{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2010-09-13", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20100913---Donnees-b_2010-09-13.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/vlK4NpwRKKsX/20100913%20-%20Donnees%20biometriques%20pour%20un%20systeme%20de%20reservation.pdf", "Checksum": "379d2a7a3df77dc1f3aabd0683b2a3cc"}, "Scrapedate": "2026-04-05", "Num": ["20100913 - Donnees biometriques pour un systeme de reservation"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 13.09.2010"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 13.09.2010"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 13.09.2010"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Rapport final du 13 septembre 2010 concernant les données biométriques pour un système de réservation"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:12:21", "Checksum": "8329ac186666871bb7f431ffa0d09a8b", "Chunktext": "Extrait de l'arrêt Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 13.09.2010\nRegeste:\nRapport final du 13 septembre 2010 concernant les données biométriques pour un système de réservation\n\nLors de la création d’un compte d’utilisateur, le PFPDT suggère en outre qu’il soit automatiquement\nmentionné que le véritable nom de famille sera affiché par défaut dans le système de réservation en\nligne et qu’on demande explicitement à la personne concernée s’il est d’accord avec cette pratique ou\nsi elle préfère recourir à la possibilité de pseudonymisation du nom affiché.\n\nEn résumé, on peut constater que la publication actuelle des données de réservation sur Internet dépasse de loin ce qui est nécessaire pour atteindre le but poursuivi. Elle n’est donc pas proportionnelle\npar rapport au principe du traitement ménageant au mieux les données personnelles.\n\n5.5.3 Proportionnalité temporelle – Point de départ\n\nL’exigence de proportionnalité limite également le traitement de données sur l’échelle temporelle. Dès\nque les données personnelles ne sont plus utiles pour le but poursuivi, elles doivent être détruites ou\nanonymisées. Il faut prévoir à cet égard une destruction ou une anonymisation le plus rapidement\npossible.\n\nActuellement, des données personnelles sont enregistrées à trois endroits : sur le PC « biométrique »,\nsur le PC du secrétariat et sur le serveur web du système de réservation. Un règlement pour la durée\nde conservation ou la responsabilité de destruction n’existe pour aucun de ces endroits. Jusqu’à présent, aucune destruction régulière de données n’est effectuée sur le PC „biométrique“ et sur le PC du\nsecrétariat, les données de réservation du système der réservation sont par contre détruites tous les\n2-3 ans pour des raisons de place, tandis que les données de journalisation sont effacées après environ une année.\n\n5.5.4 Jugement de la proportionnalité temporelle du point de vue du PFPDT\n\nLe PFPDT a déjà rendu attentif lors de la visite des installations sur place au fait que la durée de\nconservation et la responsabilité pour la destruction des données (en particulier sensibles) plus nécessaires devaient être réglées et consignées dans un règlement, car il n’est sinon pas possible pour\nles personnes concernées d’estimer la durée de conservation des données. Il existe en outre le danger effectif que la destruction des données ne soit pas suffisamment prise en considération et que\ncelles-ci soient éternellement conservées.\n\nLes gabarits sur le PC „biométrique“ et les données des membres sur le PC du secrétariat doivent être\ndétruites dès qu’elles ne sont plus nécessaires. Cela est au plus tard le cas lorsqu’un membre donne\nsa démission. La destruction des données lors d’une démission doit par conséquent d’une part être\narrêtée dans le règlement et d’autre part être enregistrée dans les processus standard pour de tels\ncas. Pour le PFPDT, il n’y a en apparence aucune raison qui justifierait une durée de conservation de\n2-3 ans pour les données de réservation et d’un an pour les données de journalisation du système de\nréservation.\n\n15/27\nLe PFPDT estime donc que les durées de conservation sont disproportionnellement longues et doivent être réduites à une mesure appropriée. Le CT XX doit ainsi faire une proposition au PFPDT pour\ndéterminer comment les délais de destruction doivent être fixés et comment ces délais sont ensuite\n(techniquement) mis en œuvre. À part la destruction des données mentionnées ci-dessus, il faut aussi\nrégler celle des sauvegardes existantes de ces données.\n\n5.6 Finalité du traitement\n5.6.1 Point de départ\n\nLes données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte,\nqui est prévu par la loi ou qui ressort des circonstances (art. 4 al. 3 LPD). Comme une modification du\nbut du traitement n’est pas contrôlable par les personnes concernées à cause de la centralisation des\ndonnées biométriques, il faut privilégier des solutions techniques qui garantissent suffisamment le\nrespect de la finalité.\n\n5.6.2 Jugement du point de vue du PFPDT\n\nDe par la centralisation actuelle des gabarits biométriques, on ne peut pas totalement exclure un détournement de finalité lors du traitement de ces données. Cela est entre autre possible, car les données ne se trouvent pas dans la sphère d’utilisation des personnes concernées. Un détournement de\nfinalité par liaison avec d’autres fichiers ou par communication à un tiers externe serait possible.\nMême si on tient compte du fait qu’aucunes données brutes mais uniquement des gabarits biométriques sont stockés dans la base de données, on doit également renoncer à la mémorisation actuelle\ncentralisée des données biométriques à cause du principe de finalité et choisir une des variantes\nmentionnées au chiffre 5.5.2.1.\n\n5.7 Exactitude des données (fiabilité, applicabilité)\n5.7.1 Point de départ\n\nLe processus de comparaison entre données de référence et données présentées (ici des gabarits\nd’empreintes digitales) se base sur un calcul de probabilités et fournit une valeur de concordance, qui\ndoit être supérieure à un seuil prédéfini, pour que la personne soit reconnue. De cette seule valeur de\nseuil dépendent les deux taux „False Rejection Rate (FFR)“ et „False Acceptance Rate (FAR)“ de\nmanière inversement proportionnelle. Pour des motifs de protection de la personnalité, on devrait minimiser avant tout le FAR, sans cependant trop fortement péjorer le FRR. Le choix d’une valeur optimale du seuil d’acceptation pour atteindre une fiabilité suffisante du système biométrique global n’est\ndonc pas facile à effectuer.\n\n"}