'une matière certes complexe, mais d'une certaine manière plutôt aride. "Nous répondons chaque année à près de quatre mille questions des médias", mentionne Adrian Lobsiger. C'est donc clair : Lui et sa fonction jouissent d'une grande importance auprès du public. Et oui, il apprécie le Rotary en tant que lien de toute une vie, "l'amitié et la convivialité ont une grande priorité pour moi". De plus, il est un jardinier passionné et entretient un grand jardin avec des nénuphars. Dans la mesure du possible, il passe aussi beaucoup de temps avec son épouse Valérie et ses deux filles de 24 et 28 ans.
