En vigueur dès le 25 mai 2018, le Règlement général sur la protection des données de l’Union européenne (RGPD UE) vaut pour tous les pays membres. Mais pas seulement. Les entreprises et les organisations de pays tiers doivent aussi le respecter, du moment que les données personnelles de ressortissants européens sont concernées. La Suisse ne fait pas exception. Dès lors, 80% des sociétés et des organisations installées dans le pays devront ainsi suivre le RGPD.
Ce nouveau règlement permet aux citoyens de mieux contrôler la gestion et l’exploitation de leurs données personnelles. Il leur accorde une ribambelle de droits. Parmi eux, celui d’être informés lorsque des données sont collectées (art. 13), celui d’avoir accès auxdites données (art. 15), celui de les rectifier (art. 16) ou encore le tout nouveau droit à l’effacement («droit à l’oubli», art. 17).
Tous ces droits ont un point commun: le responsable du traitement des données joue un rôle actif, tandis que la personne concernée n’agit que de manière réactive. Gestion, rectification, effacement ou tout autre action en lien avec les données personnelles restent en effet de la compétence du responsable du traitement. La personne dont il est question ne peut que réagir à ces démarches.
Portabilité
Une autre nouveauté vient toutefois bousculer cette répartition des rôles: le droit à la portabilité des données (art. 20). Désormais, le responsable du traitement – par exemple, la banque A – a l’obligation de remettre les données, ou du moins une copie de celles-ci dans un format lisible par machine, à la personne qui en fait la demande. Cette dernière a ensuite le droit de les transmettre à un autre responsable du traitement – par exemple, la banque B. Le citoyen joue ainsi un rôle actif et responsable, à l’inverse de celui qu’il détient en principe. C’est un véritable changement de paradigme, qui découle sans doute de la révolution technologique de ces quarante dernières années.
Le traitement des données s’est en effet largement étendu. Internet accessible à tous, expansion massive des appareils numériques… Chacun a désormais accès à (presque) tout. Cette maîtrise des internautes de leurs propres données s’articule autour d’un nouveau défi: l’autodétermination informationnelle, c’est-à-dire la capacité pour tout un chacun d’être maître des informations qui le concernent.
Rester lié au prestataire
La portabilité permet de passer facilement d’un prestataire de services à un autre. Elle protège le client, en lui évitant de devoir rester lié à un prestataire de services (situation de «lock-in»). Ce qui est aujourd’hui le cas sur de nombreuses plateformes internet, de services de streaming ou encore de réseaux internet. Ce droit de portabilité renforce par ailleurs la liberté de choix du client, dans des domaines comme la télécommunication, les services financiers ou le secteur des assurances.
L’article 20 RGPD va plus loin. Il permet au client de transmettre ses données d’un prestataire à un autre, mais aussi de combiner plusieurs prestataires de services. La portabilité renforce ainsi également la concurrence, tout en restant dans l’intérêt du client.
Ce nouveau droit permet par ailleurs d’utiliser certaines données au-delà de l’offre de services, dans un but commercial ou non. On pense par exemple aux données de consommation, très instructives dans le cadre d’une analyse des habitudes alimentaires. Mais aussi aux données médicales, qui facilitent pour leur part les études cliniques. A noter que le droit à la portabilité ne peut être utilisé que si le traitement des données est basé sur le consentement de la personne ou sur un contrat.
Eclaircir certains points
Pour l’heure, l’application du droit à la portabilité est relativement mystérieuse. Les défis et les questions ouvertes restent alors nombreux.
1. De quelles données s’agit-il?
Les «données à caractère personnel, fournies à un responsable du traitement», lit-on à l’art. 20 RGPD. Si large soit-elle, cette formulation touche en particulier deux genres de données: celles qui sont saisies de manière active et consciente, comme par exemple dans le cadre d’un formulaire internet, ainsi que celles qui sont liées à une activité, à l’instar des données de localisation générées par un appareil mobile. A l’inverse, les données découlant d’analyses ou d’évaluations n’entrent pas en considération.
Le droit à la protection de tiers doit par ailleurs toujours être pris en compte, sachant qu’il arrive souvent que l’utilisation de données renvoie à d’autres personnes – par exemple, dans le cadre d’un ordre de paiement.
2. Quelles mesures prendre pour garantir la portabilité?
Le responsable du traitement doit mettre à disposition de la personne concernée, ou d’une autre personne désignée responsable par cette dernière, les données contestables dans un «format structuré, couramment utilisé et lisible par machine». Les mesures à prendre dépendent alors de deux éléments. D’une part, du nombre de personnes faisant valoir leur droit à la portabilité. D’autre part, de la quantité de données en cause.
Il n’existe à l’heure actuelle pas assez de données empiriques pour juger de la faisabilité de telles mesures. La plupart des entreprises se montrent en effet plutôt réticentes face à la mise en œuvre de la portabilité. Il serait pourtant indispensable qu’elles instaurent des standards propres à leur branche respective. Ce n’est en effet qu’ainsi que le client disposera d’une véritable liberté de choix, telle que le préconise l’art. 20 RGPD.
3. Comment faire valoir son droit à la portabilité?
La première condition coule de source: la personne concernée doit savoir de quelles données il s’agit. L’article 12 RGPD règle ensuite les modalités de l’exercice de ses droits. Il en découle trois approches:
• l’interaction, directe et sous le contrôle de la personne, entre le responsable qui fournit les données et celui qui les reçoit (approche du «Consent Management»);
• l’installation de plateformes spécifiques pour la gestion des données personnelles («Personal Information Management Information System»);
• la mise en place de prestataires de services spéciaux qui détiennent, à titre fiduciaire pour le compte du client, le droit à la portabilité («données traitées par une société fiduciaire»).
L’une de ces approches va-t-elle s’imposer? D’autres variantes vont-elles s’ajouter? Pour l’heure, ces questions restent elles aussi ouvertes.
Réticence suisse
Le droit à la portabilité peine à trouver sa place dans la révision de la loi fédérale sur la protection des données (LPD). «Le Conseil fédéral juge opportun d’attendre les résultats des expériences au sein de l’Union européenne avant d’envisager d’introduire un droit à la portabilité des données en Suisse», peut-on ainsi lire dans un communiqué. Mais encore: «De l’avis du Conseil fédéral, ce droit vise plus à permettre aux personnes de réutiliser leurs données, afin de faire jouer la concurrence, qu’à protéger leur personnalité. La mise en œuvre de ce droit paraît dès lors problématique.»
Le Conseil fédéral invoque deux arguments à l’appui de sa position réservée et attentiste. D’une part, la difficulté liée à la coordination des données, «dans la mesure où elle suppose une concertation des responsables du traitement et sans doute un accord – au moins implicite – sur les supports et les standards informatiques utilisés.» D’autre part, les coûts que l’introduction d’un tel droit pourraient entraîner.
Si importants soient-ils, ces défis liés à la coordination technique et aux éventuels frais supplémentaires ne nous semblent pourtant pas justifier une attitude réticente. D’autant plus que la portabilité des données n’aura d’autre choix que de s’inscrire dans la législation suisse, sachant que 80% des entreprises et des organisations du pays y seront soumises.
Mieux vaudrait alors profiter de l’entrée en vigueur du RGPD pour apporter des solutions innovantes à la gestion des données personnelles. Plutôt que d’attendre, la Suisse pourrait instaurer des standards et, ainsi, devenir pionnière en matière d’autodétermination informationnelle.
