Avant-propos

En finir avec le Far West numérique

Ainsi titrait la NZZ dans l'une de ses récentes éditions, en allant à l'essentiel: le débat sur le big data et l'Internet des objets bat son plein et révèle en même temps de graves lacunes en matière de réglementation. C'est un thème qui ne laisse personne indifférent: analystes de tendances, représentants des milieux économiques, scientifiques, éthiciens et autres spécialistes ont en ont analysé les possibilités et les dangers sous ses différents aspects. Alors que les uns critiquent ce qu'ils nomment le Far West numérique et réclament des règles, les autres applaudissent au potentiel économique immense des mégadonnées (big data) et répandent une ambiance de ruée vers l'or. J'ai moi-même participé à de nombreux colloques et vécu de près cette controverse. Les avis sont unanimes au moins sur un point: cette évolution est un très grand défi pour la protection de la sphère privée.

Dans son livre «La nouvelle société du coût marginal zéro», Jeremy Rifkin relève l'énorme potentiel de la révolution numérique avec l'Internet des objets, tout en estimant que «le problème de la sphère privée demeurera une préoccupation majeure qui déterminera dans une large mesure tant le rythme de la transition que les chemins que nous emprunterons dans la prochaine période de notre histoire». Toutefois, les solutions proposées ne pourraient pas être plus différentes. Alors que les uns mettent en garde contre des répercussions majeures, d'autres réclament l'abolition de la sphère privée, arguant que dans l'Antiquité, elle n'existait pas, ce qui signifie en définitive ceci: si nous voulons profiter pleinement du progrès technique, nous devons jeter par-dessus bord les idées héritées de la philosophie des Lumières et nous soumettre à terme à des formes sociales autoritaires - tout comme les esclaves de l'Antiquité! Rifkin emprunte une autre voie et pose une question centrale, à savoir comment garantir, dans ces circonstances, une communication ouverte et transparente tout en assurant que les données d'une personne ne soient pas traitées sans son autorisation et de manière dommageable pour elle?

Qui gagnera cette bataille? Nous en saurons plus dans dix ans. C'est le temps qu'il nous faudra probablement attendre pour que le potentiel de cette évolution technique se déploie pleinement. En effet, l'Internet des objets, le grand fournisseur des mégadonnées du futur, n'en est qu'à ses débuts. Certes, avec le protocole Internet IPv6, les conditions techniques sont réunies pour qu'un nombre illimité d'objets soient munis d'adresses IP, permettant une communication à travers la Toile. Mais la mise en oeuvre économique prendra encore du temps. Si nous voulons influencer le cours des choses, les règles doivent être rapidement adaptées, sinon le développement technique nous placera devant le fait accompli. La question sera aussi de savoir si l'Europe a la volonté de poser des limites au monopole néo-féodal de Google, Facebook, Amazon et consorts. Les premières voix s'élèvent au sein des gouvernements européens qui menacent ces géants mondiaux de mesures antitrust. La Suisse doit elle aussi se positionner face à cette révolution technologique et en peser les avantages et les inconvénients. Nous devons instaurer un débat social profond et mettre en place une stratégie de la société numérique. J'espère vivement que la Commission Rechsteiner, qui doit livrer ses résultats d'ici la fin de l'année 2017, donnera un élan important qui se manifestera également dans la révision de la loi sur la protection des données (LPD).

Après les attentats de Paris et de Copenhague, rien d'étonnant à ce que la nouvelle loi sur le renseignement, qui met à la disposition du Service de renseignement des moyens supplémentaires permettant de récolter des informations, ait aisément franchi l'obstacle parlementaire. Quant à savoir si cette loi devra passer en votation populaire, la question demeure ouverte pour l'instant. Dans le contexte des révélations d'Edward Snowden, nous pouvons nous demander si notre pays marche sur les pas des États-Unis en se dotant d'un «Patriot Act» suisse et ouvre ainsi la voie à une surveillance totale. Toutefois, nous devons ici faire une distinction: aussi sceptique l'on puisse être, il faut souligner que les mesures de surveillance ne pourront être prises que dans des cas concrets, sur mandat de l'autorité judiciaire et avec l'autorisation de la Délégation du Conseil fédéral pour la sécurité. Le conseiller fédéral Ueli Maurer et le Service de renseignement soulignent qu'il ne s'agit que d'une douzaine de cas par an. Il incombe donc au contrôle parlementaire, exercé par la Délégation des Commissions de gestion, de veiller à ce que ce cadre soit respecté.

Même si l'on comprend que la protection de l'État puisse requérir des compétences supplémentaires, le projet soumis au Parlement n'en demeure pas moins quelque peu préoccupant. Surtout parce que les compétences de la protection de l'État vont, pour certaines, plus loin que celles des autorités de poursuite pénale. Contrairement à ces dernières, le Service de renseignement n'a pas besoin de soupçons concrets pour recourir à des mesures de contrainte. Une question, entre autres, reste ouverte: qu'advient-t-il lorsque les services de renseignement se heurtent à des infractions pénales? Il est important de clarifier ce point, d'autant plus que la révision actuellement en cours de la loi sur la surveillance des télécommunications prévoit de doter aussi les autorités de poursuite pénale de moyens supplémentaires, notamment de chevaux de Troie gouvernementaux.

Le numéro AVS continue à se propager en tant qu'identificateur personnel dans différents domaines administratifs en dehors des assurances sociales. Cette année par exemple, il s'agit du Registre du commerce. Nous nous sommes engagés pour qu'à l'instar de la loi sur le dossier électronique du patient (LDEP), la Centrale de compensation crée un identificateur indépendant de l'AVS. La résistance du Registre du commerce a été en partie vaincue au cours de la procédure de consultation des offices. Le Registre du commerce devra mettre dorénavant en place un identificateur sectoriel issu du numéro AVS et empêchera ainsi une utilisation directe de celui-ci. Nous aurions préféré une solution indépendante du numéro AVS, comme dans le cas du dossier électronique du patient. Nous déplorons aussi que différentes approches aient été ainsi mises en place dans différentes unités administratives. Le Conseil fédéral devrait se pencher sur cette question dans l'optique de parvenir à une pratique uniforme. Il faut prendre une décision de principe sur la licéité de l'utilisation généralisée du numéro AVS en tant qu'identifiant personnel unique,
étant donné les risques encourus au niveau des droits fondamentaux.

Les plateformes d'information en matière économique ont aussi constitué pour nous un thème majeur au cours de l'année sous revue, plus précisément la multitude de données que ces plateformes traitent, telle Moneyhouse, bien loin du seul but de vérification de la solvabilité. À la suite de nombreuses plaintes, nous avons examiné de près la pratique de cette entreprise et avons ensuite formulé de nombreuses recommandations. Celles-ci ont été en partie acceptées. Nous allons à présent soumettre les aspects pour lesquels il n'a pas été possible de trouver un accord au Tribunal administratif fédéral afin de clarifier la situation juridique.

Plus positivement, mentionnons l'évolution observée dans le secteur de la santé. Dans le cadre de l'introduction des montants forfaitaires par cas (le système SwissDRG) et de l'augmentation des flux de données qui en découle, nous avons obtenu que le tri des factures numérisées soit fait conformément aux exigences de la protection des données, au sein des assurances-maladie, par des services de réception des données indépendants et certifiés placés sous la surveillance du PFPDT. Depuis leur création, nous avons contrôlé de nombreux services de réception des données et mis au point des directives. Aujourd'hui, nous sommes en mesure de constater que ce nouveau concept a été mis en oeuvre selon nos attentes et que cela contribue considérablement à ce que les flux de données dans le domaine de la santé soient régulés et gérés selon des critères uniformes.

Actuellement, la tendance est à la délocalisation de services dans le nuage. A ce propos, régulièrement, des organes de la Confédération nous demandent s'ils peuvent confier des traitements de données à des fournisseurs étrangers. Nous avons fermement rappelé qu'il leur incombe de gérer avec une grande circonspection les données personnelles des citoyens et de les protéger d'un accès non autorisé par des autorités étrangères. Il convient donc en général de renoncer à ce type de délocalisation. Mais pour les particuliers aussi, il est de en plus difficile d'utiliser des appareils sans recourir aux traitements dans le nuage. Jusqu'ici, les appareils mobiles pouvaient être sécurisés ou synchronisés localement. Les produits de dernière génération obligent l'utilisateur à transférer ses données personnelles vers des centres de données inconnus. Les fabricants mettent ainsi les utilisateurs sous tutelle et en définitive leur ôtent le contrôle de leurs propres données.

Le 16 avril 2014, le Conseil fédéral a adopté la stratégie de libre accès aux donnéespubliques en Suisse pour la période 2014-2018. Cette décision a incité les milieux concernés à poser au Conseil fédéral des questions sur le potentiel économique d'une utilisation novatrice des données dans les domaines de l'énergie, des transports et de la santé, ainsi que sur le positionnement de la Suisse dans la course mondiale aux données. De notre point de vue, il est important que le Conseil fédéral ait souligné dans sa réponse qu'il entendait examiner d'ici à la fin de l'année les champs d'action prioritaires dans le domaine des mégadonnées, notamment en ce qui concerne la protection des données et le droit à disposer de ses données personnelles. Nous allons suivre attentivement cette question, aussi et surtout dans la perspective de la révision de la LPD.

Dans le contexte du principe de transparence dans l'administration, l'on mentionnera l'arrêt déterminant du Tribunal administratif fédéral qui a appuyé notre recommandation concernant la Commission pour la technologie et l'innovation. Le Tribunal a conclu que le public a un intérêt majeur à savoir comment les deniers publics sont utilisés dans le contexte de la promotion de l'innovation. Il y a un an, j'avais exprimé la crainte que l'évaluation concernant la loi sur la transparence (LTrans) puisse se transformer en invitation à affaiblir la loi. Cela surtout parce que l'initiative de l'évaluation avait été prise par certains offices qui considèrent que cette loi entrave leur action. Ce rapport est maintenant disponible. Il est analysé en détail au chapitre 2.4.1. Relevons avant tout un sujet de satisfaction pour nous: la procédure de médiation telle que nous la pratiquons a été très bien acceptée et ce malgré le fait que dans la plupart des cas, nous n'avons pas pu tenir les délais par manque de ressources. Par ailleurs, ce rapport n'offre aucun tremplin à un affaiblissement de la loi. Au contraire, il est important de constater que le changement de paradigme requis par la LTrans n'est toujours pas concrétisé dans toute l'administration fédérale. Toutefois, nous voudrions souligner que cette loi est de mieux en mieux acceptée, surtout là où la mise en oeuvre de la LTrans est soutenue à l'échelon hiérarchique supérieur. Les nombreux arrêts du Tribunal administratif fédéral et du Tribunal fédéral qui, dans la plupart des cas, ont soutenu les recommandations du PFPDT y sont aussi pour quelque chose.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/22e-rapport-d-activites-2014-2015/avant-propos.html