,

Registre des automobilistes et sécurité des données

Un grand merci à tous mes collègues du Grand Conseil, à Madame la Présidente, d’avoir accepté un changement de l’ordre du jour ayant permis d’accepter, en plénum, par 96 oui et 2 abstentions la résolution au sujet du registre des automobilistes. Ce dossier a été traité avec une extrême rapidité soit en 4 semaines.

Lors de la séance des questions du mois de février, le Conseil d’Etat a répondu au sujet de la communication des données personnelles des automobilistes.

Il est inutile de revenir sur les informations de la volumétrie de demandes d’anonymat tant la communication officielle annexée à l’envoi de la facture des taxes automobiles 2022 était sibylline et donc peu incitative à prendre conscience du risque encouru de voir nos données personnelles se retrouver sur le darknet ou autres.

Après quelques recherches sur les pratiques cantonales, il s’avère que le ton volontairement rassurant de la réponse démontre une multitude de pratiques contrairement aux indications données.

En résumé chacun fait une sauce particulière pour ouvrir son fichier des données.

Voici quelques exemples extraits du registre « Plaques suisses ».

Résultats :

  • Fribourg et Tessin en 3 clics, nous obtenons le nom, prénom et l’adresse du détenteur.
  • Pour le Tessin, nous avons même droit aux numéros de téléphone du détenteur.
  • Genève, nous devons payer CHF 10.00, remplir un formulaire et motiver la demande. Celle-ci peut être refusée et les CHF 10.00 ne sont pas remboursés.
  • Dans certains cantons, nous recevons sans autre les renseignements par SMS surtaxé de CHF 1.00.

Vous conviendrez que ceci est tout sauf rassurant.

Il faut aussi savoir qu’il existe un guide pratique vaudois qui explique l’activité au sein de la fonction publique, donnant accès à un certain nombre de données personnelles nécessaires à leur mission et dont ils ne peuvent pas faire usage impunément. Ces données, quoi qu’en fassent les personnes concernées à titre privé, ne peuvent être traitées à la légère et bénéficient d’une protection qui est rappelée par le biais de la loi cantonale sur la protection des données (LPrD) et son règlement d’exécution.

La protection des données personnelles est une matière transversale qui fonctionne sur la base de principes et règles définis.

Nous constatons que la réponse du Conseil d’Etat ne contient aucun élément respectant les principes de protection des données.

A l’heure de la cybersécurité, il semble inconcevable que la commission thématique des systèmes d’information n’ait pas été consultée.

Nous déposons la résolution suivante au vu des délais extrêmement courts afin de réagir à cette mise en application connue depuis longtemps de la communication des données automobiles.

Le Grand Conseil demande qu’en avril 22, le Conseil d’Etat communique et assure que l’accès « indexauto » vaudois, respecte

la loi sur la protection des données LPrD, son règlement, son guide pratique ainsi que les principes de transparence en avertissant le détenteur du véhicule qu’une demande de renseignement a été sollicitée par un tiers, autre que les services de l’Etat et son principe de finalité.

En remerciant le Conseil d’Etat de sa volonté de mettre tout en œuvre pour que cette transmission de
données personnelles dites sensibles soit bien connue de tous.

PS le détail pour mémoire

  1. la loi sur la protection des données LPrD, son règlement et son guide pratique ;
  2. le principe de transparence en avertissant le détenteur du véhicule qu’une demande de renseignement a été sollicitée par un tiers, autre que les services de l’Etat ;
  3. le principe de finalité en avertissant le détenteur du véhicule du but et de l’usage qui vont être faits de ses données personnelles;
  4. le principe de communications des données aux tiers et aux détenteurs des véhicules sollicités par une telle demande (SMS, courriel, etc.)
  5. le tarif des émoluments puisque plusieurs cantons appliquent des règles différentes avec la même loi fédérale.