plaidoyer: Voudriez-vous vivre dans un monde dans lequel vos conversations et votre correspondance privée sont enregistrées et où le disque dur de votre ordinateur peut être fouillé sans que vous le sachiez? Où des photos ou des empreintes digitales sont transmises par des fabricants d’ordinateurs aux autorités voire à d’autres personnes non autorisées?
Rainer Schweizer: Il existe des courriers, des téléphones et des courriels dont je me moque que d’autres prennent connaissance. Mais il est aussi des situations que j’estime hautement préoccupantes. J’en ai fait l’expérience en utilisant internet: j’ai installé récemment le système d’exploitation Windows 8 sur mon ordinateur portable, qui permet d’empêcher l’enregistrement des consultations. A chaque redémarrage, le rapport à ce sujet apparaît cependant de nouveau. Le système est d’emblée conçu pour effectuer un contrôle et est utilisé ainsi par des accès externes. L’exploitation permanente de mes communications est contraire au droit.
Avez-vous un profil Facebook?
Non. Les réseaux sociaux comme Facebook, sont le plus souvent encore pires, parce qu’ils transmettent n’importe quelles informations rapportées par les participants sur des tiers, sans que ceux-ci le sachent ou aient donné leur accord. Si les services secrets et ceux chargés de la sécurité de l’Etat utilisent ensuite ces possibilités techniques, cette situation a des conséquences dévastatrices. On ne possède plus de garantie que la communication ne sera pas espionnée par des agents secrets. C’est la raison pour laquelle, dans le numéro 3/2012 de la revue Sécurité & Droit, j’ai plaidé pour que la Suisse ne donne pas, comme prévu, plus de pouvoir aux services de renseignement, mais assure en priorité une communication libre.
La loi fédérale sur la protection des données devrait empêcher les abus portant sur les données personnelles de la population. Cette loi n’intéresse toutefois ni les Etats ni les entreprises qui souhaitent faire de l’argent en monnayant l’échange de données.
On peut dire en effet que la loi sur la protection des données ne vaut pas plus cher que le papier sur lequel elle figure. Nous ne devons toutefois pas nous résigner, ce qui reviendrait à soutenir les affaires des multinationales de l’informatique et l’espionnage illégal des services de renseignement.
Qui doit développer des instruments efficaces contre la collecte illimitée de données par les autorités et les entreprises?
Même si plusieurs réseaux internationaux de communication fonctionnent, nous ne pouvons pas faire autrement, au vu des atteintes portées aux biens fondamentaux juridiquement protégés, qu’adopter des lois et des garanties de sécurité nationales. Nous obtenons ainsi au moins certains droits de défense et de garanties dans cet espace juridique. Je comprends bien l’exigence de l’Union européenne qui affirme qu’on devrait forger pour les 28 Etats membres un standard unique de protection élevé. Cette ordonnance de protection des données a été discutée à la fin de l’automne 2013, au sein de la Commission juridique du Parlement et devrait actuellement être renforcée. Mais il semble que le Conseil des ministres ait tenté jusqu’ici de retarder cette affaire auprès de la chancelière fédérale, Angela Merkel.
Est-ce que Microsoft s’en préoccupe?
La conception américaine en matière de protection des données se résume au principe: «Que chacun se protège soi-même. Le business a la priorité.» En tant que petit Etat, la Suisse ne conclura pas d’accord avec les Etats-Unis relatif à la protection des données, et encore moins un accord anti espions. Il est donc indispensable de mettre des limites à la croissance sauvage de l’espionnage tant étatique que privé et de développer de manière ciblée des instruments de droit suisse et européen pour protéger la personnalité informationnelle. Un exemple pratique est celui du droit de réponse. L’art. 28g CC permet d’intervenir directement auprès d’une entreprise des médias en demandant un droit de réponse aux faits invoqués, et c’est seulement après, en cas d’échec, que l’auteur peut s’adresser au juge. La loi sur la protection des données prévoit cependant qu’on s’adresse d’abord au Tribunal de district et qu’on fasse une avance de frais conséquente, afin de faire valoir ses droits. Si des entreprises, telles que Facebook, n’ont pas du succursales en Suisse, les poursuites judiciaires sont presque impossibles. Le législateur pourrait obliger les entreprises offrant des services de télécommunications à indiquer un siège en Suisse.
On peut demander directement à Google de supprimer une inscription depuis que cette entreprise possède un siège en Suisse.
L’Allemagne a connu des décisions de justice forçant Google à supprimer certaines mentions. En Suisse, jusqu’à présent et à ma connaissance, de tels jugements font défaut et les coûts de telles actions seraient vraisemblablement très élevés. C’est pourquoi il serait souhaitable de prévoir un droit direct d’opposition, tel que la loi sur la protection des données le prévoit à son art. 12 II lit. b comme droit relevant du droit civil, tout aussi bien qu’un droit à l’effacement des données. Il est possible d’attaquer directement des actes matériels étatiques, tels que des mises en garde erronées d’une autorité, sans demander une décision préalable. De la même manière, on devrait pouvoir agir en justice directement contre des violations privées du droit de l’internet. En outre, l’utilisation non autorisée de données pour identifier une personne doit être punie, comme c’est le cas en France. Ces nouvelles lois constitueraient des progrès considérables. Mais je parle au conditionnel, car le monde politique ne se bouge guère. C’est dramatique.
Qu’est-ce qui freine le monde politique? Son propre intérêt à récolter des données?
En dépit d’avancées parlementaires, le Conseil fédéral ne prend aucune initiative. La cybercriminalité est tolérée par l’Etat. Nous avons besoin d’une politique nationale, européenne et relevant des Nations Unies. Je ne perds pas espoir, car la cyber-criminalité cause de plus en plus de tracas à l’économie.
Le préposé fédéral à la protection des données et à la transparence (Pfpdt) Hanspeter Thür, affirme que l’économie serait la cible principale de l’espionnage de données – en Suisse, en priorité, les entreprises pharmaceutiques et les banques.
Il a raison. Le danger est que, si l’économie n’assure plus ses propres intérêts et ceux de ses clients à la confidentialité, elle perd du crédit. C’est un capital important. Mais il y a d’autres domaines qui sont pillés sans honte, le domaine artistique par exemple. Cette situation criminelle couvre tous les domaines. Le droit pénal, le droit de protection des données et le droit d’auteur ne suffisent pas.
Le Conseil fédéral semble ne pas en être conscient. Il veut encourager officiellement l’e-voting. A l’avenir, sera-t-il possible de vérifier qui a voté quoi?
Oui. Selon l’art. 3 de la loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (LMSI), le secret du vote, des pétitions et des statistiques est garanti. Cela devrait être désormais relativisé.
Est-ce que les médecins, les avocats ou les ecclésiastiques devraient renoncer à internet, afin de sauvegarder le secret professionnel?
C’est une bonne question. Il serait cohérent que de telles personnes ne soient pas autorisées à utiliser ces canaux de communication. Nous devons constater que la communication passant par internet est souvent lamentable. Il faut que nous réfléchissions aux formes et au contenu de la communication démocratique et que nous ne nous fassions pas simplement envoyer promener par la plupart des entreprises d’informatique américaines et chinoises. Cela vaut également pour les autorités.
Selon vous, le gouvernement a-t-il un devoir de protection du citoyen face aux risques d’observation généralisée du citoyen, comme le prétend le président de l’Association des avocats allemands, le professeur Wolfgang Ewer?
Selon la théorie de la Cour européenne des droits de l’homme, que le Tribunal fédéral soutient de façon hésitante, l’Etat a certains devoirs de protection fondamentaux. Mais ils n’existent que lors d’atteintes importantes. On ne peut en déduire un devoir général d’agir valable en toutes circonstances. Mais on peut se demander s’il n’y a pas déjà, dans la communication électronique, une atteinte importante qui permettrait d’exiger des devoirs de protection, sous la forme d’une action en constatation ou de plaintes pénales.
Un juriste du Rooyaum-Uni s’est plaint à Strasbourg de ce que ses communications électroniques ont été surveillées par l’Etat britannique. Cette requête a-t-elle une chance de succès selon vous?
Oui, je pense qu’elle a une chance et je me demande si la Cour de Luxembourg va également entreprendre quelques avancées. Ce sont en effet les cours de Strasbourg et de Luxembourg qui prennent réellement au sérieux la CEDH et, après le traité de Lisbonne, désormais la Charte des droits fondamentaux de l’Union européenne. De là, je suis assuré que ces tribunaux possèdent l’indépendance permettant d’assurer la protection juridique de l’individu en Europe. En ce qui concerne le Tribunal fédéral à Lausanne, je n’en suis pas si certain. Les jugements portant sur le droit à l’information rendus durant les dernières années montrent peu de progrès. Le Tribunal fédéral a toutefois reconnu le droit à la protection des données comme doit fondamental non écrit au début des années 1990. En 1999 est arrivée la nouvelle Constitution fédérale, qui ne règle pas très heureusement la liberté personnelle. L’art. 13 al. 2 cst. (protection de la sphère privée) est raté. Il n’est question que de protection contre un «emploi abusif». Cela signifie que la personne concernée supporte le fardeau de la preuve que Google a fait un usage abusif de ses données. Cela ne peut pas rester ainsi. Il est urgent que la Suisse complète sa Constitution s’agissant de la protection de la personnalité.
A Hambourg, l’initiative des «avocats contre la surveillance de masse» entend sensibiliser l’opinion publique, car cette profession assume une responsabilité s’agissant du maintien de l’Etat de droit et de la démocratie. De tels buts ne devraient-ils pas aussi figurer à l’ordre du jour des Facultés de droit suisses?
Nous traversons depuis cinq ans une crise touchant les banques et les marchés financiers. Ce qui s’est passé là, en termes d’actes gravement contraires aux principes de l’Etat de droit, est invraisemblable, qu’il s’agisse de dispositions pénales rétroactives, de violation de la présomption d’innocence ou de privatisation partielle de l’entraide administrative et de l’aide juridique. Les réactions helvétiques aux violations continues du secret professionnel et du devoir de réserve sont aussi insuffisantes. Par exemple quand, aujourd’hui, des études d’avocats n’ont pas d’autre possibilité que d’avertir leurs clients que la communication par courriels n’est pas confidentielle et qu’on devrait avoir recours à des techniques de cryptage particulières. Ou lorsque le Conseil fédéral prévoit un canal de communication séparé et difficilement attaquable seulement pour l’administration fédérale. Nous avons bien besoin d’une stratégie nationale de protection et de sécurité des données. Elle devrait, pour ne citer qu’un exemple, obliger Swisscom et d’autres entreprises de télécommunications à introduire en Suisse des serveurs si possible à l’abri des attaques et à les offrir à des entreprises privées tierces.
Dans les discussions en cours sur la sécurité de l’Etat en Suisse, on constate également une réduction des droits de la défense et des garanties de procédure pénale. Là encore, l’Etat tente d’aller plus loin que ne le prévoit la Constitution fédérale.
J’ai soutenu dans les années 1990 la thèse que la Confédération devrait avoir, dans le domaine central que représente la lutte contre l’extrémisme violent ou l’espionnage, une compétence certaine. C’est toujours valable. Mais le projet de loi du Département fédéral de la défense, de la protection de la population et des sports introduit un élargissement considérable: le service de renseignement veut s’étendre, sur le plan de la police préventive, bien au-delà de la sûreté de l’Etat, y compris en engageant de nouvelles mesures d’exécution forcée – mais sans les soumettre au contrôle judiciaire public. Il s’agit là d’un problème regardant l’Etat de droit: les services secrets et la sûreté de l’Etat mettent sur pied des communications secrètes au sein du pays et avec l’étranger sans la moindre procédure de contrôle judiciaire. Ils échappent, en échangeant ces données, à tout examen légal. Les relations avec les services étrangers n’ont pas été réglementées en Suisse jusqu’ici.
Comment devrait-on réglementer les services de renseignement?
Nous devons confesser que les mécanismes de contrôle en Suisse et à l’étranger ne valent jusqu’ici pas grand-chose – tout comme le contrôle parlementaire. La délégation des Commissions de gestion compétente pour la sécurité de l’Etat a toutefois commencé désormais à examiner certains cas. On demande aussi à avoir accès à certains dossiers. C’est un développement réjouissant. Mais on se laisse guider par le bout du nez. J’ai dû, en tant que président de tribunal, surveiller ces services secrets durant 13 ans dans le cas de demandes de renseignements. Lorsque quelqu’un dépose une demande de renseignement, on s’adjoint tout d’abord le concours du préposé fédéral à la protection des données. Puis, c’est au président d’une des cours du Tribunal administratif fédéral de trancher. Durant ces années, ce n’est pratiquement jamais les mêmes dossiers qui ont été soumis d’une séance à l’autre au tribunal – et pratiquement jamais les dossiers qui avaient été préalablement soumis au préposé Hanspeter Thür! On n’a jamais autorisé un accès direct à ces données. Un tel mécanisme de contrôle est inapproprié.
Que devrait-on changer?
Il devrait y avoir une procédure judiciaire contradictoire avec, au moins, un avocat chargé de la protection des données qui puisse initier des procédures en justice. Cela peut être un préposé à la protection des données, puisqu’il peut contrôler ce qui a été protocolé et effacé informatiquement.
Cela signifie qu’on devrait élaborer une procédure contradictoire permettant à la personne touchée individuellement de faire valoir ses droits?
Oui, et le contrôle du Parlement devrait porter plus souvent sur des cas individuels. Cette surveillance devrait prioritairement être avisée de chaque engagement de mesures de contrainte secrètes, comme c’est le cas en Allemagne.
Avez-vous en tête l’idée d’un tribunal international, par exemple au sein des Nations Unies, auprès duquel un individu pourrait faire valoir ses droits?
Cela ne serait pas possible, car les puissances disposant d’un droit de veto que sont les Etats-Unis, la Chine et la Russie s’y opposent déjà. Il est donc peu probable que l’ONU s’y risque. Ma proposition est de forger des droits permettant aux personnes de se défendre, à la fois dans le droit national, européen et international. Au-delà, il faut se demander quels instruments sont disponibles. La condition est que le Conseil fédéral résiste et déclare que le comportement d’entreprises, d’autres Etats et même éventuellement de ses propres services est criminel et qu’il faut renforcer notre droit pour mieux protéger le citoyen. La manière dont les autorités, jusqu’ici, se soustraient à leurs responsabilités rappelle l’époque de l’affaire des fiches! Mais nous sommes toujours, en définitive, responsables de protéger notre sphère privée, et nous devons repenser la situation.
