plaidoyer: Vous avez été Préposé fédéral à la protection des données pendant 14 ans. Avez-vous pu améliorer la protection juridique des citoyens contre les collecteurs de données?
Hanspeter Thür: Beaucoup de choses ont changé pendant cette période. Par exemple, Google n’était, en 2001, qu’une petite entreprise avec quelques millions de bénéfice et les réseaux sociaux, comme Facebook et WhatsApp, ne sont apparus qu’en 2005. La numérisation ne s’est développée à grande vitesse que dans les 10 à 15 dernières années. Le stockage des données a énormément augmenté en très peu de temps.
Un Préposé étatique peut-il lutter efficacement contre la récolte croissante d’informations privées?
Le développement informatique n’a pas tenu compte de la législation. Le droit a capitulé devant le pouvoir des faits. Prenons Google, par exemple: la situation juridique a toujours été claire. On ne peut pas filmer des gens et propager ces images dans le monde entier. Nous avons essayé de nous opposer à cette évolution par des moyens juridiques.
Y avez-vous réussi? Les multinationales se fichent pourtant de la protection suisse des données.
Dans le cas de Google, nous sommes allés jusqu’au TF. Qui a défini pour la première fois ce qu’une telle société peut photographier dans l’espace public. Il a rappelé que le droit à l’image existe aussi à l’ère d’internet et que les visages doivent, par conséquent, être floutés. Et Google a appliqué cette décision. Dans un autre cas, le TF a interdit à une entreprise suisse d’identifier des utilisateurs d’ordinateurs par leur adresse IP. Dans une troisième affaire, la justice nous a donné raison s’agissant d’un portail permettant d’évaluer anonymement des professeurs, des avocats ou des médecins. Il aurait fallu l’accord préalable de ces personnes. Avec l’anonymat, il y avait aussi le risque de répandre de fausses informations. Nous avons ainsi pu mettre le holà à de nouvelles pratiques qui voulaient passer par-dessus le droit en vigueur.
Les données valent de l’or. Même des entreprises soutenues par l’Etat comme Swisscom, les CFF et La Poste, en collectent autant que possible, afin de pouvoir les vendre à la branche publicitaire. N’y-a-t-il pas de limites juridiques à une telle exploitation de données privées?
Une action contre Moneyhouse est actuellement pendante devant le Tribunal administratif fédéral. Cette entreprise vend, entre autres, des données sur la solvabilité de particuliers et d’entreprises. Il est légal de récolter des informations à cet effet, mais Moneyhouse va plus loin. Nous avons constaté que des renseignements de toutes sortes permettent de dresser des profils de personnalité, sans que les personnes aient été informées ni aient pu donner leur accord. Nous avons fait une série de recommandations, mais Moneyhouse ne les a pas toutes acceptées. Nous avons donc saisi la justice.
Facebook, Google & compagnie s’immiscent toujours davantage dans la sphère privée des gens. Ils veulent savoir ce qu’ils pensent et ressentent. Ils exploitent pour cela toutes les informations, y compris le cercle d’amis. Ils obtiennent le consentement par le biais des conditions générales (CG).
Les CG doivent clairement indiquer ce que l’entreprise fait des données des clients. Le problème, c’est qu’elles sont si peu compréhensibles et si peu visibles qu’elles échappent complètement au citoyen moyen. Peu de gens lisent les petites lettres des contrats, qui occupent parfois quatre à cinq pages A4, alors qu’elles permettent souvent la collecte d’un tas de renseignements.
Celui qui télécharge une application doit donner à l’entreprise un droit d’accès. Ce modèle d’affaires ne fait-il pas sauter tout le système de la protection des données?
Il faudrait fixer un nouveau principe au niveau législatif. Il prévoirait que les produits proposés aux clients respectent le plus possible leur sphère privée. Prenons l’exemple de Google Maps: si j’ai désactivé la géo-localisation et que je veux utiliser Google Maps, je dois à nouveau activer la géo-localisation. Sinon l’application ne fonctionne pas. Si je quitte à nouveau Google Maps, je devrais pouvoir en déduire que le service de localisation est une nouvelle fois inactivé. Mais c’est le contraire qui se passe.
Cela montre que l’actuelle législation sur la protection des données ne peut pas garantir de protection effective de la personnalité.
En effet, la loi actuelle ne suffit pas. C’est pourquoi l’Office fédéral de la justice a reçu le mandat de préparer un projet de révision d’ici l’été prochain (lire aussi plaidoyer 1/2016). En parallèle, l’UE est en train de réviser son règlement sur la protection des données. J’ai cependant des doutes sur la volonté du Conseil fédéral d’apporter les améliorations qui seraient nécessaires. Certains milieux politiques ont déjà fait connaître leur opposition.
La réforme européenne de la protection des données doit entrer vigueur en 2018. Selon elle, Google, Facebook & compagnie devraient requérir le consentement pour l’utilisation des données. Est-ce un progrès, ou bien juste une ligne de plus dans les conditions générales?
Le règlement de l’UE apportera des améliorations substantielles sur plusieurs points. Ce serait déjà un gros progrès si la Suisse les reprenait. Quand l’UE durcit ses lois, se pose toujours, en Suisse, la question de savoir si l’on offre un niveau de protection équivalent. Car c’est la condition pour qu’un transfert de données puisse se faire entre la Suisse et l’UE.
Les entreprises américaines, comme Google et Facebook, peuvent faire ce qu’elles veulent, malgré la protection des données en Suisse et dans l’UE. Il existe dans le monde différents niveaux de protection des données. Où se situe la Suisse?
Notre protection est comparable à celle de l’UE. Il y a régulièrement des contrôles. Pendant mon mandat, j’ai eu deux fois la visite de Commissions de contrôle de l’UE, venues examiner notre législation et son application. Pour faire partie de l’Espace Schengen, la Suisse doit prouver qu’elle dispose d’une protection des données équivalente.
L’Etat cherche aussi à amasser des informations sur ses citoyens, via les impôts, les assurances sociales, le système de santé ou encore ses grandes entreprises, telles que Swisscom et La Poste. Sans parler du Service de renseignement, qui réclame de nouveaux instruments légaux pour la collecte de données privées. N’y a–t-il vraiment rien à faire contre cette boulimie étatique?
L’Etat doit se montrer moins actif dans la quête de données personnelles. Les entreprises privées mettent déjà beaucoup à disposition. L’Etat n’a plus qu’à les piquer… Aux Etats-Unis par exemple, le Patriot Act permet à l’Etat de se saisir des données de toutes les entreprises stratégiques.
Avec la nouvelle loi sur le renseignement, le Service de renseignement peut récolter des données privées même en l’absence de soupçon qu’une infraction a été commise. C’est un blanc-seing. Et le citoyen n’a pas de droit d’accès.
Oui, c’est délicat et dangereux. En tant que Préposé, je l’ai toujours dit. C’est le problème de la collecte à grande échelle. Il est important que le citoyen puisse évaluer à quel point il est concerné. Il n’a pas intérêt à ce que l’Etat rassemble à son sujet des informations qui pourraient être fausses.
Le meilleur moyen de contrôle serait d’introduire une obligation de notification ultérieure. Sans cela, les citoyens ignorent ce que le Service de renseignement se permet de faire.
Après les attaques terroristes de New York, les autorités suisses ont raisonné un peu comme aujourd’hui dans la prétendue situation de menace islamique: elles ont dit qu’il n’y aurait que peu de cas dans lesquels elles traiteraient les données comme des sources accessibles publiquement. Le conseiller fédéral Ueli Maurer a parlé d’une dizaine de cas seulement par année, dans lesquels le Service de renseignement utiliserait cet instrument problématique.
Mais la loi n’en dit rien. Qui peut assurer qu’on en restera à une dizaine de cas? Pouvez-vous garantir qu’on n’assistera pas de nouveau à un scandale des fiches?
On ne peut pas exclure un abus. Ma stratégie consistait à dire que le Service de renseignement ne pourrait toucher à la sphère privée que si un contrôle politique et juridique était mis en place. Selon la nouvelle loi sur le renseignement, il faut une autorisation au cas par cas du Tribunal administratif fédéral. Ensuite, l’intervention doit être ordonnée par le chef du Département de la Défense (DDPS), après consultation des directeurs du DFAE et du DFJP. C’est donc à l’exécutif d’assumer la responsabilité pour ces graves atteintes à la sphère privée.
En Russie aussi, le gouvernement contrôle les services de renseignement. Personne ne prétendrait que c’est un contrôle efficace.
Il ne s’agit pas seulement de contrôle, mais aussi de responsabilité. La nouvelle loi prévoit un organe de contrôle indépendant, à savoir une commission extérieure à l’administration, qui examinera, après coup, la légalité et l’opportunité de l’intervention.
Ce n’est qu’un contrôle de l’administration, mais pas une protection juridique pour les personnes concernées. Le citoyen surveillé n’a pas une position de partie devant cette commission et n’a pas non plus la possibilité d’exiger l’accès aux données collectées à son sujet.
En effet. Mais ce contrôle indépendant est malgré tout important. S’il fonctionne correctement, il permettra de surveiller le nombre de cas. Cela se remarquera vite si, au lieu des dix envisagés, il y en a une centaine par année.
Pour vous succéder, le Conseil fédéral a retenu Adrian Lobsiger, directeur suppléant de l’Office fédéral de la police. Comment expliquez-vous qu’un gouvernement ait fait son choix dans le camp des collecteurs acharnés de données?
Je ne commente pas le choix de mon successeur.
Le droit à la sphère privée ne cesse de s’éroder. Dans ces conditions, avons-nous encore besoin d’un Préposé à la protection des données?
En effet, la sphère privée est gravement menacée. On estime aujourd’hui que la montagne de données double tous les 12 à 18 mois. Le Préposé sert au moins de système d’alerte. Le fait même de décrire ce qui se passe est important. Ce serait dangereux s’il n’y avait plus personne pour faire ce travail, qui est nécessaire pour pousser les politiciens à agir.
Des entreprises privées tentent de limiter le trafic des paiements en espèces. Qu’en pensez-vous?
Un trafic de paiements sans espèces serait extrêmement dangereux et mènerait à une disparition de la sphère privée. Ce problème occupera intensément mon successeur.
Vous avez fourni un travail de pionnier en Suisse. Dans quelle mesure avez-vous collaboré avec les préposés des autres pays?
Cette collaboration a été importante. Il existe un congrès annuel sur le plan européen et un congrès mondial. Ce sont des forums fructueux. On travaille tous sur les mêmes problèmes. Et les succès dépassent les frontières: après l’arrêt de la Cour de justice de l’UE sur Google, il y a eu un arrêt canadien se référant à un arrêt du Tribunal fédéral. La femme qui avait été prise en photo avec la poitrine dénudée par Google Street View a finalement reçu une indemnité.
La protection de la personnalité n’a malgré tout aucune chance face à la récolte des données.
Se pose en effet la question de savoir si nous sommes à la hauteur de cette évolution. Nous courons toujours derrière. Toute la législation est confrontée à un domaine extrêmement mouvant. Nous devons parler d’une révolution numérique. C’est un thème majeur de notre siècle, qui mènera à de grands bouleversements d’ici peu. Si cela continue, la sphère privée deviendra un luxe réservé à un petit nombre de gens qui pourront se le permettre. Et, pour l’immense majorité, ce ne sera plus qu’une illusion.
