plaidoyer: Le Conseil fédéral a chargé le Département de justice et police de lui soumettre un avant-projet de révision de la loi fédérale sur la protection des données au plus tard à la fin d’août 2016. Cette modification devra permettre à la Suisse de ratifier la révision de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel. Le législateur suisse et européen est-il débordé par les avancées technologiques?
Bertil Cottier: Tout-à-fait. On peut dire qu’au niveau des institutions, on n’est plus armé pour répondre à des défis technologiques qui se développent à grande vitesse. La législation communautaire sur la protection des données date de 1995, avant la large utilisation d’internet que nous connaissons aujourd’hui. Qui aurait prédit alors la mondialisation des flux de données via les réseaux sociaux, l’informatique en nuage, soit le stockage de documents sur des serveurs situés à l’étranger, les moteurs de recherche et les services de géolocalisation qui augmentent les risques de perte de contrôle des données personnelles? Je constate que l’Union Européenne ne se limite plus désormais à une directive en matière de protection des données, prévoyant des principes généraux et laissant une marge de manœuvre aux Etats pour l’implémenter, mais veut un règlement instaurant une législation contraignante unique, jusque dans les détails, pour les 28 Etats. Quand ce règlement sera prêt, la révision de la Convention du Conseil de l’Europe, dont le projet est aujourd’hui rédigé, pourra être soumise à ratification et signature.
plaidoyer: Le rapport du groupe de travail chargé d’émettre des propositions de réforme de la LPD1 met en lumière la faiblesse des pouvoirs actuels du Préposé. Si une action menace un grand nombre de personnes, il peut certes émettre une recommandation, mais, si l’entreprise visée ne la suit pas, la procédure judiciaire peut prendre des années. De leur côté, les particuliers agissent peu en justice par crainte des coûts.
Bertil Cottier: C’est le parcours du combattant! Il faut que le Préposé soit doté d’un pouvoir de décision comme ses homologues belge ou français, afin de pouvoir régler ces litiges rapidement, efficacement et à peu de frais. Il doit pouvoir prononcer des amendes dont le montant soit contraignant et dissuasif lors d’utilisation abusive de données, tout en restant proportionné au chiffre d’affaires des entreprises. Parallèlement, il devrait avoir des pouvoirs réglementaires pour répondre à des problèmes précis, tels l’utilisation de drones pour prendre des images, le stockage de documents sur des serveurs basés à l’étranger (informatique dans le nuage) ou les objets interconnectés. Si ces pouvoirs sont efficaces, cela suffit et il n’est pas besoin de réduire les frais d’actions en justice, qui ne séduiront de toute façon ni le citoyen ni le consommateur. Je ne crois pas non plus à toute approche créant des droits symboliques illusoires, comme le droit de tout un chacun à l’autodétermination sur ses propres données forgé par la Cour constitutionnelle allemande à une époque où le partage d’information généré par les réseaux sociaux n’existait pas ou un quelconque droit à la propriété sur ses données comme le prônent en Suisse certains milieux académiques.
plaidoyer: La vidéosurveillance, l’analyse statistique de masses impressionnantes de données (ce qu’on nomme le «Big Data»), le commerce électronique ou l’informatique en nuage seraient susceptibles, selon le groupe de travail, d’être régis par une liste de «bonnes pratiques». Une présomption légale, selon laquelle un traitement serait licite si elles sont observées, garantirait leur respect. Dès lors qu’elles restent non contraignantes, cela suffira-t-il à les faire respecter?
Bertil Cottier: J’étais contre cette idée-là. L’idée de bonne pratique responsabilise un secteur commercial; mais l’autoréglementation a eu jusqu’alors des effets faiblement contraignants. Ces bonnes pratiques devraient au moins être avalisées par le Préposé, afin que les intérêts des personnes concernées par le traitement de données ne passent pas après ceux des milieux qui s’autoréglementeront. Un des problèmes actuels est que la loi est illisible pour le citoyen, qui ignore ce qu’est un intérêt privé prépondérant. La LPD devrait être une loi-cadre qui pose des principes généraux – comme la bonne foi ou le principe de finalité – mais elle doit être complétée par des règlements contraignants permettant de savoir ce que l’on peut faire et ne pas faire.
plaidoyer: On constate un désintérêt des citoyens par rapport au fait que certains systèmes permettent la collecte d’un grand nombre de données, par exemple sur les habitudes de consommation avec les cartes de clients promettant de faibles rabais sur leurs achats. Comment combattre ses effets?
Bertil Cottier: On s’accommode de bien des choses; par narcissisme, on étale sa vie privée sur les réseaux sociaux; parce que cela me permet de ne pas attendre trop aux frontières, j’ai moi-même livré les données permettant d’établir un passeport biométrique. Quand on crée un système de traitement de données, on devrait le concevoir de manière à minimiser l’impact, soit faire un paramétrage par défaut qui ménage le plus la protection des données. Il y a certains progrès: Google a fait l’effort d’expliciter avec des mots simples sa politique en matière de protection de la sphère privée. Cela permet de comprendre qu’il est possible de l’interpeller directement pour ôter une photo sur un site référencé, une procédure simple et souvent couronnée de succès.
plaidoyer: Que pensez-vous de l’obligation, pour les entreprises d’une certaine taille (plus de 250 équivalents plein-temps), d’avoir un conseiller à la protection des données?
Bertil Cottier: C’est une mesure en vigueur en Allemagne qui peut être bonne si ce conseiller, pour être entendu, a une certaine indépendance sur les recommandations qu’il fait à l’entreprise. Il pourrait servir de relais au Préposé et, parce qu’il connaît le domaine spécifique d’activité, agir plus efficacement. J’étais aussi favorable à ce qu’on utilise les compétences des préposés cantonaux en matière de médiation et de conciliation, mais cela a été balayé.
plaidoyer: N’est-il pas paradoxal qu’on propose de supprimer de la LPD la notion de «profil de personnalité», au moment où les nouvelles technologies de l’information permettent la prise de décisions ayant des effets juridiques sur la base de profilage informatique reposant sur des données statistiques?
Bertil Cottier: C’est une norme typique de la loi suisse de protection des données qui aurait exigé un examen approfondi, car les collectes du «Big Data» correspondent exactement à la notion de profil de personnalité. Ce problème a été réglé trop vite et nécessiterait un réexamen.
plaidoyer: Passons au traitement de données par les organes fédéraux: dans un arrêt 1C.66/215 du 12 novembre dernier, le Contrôle fédéral des finances a été contraint d’annoncer l’existence d’un fichier de «whistleblowers» au Préposé. Certains fichiers exigent-ils une protection particulière?
Bertil Cottier: Les milieux de protection des données s’opposent à l’anonymat des «whistleblowers»; mais, si l’on veut s’assurer un minimum de dénonciations d’abus crasses, cet anonymat doit être garanti aux donneurs d’alerte, qui doivent être particulièrement protégés pour éviter le licenciement.
plaidoyer: Les milieux économiques s’entendent pour dire que cette réforme est inutile et qu’il convient de ne rien faire. Une réelle menace pour la future loi?
Bertil Cottier: Je comprends le souci de vouloir s’assurer qu’un partenaire commercial est solvable en le vérifiant sur internet ou auprès d’autres sources, mais il serait exagéré d’en tirer un motif pour faire échouer la loi. Cette opposition des milieux économiques n’est pas nouvelle, mais à prendre au sérieux: economiesuisse juge aujourd’hui la LPD parfaite, alors que, lorsqu’on l’a votée, elle disait que l’art. 28 CC suffisait.
plaidoyer: Que pourrait apporter la Haute Autorité du numérique que vous appelez de vos vœux dans votre article sur le droit suisse du cyberespace (RDS 134/2015 II pp. 195-257)?
Bertil Cottier: Cette idée, qui revient à dire au Parlement qu’il ne serait plus compétent dans certaines matières, est difficile à faire passer. Mais, aux démarches sectorielles actuelles – comme pour la réforme du droit d’auteur –, je préférerais une approche globale de la part de personnes choisies pour leur compétence, afin de savoir quelle conduite adopter en matière de drones, d’informatique en nuage, etc. Cela fait 20 ans que j’enseigne aux journalistes stagiaires du Centre de formation romand des journalistes, et leurs questions ne portent plus que sur ce qu’on peut faire à l’aide de caméras cachées, de drones ou de photos prélevées sur l’internet. Une Haute Autorité du numérique pourrait y répondre.
Par ailleurs je pense que le mélange de genres qui fait du Préposé à la protection des données la personne chargée d’assurer la transparence de l’administration n’est pas heureux. Ce sont deux domaines différents, régis par deux logiques différentes, et il convient d’affecter à la transparence une autorité indépendante spécifique.
