6 July1998: Add French to English version
6 July 1998
Date: Mon, 06 Jul 1998 12:41:35 +0200 To: jya@pipeline.com From: Visiteur du cybercafé <visiteur@ii-mel.com>@demon.ii-mel.com News and Links PRESS RELEASE July 6 from http://www.edsb.ch concerning SWISSCOM MOBILE TRACE: 6 juillet 1998 Rapport du PFPD concernant le traitement de données personnelles par Swisscom SA dans le domaine de la téléphonie mobile (Réseau Natel) Résumé Le 28 décembre 1997, la «Sonntagszeitung» a publié un article relatif au traitement de données par Swisscom SA dans le domaine de la téléphonie mobile (réseau «Natel»). En particulier, l’article relevait que: Swisscom SA enregistrait sans base légale les données de déplacement des utilisateurs d’un téléphone mobile; les services de protection de l’Etat et la police avait également accès à ces données et que la localisation de l’utilisateur d’un téléphone mobile était également enregistrée même en l’absence de communication téléphonique dans la mesure où l’appareil était enclenché. Il était ainsi possible d’établir en tout temps un profil exact des déplacements de chaque utilisateur. Suite à cet article et aux réactions qu’il a suscitées, le Préposé fédéral à la protection des données a ouvert une enquête en application des articles 27 et 29 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD, RS 235.1). L’objet de l’enquête a consisté à vérifier si les allégations de la «Sonntagszeitung» étaient exactes. L’enquête ne s’est pas limitée à l’examen de la banque de données de Swisscom SA et aux traitements de données qui en résultent. Elle a également touché à d’autres aspects de protection des données dans le cadre de la téléphonie mobile. Ainsi, nous avons examiné la collecte des données lors de l’utilisation d’un téléphone mobile, et notamment la pertinence des données collectées et leur durée de conservation, les finalités pour lesquelles ces données sont traitées et utilisées, les autorités ayant accès aux données et selon quelle procédure, le droit d’accès des personnes concernées, la question de «l’identification des abonnés» par rapport au produit «Natel easy», ainsi que la procédure d’annonce des fichiers auprès du Préposé fédéral à la protection des données. Nous avons constaté que Swisscom SA peut localiser un téléphone mobile simplement enclenché avec une précision allant jusqu’à la zone de localisation [le réseau «Natel» se compose actuellement d’une trentaine de zones de localisation (Location Area)] et non pas jusqu’à la cellule [à l’heure actuelle, le réseau «Natel» compte environ 2500 cellules] comme indiqué dans l’article de la «Sonntagszeitung». En ce qui concerne la collecte et le traitement de données personnelles dans le cadre de mesures de surveillance des télécommunications, nos investigations ont révélé des zones d’ombre. Nous estimons nécessaire de poursuivre nos éclaircissements dans ce secteur en collaboration avec les autorités cantonales de protection des données. Dans le cadre de notre enquête, nous avons examiné des documents écrits, procédé à des auditions et visité les installations du Centre Swisscom Mobile d’Ostermundigen et du Centre régional de Berne du Service des tâches spéciales (Département fédéral de l’environnement, des transports, de l’énergie et de la communication). Si dans l’ensemble les organes et personnes impliqués dans notre enquête ont collaboré à l’établissement des faits, nous nous sommes néanmoins malheureusement heurtés à certaines résistances notamment en relation avec nos compétences d’investigation et l’étendue de notre enquête. En outre, nous avons noté des propos contradictoires dans certaines réponses qui nous ont été données. Aux termes de notre enquête, nous parvenons aux conclusions suivantes: I. Données personnelles traitées par Swisscom SA Sur la base des informations obtenues de Swisscom SA (renseignements écrits et visite du centre Swisscom Mobile d’Ostermundigen), nous constatons que les traitements de données personnelles effectués par Swisscom SA sont conformes à la LPD, avec une réserve concernant la durée de conservation des données. II. Conservation des données Le temps nécessaire au traitement des données afin d’établir, d’une part, la communication (durée très courte) et, d’autre part, obtenir le paiement dû pour les prestations fournies (en règle générale pas plus de trois mois) est dans tous les cas inférieur à six mois. La durée de conservation ne peut donc pas être supérieure au délai de six mois fixé par l’article 50, 1er alinéa de l’ordonnance du 6 octobre 1997 sur les services de télécommunications (OST; RS 784.101.1). Swisscom SA ne doit ainsi pas conserver les données susmentionnées au-delà de six mois. III. Surveillance des télécommunications Dans les limites de ses compétences et en collaboration avec les autorités cantonales de protection des données, le Préposé fédéral à la protection des données poursuivra ses investigations dans le domaine de la surveillance des télécommunications. IV. Droit d’accès L’article 45 de la loi fédérale du 30 avril 1997 sur les télécommunications (LTC; RS 784.10) ne règle que la communication aux usagers des données utilisées pour la facturation des prestations et ne restreint pas le droit d’accès régi par l’article 8 LPD. La délégation de compétence au Conseil fédéral prévue par l’article 46 LTC ne restreint pas non plus l’application de la LPD. Formellement, une restriction du droit d’accès doit être prévue dans une loi au sens formel (article 9, 1er alinéa, lettre a LPD). Du point de vue matériel, les articles 45 LTC et 50 OST ne restreignent pas le droit d’accès. En effet, ces dispositions ne limitent pas la communication aux personnes concernées des seules données énumérées. A l’heure actuelle, aucun motif ne justifie l’introduction d’une telle restriction dans une loi au sens formel. V. «Natel easy» L’article 49 OST ne constitue pas une base légale suffisante pour enregistrer les acquéreurs de «Natel easy». L’enregistrement des acquéreurs de «Natel easy» n’est ni nécessaire ni apte pour lutter contre le crime organisé. L’identification d’une personne ne signifie pas l’enregistrement de cette personne dans un fichier. VI. Annonce de fichiers auprès du Préposé fédéral à la protection des données (délai au 30 septembre 1998) L’Office fédéral de la communication et Billag SA doivent annoncer tous leurs fichiers (article 11, 2ème alinéa LPD). Swisscom SA doit annoncer tous ses fichiers relatifs au personnel soumis au droit public et tous ses fichiers relatifs au service universel (article 11, 2ème alinéa LPD). Quant aux autres fichiers contenant des données sensibles ou des profils de la personnalité, ou dont les données sont communiquées à des tiers, Swisscom SA doit les annoncer si le traitement de ces données n’est soumis à aucune obligation légale ou si les personnes concernées n’en ont pas connaissance (article 11, 3ème alinéa LPD). VII. Collaboration avec le Préposé fédéral à la protection des données Dans le cadre d’une procédure de corapport, les départements impliqués doivent informer le Préposé fédéral à la protection des données afin qu’il puisse faire valoir son point de vue. Les personnes entendues par le Préposé fédéral à la protection des données sont tenues de collaborer à l’établissement des faits conformément aux articles 27 et 29 LPD. Il est regrettable que les Secrétaires généraux du Département fédéral de justice et police et du Département fédéral de l’environnement, des transports, de l’énergie et de la communication n’aient pas collaboré à l’établissement des faits comme le prévoit l’article 27, 3ème alinéa, LPD.
French to English by Babelfish <http://babelfish.altavista.digital.com> July 6 from http://www.edsb.ch MOBILE concerning SWISSCOM TRACES: July 6, 1998 Report of the PFPD concerning the processing of personal data by Swisscom SA in the field of mobile telephony (Natel Network) Summary On December 28, 1997, "Sonntagszeitung" published an article relating to the processing of data by Swisscom SA in the field of mobile telephony (Natel "network"). In particular, the article raised that: Swisscom SA recorded without legal base the data of displacement of the users of a mobile telephone; the services of protection of the State and the font also had access to these data and that the location of the user of a mobile telephone was also recorded even in the absence of telephone call insofar as the apparatus were engaged. It was thus possible to establish in any time an exact profile of displacements of each user. Following this article and with the reactions which it caused, the federal Employee with the data protection opened an investigation pursuant to articles 27 and 29 of the federal law of June 19, 1992 into the data protection (LPD, RS 235.1). The object of the investigation consisted in checking if the allegations of "Sonntagszeitung" were true. The investigation was not limited to the examination of the bank of data of Swisscom SA and to the processings of data which result from it. It also touched with other aspects of data protection within the framework of mobile telephony. Thus, we have examined the data-gathering done during use of a telephone mobile, and in particular the relevance of data collection and their storage time for archiving, the finality for which these data be treat and use, the authority have access with data and according to which procedure, the right of access to the data by the person concerned, the question "of identification of subscriber" compared to product "Natel easy", as the procedure of advertisement of file near Employee federal with protection of data. We noted that Swisscom SA can locate a mobile telephone simply engaged with a precision going to the zone of location [ the Natel "network" is currently composed of about thirty zones localization (Area Hiring) ] and not to the cell [ at the present time, the Natel "network" counts approximately 2500 cells ] as indicated in the article of "Sonntagszeitung". With regard to the collection and the processing of personal data within the framework of measurements of monitoring of telecommunications, our investigations revealed zones of shade. We consider it necessary to continue our explanations in this sector in collaboration with the cantonal authorities of data protection. Within the framework of our investigation, we examined written documents, process with hearings and visited the installations of the Center Swisscom Mobile of Ostermundigen and regional Center of Bern of the Service of the special tasks (federal Department of the environment, transport, energy and communication). If in the unit the bodies and people implied in our investigation collaborated in the establishment of the facts, we nevertheless unfortunately encountered certain resistances in particular in relation to our competences of investigation and the extent of our investigation. Moreover, we noted contradictory remarks in certain answers which were given to us. Under the terms of our investigation, we arrive at the following conclusions: I. Personal data treated by Swisscom SA On the basis of information obtained of Swisscom SA (written information and visits center Swisscom Mobile of Ostermundigen), we note that the processings of personal data carried out by Swisscom SA are in conformity with the LPD, with a reserve concerning the storage time of the data. II. Conservation of the data time necessary to data processing in order to establish, on the one hand, the communication (lasted very short) and, on the other hand, to obtain the payment due for the provided services (in general step more than three months) is in all the cases lower than six months. The storage time cannot thus be higher than the six months deadline fixed by article 50, 1st subparagraph of the ordinance of October 6, 1997 on the services of telecommunications (OST; RS 784.101.1). Swisscom SA should not thus preserve the above-mentioned data beyond six months. III. Monitoring of telecommunications Within the limits of its competences and in collaboration with the cantonal authorities of data protection, the federal Employee with the data protection will continue its investigations in the field of the monitoring of telecommunications. IV. Right of access article 45 of the federal law of April 30, 1997 on telecommunications (LTC; RS 784.10) regulates only the communication with the users of the data used for the invoicing of the services and does not restrict the right of access governed by article 8 LPD. The delegation of power to the federal Council envisaged by article 46 LTC does not restrict either the application of the LPD. Formellement, a restriction of the right of access must be envisaged in a law with the formal direction (article 9, 1st subparagraph, letter has LPD). From the material point of view, articles 45 LTC and 50 OST do not restrict the right of access. Indeed, these provisions do not limit the communication to the people concerned of the only enumerated data. At present, no reason justifies the introduction of such a restriction into a law on the formal direction. V. "Natel easy" article 49 OST does not constitute a sufficient legal base to record the purchasers of "Natel easy". The recording of the purchasers of "Natel easy" is neither necessary nor suited to fight against the organized crime. The identification of a person does not mean the recording of this person in file. VI. Announce files near the federal Employee with the data protection (deadline at September 30, 1998) the federal Office of the communication and Billag SA must announce all their files (article 11, 2nd subparagraph LPD). Swisscom SA must announce all its files relating to the personnel subjected to the public right and all its files relating to the universal service (article 11, 2nd subparagraph LPD). As for the other files containing of the significant data or the profiles of the personality, or of which the data are communicated to thirds, Swisscom SA must announce them if the processing of these data is subjected to no legal obligation or if the people concerned are not informed of it (article 11, 3rd subparagraph LPD). VII. Collaboration with the federal Employee with the data protection Within the framework of a procedure of corapport, the implied departments must inform the federal Employee with the data protection so that it can put forward his point of view. The people heard by the federal Employee with the data protection are held to collaborate in the establishment of the facts in accordance with articles 27 and 29 LPD. It is regrettable that the Secretaries-general of the federal Department of justice and font and of the federal Department of the environment, transport, energy and the communication did not collaborate in the establishment of the facts as provides it article 27, 3rd subparagraph, LPD.