Avant-propos

Il y a dix ans, le 1er juillet 2006, la loi fédérale sur la transparence entrait en vigueur. Cette loi était et est appelée à jouer un rôle primordial dans le fonctionnement de notre État de droit. Son objectif est en effet de promouvoir la transparence quant à la mission, l'organisation et l'activité de l'administration, notamment en garantissant l'accès du public aux documents officiels. Les processus de décision de l'administration doivent être transparents afin de contribuer à renforcer la confiance des citoyens et citoyennes en leurs institutions publiques. La loi fédérale sur la transparence est ainsi, avec la loi fédérale sur la protection des données, l'un des éléments du bon fonctionnement d'un État démocratique respectueux des droits et des libertés fondamentales. Et c'est d'ailleurs à raison que le législateur a confié au préposé fédéral à la protection des données et à la transparence, le soin de veiller à l'application de la loi au travers de la médiation.

La mise en application de cette loi ne s'est pas faite sans difficulté. Il a fallu et il faut continuer à se battre contre les réticences de certaines administrations à répondre positivement aux demandes d'accès ou leur tendance à recourir aux motifs d'exception prévus par la loi sans examen approfondi et sans motivations fondées. Un autre frein préoccupant résulte de la politique qui consiste à exiger du demandeur le versement d'émoluments trop élevés. Le changement de paradigme voulu par le législateur devient cependant progressivement réalité et je l'espère, est devenu un mouvement irréversible. Il demeure certes encore fragile, notamment en raison des velléités de certains à vouloir au travers de propositions législatives spécifiques restreindre la portée de la loi, en particulier en introduisant des exceptions pour les activités de surveillance de certaines autorités publiques ou en soustrayant du principe de transparence certaines catégories de documents officiels.

La conduite et le fonctionnement de la procédure de médiation demeure un casse-tête pour le préposé du fait de délais irréalistes et de ressources insuffisantes. Les travaux pour une révision de la loi fédérale sur la transparence sont en cours. Ils seront révélateurs du niveau d'engagement notamment de l'administration en faveur de la transparence des autorités. Gageons que cette révision permettra de corriger les défauts de jeunesse de la loi et que le Conseil fédéral attribuera des ressources supplémentaires pour permettre le traitement des demandes de médiation dans un délai raisonnable par rapport aux attentes des demandeurs d'accès.

Depuis son entrée en vigueur, la loi sur la transparence a atteint un degré de notoriété significatif au sein de l'opinion publique. Le nombre de demandes d'accès dans l'administration fédérale et le nombre de demandes en médiation déposées auprès du préposé fédéral ne cessent d'augmenter. Cette loi permet ainsi à toute personne de déterminer elle-même quelle information elle souhaite obtenir. L'administration n'est plus seule à décider de ce qui doit être rendu public. Aujourd'hui, les autorités fédérales sont, par exemple, tenues sur demande de renseigner et de fournir des documents sur l'utilisation des impôts, sur des projets informatiques ayant échoué ou sur des affaires de corruption. Le principe de transparence est ainsi devenu un instrument percutant à disposition de la société.

2016 est certainement une année charnière pour la protection des données. Les travaux de réforme du cadre juridique au sein de l'Union européenne sont en passe d'aboutir. Ces textes contribuent à renforcer le droit de la protection des données et permettent d'avoir un même régime pour l'ensemble des pays de l'Union européenne et de l'Espace économique européen, renforçant les droits des personnes concernées, la transparence des traitements, les obligations des responsables de traitement et les mécanismes de mise en œuvre et de coopération entre autorités de protection des données. Une autre réforme importante se termine, celle de la révision de la Convention du Conseil de l'Europe dont l'objectif est également de renforcer les droits des personnes concernées et l'effectivité de la protection des données au travers des obligations des responsables de traitement, des compétences et pouvoirs des autorités de protection des données ou des mécanismes de mise en œuvre de la Convention.

Ces réformes auront un impact certain et incontournable sur la révision en préparation de la loi fédérale sur la protection des données. Dans l'intérêt non seulement des droits des personnes concernées, mais également des entités et des entreprises qui traitent des données et donc de la place économique suisse, j'attends de cette révision globale que tout en mettant en œuvre la Convention 108, elle permette, si ne ce n'est un alignement, tout au moins un rapprochement étroit avec le cadre de l'Union européenne. J'attends également que cette révision débouche sur un réel renforcement du droit à l'autodétermination informationnelle et permette à tout un chacun de garder et d'exercer effectivement la maîtrise sur les données qui le concerne. Cela passe par de nouveaux droits pour les personnes concernées, l'introduction d'une action collective, le renversement du fardeau de la preuve, une responsabilité objective du fait du traitement et des obligations au chef des responsables de traitement, notamment obligation de mise en conformité par rapport aux exigences de la loi, annonce des violations de données, évaluation des risques, recours aux technologies de la protection des données.

Elle doit également permettre un renforcement des compétences et des moyens notamment d'investigation du préposé fédéral. Des sanctions dissuasives doivent être introduites en cas de violation de la loi. Les traitements qui présentent un risque élevé quant au respect de la vie privée doivent être soumis à des conditions strictes telles qu'autorisation préalable ou certification obligatoire. Je vise en particulier l'exploitation de mégadonnées qui débouche sur le profilage prédictif des individus. Je pense également à des traitements entraînant la surveillance des personnes notamment aux moyens de technologies particulièrement invasives, comme le recours aux drones ou l'utilisation de systèmes biométriques. Dans un monde où les données ne connaissent pas le principe de souveraineté et de territorialité, il est en effet fondamental d'éviter des régimes de protection trop disparates. C'est aussi à ce prix que la Suisse pourra se positionner comme État fort en matière de traitement et de conservation des données et créera les conditions d'une société moderne ouverte aux progrès et aux innovations technologiques tout en garantissant à ses citoyens le respect de leurs droits et libertés fondamentales.

Plus que jamais, je plaide pour la mise en place d'un cadre juridique contraignant au niveau mondial. Une étape importante en ce sens peut être franchie avec la révision en cours de la Convention 108 du Conseil de l'Europe et avec l'adhésion à ce traité d'États non membres du Conseil de l'Europe. L'arrêt de la Cour de justice de l'Union européenne du 4 octobre 2015 déclarant que le système du «Safe Harbor» ne permettait pas d'assurer un niveau de protection des données adéquat face à l'accès massif et incontrôlé des autorités américaines aux données transmises aux entreprises américaines, a démontré la nécessité d'un système fort pour assurer la protection des données lors du transfert des données vers des États sans protection. Cette décision me parait aussi renforcer la nécessité de parvenir à l'adoption d'un instrument universel de protection des données. Gageons que la nomination d'un rapporteur spécial des Nations Unies à la vie privée contribuera également à réaliser cet objectif.

La modernisation de notre cadre juridique est indispensable, mais pas suffisant. Les exigences légales doivent pouvoir être concrétisées dans les différents secteurs concernés (code de conduite) et implémentées dans les systèmes et les technologies d'information et de communication. La règle devrait être celle de la protection des données par défaut. La technologie est en soi capable de réaliser ces exigences. Certaines entreprises rechignent cependant à agir en ce sens. Je plaide dès lors pour une véritable politique d'incitation à développer et à recourir à des technologies favorables à la protection des données. La confiance des personnes concernées passent par ce type de technologie et en particulier par la possibilité de recourir à des systèmes sûrs de chiffrement des données excluant l'existence de porte dérobée. La sécurité des systèmes est aussi un facteur de diminution de la criminalité.

Parallèlement, la formation et l'éducation au numérique doivent être érigées en priorité et faire l'objet de programmes nationaux atteignant l'ensemble des couches de la population. La connaissance et la maîtrise du fonctionnement des technologies, de leurs avantages et leurs risques sont une condition d'une utilisation consciente, responsable, informée et libre de celles-ci.

Notre société se trouve à la croisée des chemins: l'Homme numérisé et quantifié, l'intelligence artificielle, l'internet des objets, l'émergence des voitures et des robots intelligents, les paiements sans contact et la disparition du numéraire, l'exploitation des mégadonnées et le profilage comportemental et prédictif sont autant de développements qui peuvent évoluer de manière positive ou négative. Lorsque je lis qu'une personne en Suède souhaite digitaliser tout ce que est dans ses poches (clés, téléphone mobile, portefeuille, carte bancaire) pour les transférer dans une puce unique placée sous sa peau, je m'inquiète de l'évolution, avec la complicité le plus souvent inconsciente des personnes, de nos sociétés libérales et démocratiques vers une société de surveillance permanente aboutissant à l'abrutissement et la manipulation des individus, donc à la fin de l'autonomie individuelle et du libre arbitre. Si en effet ces nouveaux développements technologiques ne respectent pas les valeurs fondamentales de la société, les droits de l'homme et en particulier le droit à la dignité et à la non-discrimination, ils risquent d'entraîner rapidement des dommages irréversibles et une mise sous tutelle des personnes. La société numérique se doit d'être démocratique et conforme aux droits et libertés fondamentales sous peine de déboucher sur une nouvelle forme de dictature.

Il y a urgence à agir et à fixer les règles de comportements qui éviteront que des algorithmes décident ce qui est bien pour nous, déterminent ce que nous devons savoir ou penser et comment nous devons agir et nous comporter. Il n'est pas encore trop tard, mais le temps presse pour construire un monde où la technologie soit utilisée pour le bien de l'humanité! Les droits fondamentaux doivent également être garantis dans le monde numérique. Cela passe par un nouveau contrat social basé sur la confiance et la coopération des individus. Ceux-ci doivent être des partenaires et non des adversaires ou de simples biens de consommation. Pour ce faire, il faut mettre en place un cadre juridique assurant la compatibilité des technologies avec la démocratie et l'exercice effectif du droit à la protection des données. La révision de la loi fédérale sur la protection des données est une opportunité à saisir pour réaliser cet objectif. Elle doit être accompagnée d'un vaste débat démocratique et participatif sur la société numérique en Suisse.

Jean-Philippe Walter
Préposé fédéral ad intérim

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/23e-rapport-d-activites-2015-2016/avant-propos.html