plaidoyer: Le volume des données personnelles enregistrées double chaque année. Comment les citoyens peuvent-ils se protéger contre cette frénésie de collecte de la part des entreprises et des Etats?
Adrian Lobsiger: Ce qui est réalisable techniquement trouve généralement une application dans la pratique. C’est ce qui s’est passé avec la production de données personnelles en grande quantité. L’économie s’est emparée de ce marché. On ne peut pas stopper cette évolution par des lois. Mais cela doit se faire en toute transparence: car si les personnes ne sont pas informées du traitement de leurs données, les droits d’accès et d’opposition ne servent à rien, les sanctions non plus.
La loi n’exige pas que les collecteurs de données informent les personnes concernées.
Si, la loi en vigueur pose le principe d’une transparence totale. Et je l’exige sans condition.
Quand vous regardez la TV, Swisscom enregistre vos habitudes. Si vous achetez une voiture neuve, le fabricant est souvent renseigné sur votre manière de conduire. Peu de gens le savent et presque personne n’a vraiment consenti à cela.
Une collecte indifférenciée de données est inadmissible. Le principe de «Privacy by Default» fait la distinction entre les informations nécessaires au bon fonctionnement d’une application et les fonctions additionnelles que l’utilisateur doit pouvoir activer ou désactiver sur demande. La transmission de données d’utilisation d’appareils électroniques grand public comme la TV requiert par exemple le consentement des personnes concernées. Quant aux renseignements générés par notre comportement de conducteur, ils doivent être anonymisés par le fabricant, à moins que l’usage visé ne requière pas de tirer des conclusions sur des personnes (par exemple des données sur l’évaluation de la durée de vie des matériaux).
Swisscom refuse d’indiquer aux clients qui le demandent quelles données sont enregistrées à leur sujet. Pourtant, l’art. 8 de la loi sur la protection des données l’y oblige.
Quand on se déplace avec un téléphone portable dans l’espace public, diverses antennes entrent en contact avec l’appareil. Ces informations servent notamment à établir les factures. D’autre part, ces données techniques permettent aussi de tirer des conclusions sur le comportement de l’utilisateur. Il y a donc un conflit: Swisscom estime n’avoir à communiquer, légalement, que les renseignements nécessaires à la compréhension de la facturation. L’association Digitale Gesellschaft n’est pas d’accord. Le conseiller national Balthasar Glättli a exigé l’ensemble des données collectées à son sujet. Cela lui a été accordé à titre exceptionnel. Tout le monde a donc su qu’il existe, dans l’ombre, bien plus de données que celles livrées par Swisscom dans ses réponses standard aux demandes d’accès. Nous sommes favorables à la plus large transparence possible. Les entreprises signalent qu’il serait extrêmement coûteux de satisfaire chaque demande. Nous répondons que les progrès de la technique doivent aussi permettre la rationalisation de la procédure d’information. Pour l’heure, il appartiendra à la justice de trancher dans cette affaire Swisscom.
Le cas Moneyhouse pose-t-il un problème du même genre?
En effet. L’audience principale a eu lieu en janvier et le jugement est attendu. Ce sont les renseignements sur la solvabilité qui sont au centre de cette affaire. Moneyhouse en collecte sur l’ensemble de la population adulte. Nous reprochons surtout à cette société de traiter des données non indispensables, d’après nous, pour l’évaluation de la solvabilité d’un débiteur. Par exemple au sujet du domicile ainsi que des personnes vivant soi-disant dans le même ménage. Suivant la constellation de données, cela peut permettre de faire des déductions sur des tendances idéologiques ou des orientations sexuelles. Autant de caractéristiques dont nous voulons empêcher la diffusion.
Quelle influence avez-vous sur le traitement des données à l’étranger?
Pour Microsoft Windows 10, par exemple, nous avons recommandé d’améliorer la transparence et les possibilités d’options de l’utilisateur. L’entreprise ne doit pas se contenter de remettre 30 pages de conditions générales à celui qui veut faire un choix sur l’usage de ses données de localisation. Microsoft programmera le processus d’installation en créant, pour l’usager, un lien lui indiquant le passage concerné dans les règles de protection des données. Cela devrait être possible dans toutes les branches. De telles améliorations servent ensuite de référence pour toute l’économie.
Microsoft ne dit pas non plus aux clients tout ce qui est collecté à leur sujet.
Microsoft enregistre par exemple la manière d’utiliser le clavier. La firme sait donc ce qu’on a écrit. Nous avons exigé qu’elle déclare plus clairement dans quel but elle utilise ces informations. La durée de leur conservation doit aussi être annoncée. Et les Suisses peuvent désormais réclamer des renseignements directement à Microsoft. Avec le nouvel accord Privacy Shield, le stockage sur un Cloud aux Etats-Unis ne devrait pas affecter le droit d’accès à ses données.
Cela veut dire qu’en s’adressant à Microsoft aux Etats-Unis, les Suisses accéderont aux données conservées là-bas à leur sujet?
D’après le Règlement Privacy Shield de l’UE et l’accord équivalent de la Suisse avec les Etats-Unis, chacun peut faire valoir ses droits d’accès auprès de toutes les entreprises américaines certifiées, dont Microsoft fait partie. Ces firmes sont tenues d’informer et de proposer un mécanisme de recours indépendant en cas de désaccord sur le contenu ou l’étendue. En cas de besoin, mon service aidera les clients helvétiques à faire valoir leurs droits aux Etats-Unis. Et les autorités américaines se sont déclarées prêtes à engager des moyens supplémentaires pour la surveillance des firmes certifiées et à faire suivre nos plaintes. J’estime que cette solution est équivalente à notre niveau de protection des données. Il reste cependant à prouver que le Privacy Shield est satisfaisant en pratique, et pas seulement sur le papier. Mon service collaborera dans tous les cas activement aux évaluations annuelles prévues.
Depuis l’affaire Snowden, on sait que les autorités américaines peuvent consulter, sur la base de leur propre loi, toutes les données de Microsoft. Le nouveau traité protège-t-il les Suisses contre le traitement de leurs données par les Etats-Unis?
L’affaire Snowden a montré que des atteintes incontrôlées et systématiques aux données se sont produites aux USA, en partie au vu et au su des entreprises privées, et avec leur complicité. Je ne mettrais pas ma main au feu que cela serait impossible dans certains pays d’Europe. La question est de savoir comment trouver un compromis entre, d’une part, les besoins relatifs aux droits humains et à la protection des données et, d’autre part, les intérêts au maintien du secret, surtout dans le domaine des services de renseignement. Aux Etats-Unis, le Privacy Shield comprend un mécanisme d’ombudsman. Il prévoit la représentation du demandeur auprès des services de sécurité, afin de savoir ce qui s’est passé dans le cas concret. L’ombudsman confirme ensuite, par une réponse standard, qu’il a vérifié que tout s’est déroulé dans les règles et qu’il a fait faire les corrections nécessaires le cas échéant. Il n’en dit pas davantage. La question de l’indépendance de l’ombudsman devra être examinée dans le cadre des évaluations prévues.
Selon l’art. 6 LPD, les données personnelles ne peuvent être communiquées dans un pays étranger n’assurant pas un niveau de protection adéquat. Le nouveau Privacy Shield n’est-il qu’un prétexte pour permettre une transmission légale de données à l’étranger?
Non. Même si le Privacy Shield était abrogé par un tribunal, il n’y aurait pas, en droit suisse, d’interdiction d’exporter des données. C’est de nouveau la transparence qui est essentielle: quiconque transfert des informations doit le déclarer en bonne et due forme. Avec Windows 10 par exemple, les utilisateurs reçoivent des informations pendant l’installation, et les règles de protection des données indiquent que les données seront transférées aux Etats-Unis et, éventuellement encore, dans d’autres lieux. Selon le pays et la culture juridique concernés, au client de réfléchir s’il veut utiliser le produit.
La plupart des clients n’ont pas le choix. C’est un peu comme quand Google me demande si j’approuve ses conditions générales.
En effet, vu la prédominance des entreprises américaines ayant leur cloud dans la Silicon Valley. Ce que nous pouvons obtenir, c’est davantage de transparence.
Un projet de révision de la LPD est en cours. En quoi améliore-t-il la protection de la personnalité?
Il précise l’obligation d’informer la personne sur la récolte des données la concernant. Le projet de révision ainsi que la Convention de protection des données du Conseil de l’Europe et le nouveau Règlement général sur la protection des données de l’UE régissent aussi le mode de fonctionnement de la protection des données dans l’entreprise et par les autorités: il convient d’analyser préalablement et d’accompagner les grands projets impliquant le traitement de masses de données par des applications liées au cloud. Nous ne sommes pas opposés à ce que les entreprises tirent profit du big data. Mais, quand le matériel de base provient d’êtres humains, comme les travailleurs, les locataires ou les patients, nous voulons savoir si le nécessaire a été fait pour anonymiser les données selon les techniques en vigueur, afin d’exclure une réidentification ultérieure des personnes.
Le point principal du projet de loi est la protection de la personnalité, avec l’interdiction de collecter des données sans l’accord des personnes concernées.
C’est un principe reconnu aujourd’hui. L’idée est certes excellente. Mais son application est difficile, car, avec internet et les offres en ligne, les gens nouent des contacts dans le monde entier.
Le Règlement général sur la protection des données de l’UE entre en vigueur en mai 2018. La loi suisse sera-t-elle révisée d’ici là?
Ce calendrier est vraisemblablement trop serré. Pourtant, le fonctionnement de mon service, son pouvoir de décision et sa compétence de sanctionner devraient rapidement bénéficier de règles comparables à celles de l’UE, afin que les mêmes standards s’appliquent sur le plan européen. Avec la loi actuelle, je ne peux par exemple pas rendre de décision, mais seulement émettre des recommandations. Et, en cas de faute, les possibilités de sanction sont encore très limitées.
Vous êtes également préposé à la transparence pour la Confédération. Votre prédécesseur Hanspeter Thür émettait souvent des recommandations favorables aux personnes qui exigeaient l’accès à des documents de l’administration fédérale. Est-il vrai que celle-ci a encore de la peine à appliquer la loi sur la transparence?
L’Office fédéral de la justice œuvre à la révision de cette loi, sur mandat du Conseil fédéral. Selon moi, la loi actuelle connaît surtout des problèmes d’exécution. Elle n’est pas appliquée de la même manière par les différents secteurs de l’administration fédérale. Dans certains domaines, il existe un cumul de procédures de conciliation et de justice. C’est souvent là que l’administration fait payer l’accès aux documents officiels. Mais d’autres services n’exigent aucun émolument. Après dix ans de jurisprudence, il est étonnant que ces disparités subsistent. Avec ses recommandations écrites, mon prédécesseur Hanspeter Thür a mis en place une pratique bien établie. Il s’agit maintenant de donner la priorité à un accès plus rapide aux documents demandés.
Pourquoi ne prévoit-on pas le principe d’un accès gratuit aux documents de l’administration fédérale?
Pour moi, un argument purement commercial s’oppose à la poursuite de la pratique actuelle des émoluments. Au cours de ces dix dernières années, la Confédération a perçu en moyenne 5000 à 7000 fr. d’émoluments par an. C’est une somme ridicule, en comparaison des dépenses faites en procédures de conciliation et de justice pour évaluer le bien-fondé de ces sommes. Pour le contribuable, il serait plus avantageux que l’Etat rende l’accès gratuit aux documents officiels. Je salue par conséquent l’initiative de la conseillère nationale Edith Graf-Litscher. Elle renverse le principe de base en demandant qu’en règle générale, aucun émolument ne soit perçu.
La loi actuelle prévoit que vous émettiez une recommandation aux parties dans les 30 jours, dans la mesure où la procédure de conciliation a échoué. Ce délai est rarement respecté.
En effet, nous avons pris du retard dans l’application de la loi sur la transparence. Les conciliations ayant échoué se concluaient en principe en procédure écrite, par des recommandations motivées. Cela durait généralement plus de 30 jours. Comme mon prédécesseur n’a pas obtenu de personnel supplémentaire et que nous ne pouvons pas non plus compter là-dessus en raison des projets d’épargne de la Confédération, je mène maintenant des conciliations par oral, en présence des parties. Cela accélère considérablement la procédure. C’est aussi dans l’intérêt des journalistes de ne pas attendre des documents pendant des mois.
Vous avez auparavant travaillé pour la police fédérale, qui attache beaucoup d’importance à la discrétion et collecte une grande quantité de données. Le changement de perspective ne vous pose-t-il pas de problème?
L’Office fédéral de la police traite en effet énormément de données personnelles. J’ai dirigé pendant des années le service juridique, et j’étais à ce titre directement responsable de la protection des données et de la transparence. Dans ma dernière fonction de directeur d’office suppléant, j’endossais aussi la responsabilité hiérarchique pour ces questions. Avec mon nouveau poste, je suis donc en terrain connu.
Vous sentez-vous aujourd’hui plutôt lié au citoyen ou plutôt à la Confédération?
Il est clair pour moi que le citoyen a un droit inconditionnel à la transparence. Cela va dans dans l’intérêt de l’Etat de droit. Mais je suis aussi préposé à la protection des données. Et il arrive que dans l’un ou l’autre dossier, la protection de la personnalité et la transparence se contredisent. C’est un avantage que les deux fonctions soient réunies, car nous sommes habitués à opérer une pesée des intérêts entre la protection des données et la transparence. Dans certains cas de figure, malgré la légitimité du droit à la transparence, je fais pencher la balance en faveur de la sphère privée de la personne concernée.
