Défis actuels et priorités

Le 21 décembre 2016, le Conseil fédéral a mis en consultation l’avant-projet de révision totale de la loi fédérale sur la protection des données (AP-LPD). L’objectif visé par le Conseil fédéral est de «renforcer la protection des données et [de] l’adapter aux technologies et à la société d’aujourd’hui». Ces évolutions sont décrites brièvement ci-après.

1. Évolution du contexte technologique et sociétal

Technologie et économie

Depuis l’arrivée sur le marché du premier iPhone en 2007, la dynamique du développement des technologies de l’information et de la communication (TIC) n’a cessé de s’accélérer. Après les smartphones, de plus en plus d’appareils du quotidien sont équipés de processeurs, capteurs et modules réseau performants. Ces appareils échangent sur Internet de grandes quantités de données sur leurs utilisateurs et leur environnement, parfois même sans interactions avec les utilisateurs. Le traitement de ces données est opéré dans des centres de calcul répartis dans le monde entier, selon des procédures (algorithmes) aux finalités les plus diverses. Les progrès de la technologie sont tels que les performances de certains systèmes sont qualifiées d’«intelligence artificielle», car ils sont capables de réagir de façon autonome sans impulsions directes des individus et en temps réel.

Les acquis technologiques des TIC ne seraient pas si omniprésents sans l’économie mondialisée, qui a développé un modèle économique reposant sur la collecte, l’analyse et la transmission d’importants volumes de données (Big Data), et qui propose aux ménages et aux entreprises des dispositifs TIC de plus en plus performants et de moins en moins coûteux.

Société, politique et droit

La pénétration du monde des loisirs et du travail par des TIC toujours plus compactes, ainsi que les modes de vie toujours plus connectés dus à l’omniprésence des smartphones ont fait de la numérisation un phénomène de société. Entre autres effets bénéfiques ou néfastes, le rapport de la société aux TIC induit des risques d’incursions indésirables dans l’autodétermination informationnelle et dans la sphère privée des individus, pouvant aller jusqu’à la perte de contrôle sur d’importants volumes de données.

La numérisation a été accélérée par la libéralisation des marchés mondiaux de la télécommunication et la chute des prix des composants électroniques, entraînant une multiplication des prestataires actifs à l’échelle internationale. Les entreprises de TIC comptent au-jourd’hui parmi les sociétés les plus dotées en capital, et
leurs marchés sont les plus lucratifs au monde. Elles gagnent des clients partout sur la planète grâce à des offres «gratuites» et génèrent ainsi d’énormes fichiers de données, dont elles tirent des profits considérables grâce au modèle économique du «Big Data» – modèle qui fait des émules et s’impose progressivement dans tous les pans de l’économie. Par l’exploitation d’immenses fichiers de données, à la croissance toujours plus rapide, les entités qui traitent ces données génèrent des connaissances permettant à présent de reconstituer les modes de comportements et les préférences des milliards d’individus utilisant chaque jour leurs services en ligne. En réponse à cette évolution, le Conseil de l’Europe avec la Convention 108 et l’UE avec le Règlement général sur la protection des données (RGPD) ont posé les jalons pour un droit unifié sur la protection des données, qui déploie également ses effets sur des États tiers comme la Suisse et les États-Unis grâce à ses instruments pour la préservation d’un niveau équivalent de protection. Pour l’essentiel, ces instruments visent les objectifs suivants:

  • obliger les prestataires d’offres en ligne captant de gros volumes de données à publier la nature, le contenu et l’étendue des données collectées. Les clients doivent savoir quels traitements vont au-delà de l’utilisation fiable d’une application de base et le cas échéant, avoir la possibilité de les exclure ou d’y mettre un terme en cas de refus;

  • renforcer les compétences des responsables de la protection des données et les obliger à réduire en amont de tout projet le risque d’atteintes à la personnalité, conformément aux principes de la protection de la vie privée dès la conception («privacy by design», intégration de la protection des données dès la phase de projet) et de la protection de la vie privée par défaut («privacy by default», paramétrage par défaut conforme à la protection des données);

  • promouvoir l’interaction entre les services internes de protection des données des entreprises et des administrations avec les autorités en charge de la protection des données;

  • étendre les prérogatives des autorités de protection des données et adapter leurs méthodes de travail à l’interaction accrue avec les responsables d’applications.

Comme nous allons l’exposer à présent, le contexte technologique et sociétal décrit ci-dessus pose une série de défis auxquels est confrontée l’autorité de protection des données de la Confédération: 

2. Extension et accélération de l’activité de contrôle du PFPDT

Le concept du Big Data se développe non seulement dans l’économie privée, soumise à la surveillance du PFPDT, mais également dans l’administration fédérale et les entreprises publiques, qui gèrent ou développent une grande diversité d’applications reposant sur d’importants fichiers de données, alimentés par les citoyens dans leurs rôles quotidiens de clients, patients ou voyageurs. Même si les responsables des fichiers de données ainsi constitués n’exploitent que rarement ou partiellement le caractère personnel de ces données, les performances des moteurs de recherche modernes créent un risque d’identification rétroactive des individus. Le PFPDT doit donc étendre son activité de surveillance à de nombreux projets des autorités fédérales et de l’économie qui poursuivent des objectifs scientifiques, statistiques, techniques ou administratifs sans relier les données à des personnes. Il doit s’assurer que les informations collectées soient anonymisées d’une façon qui exclut, avec une probabilité suffisante, toute identification rétroactive au moyen des technologies actuelles. Comme les données anonymisées peuvent également être recoupées avec des informations accessibles sur Internet, ce travail s’avère extrêmement difficile et chronophage pour le PFPDT. Les projets en question doivent faire l’objet d’un accompagnement interdisciplinaire, c’est-à-dire juridique et technique.
Les applications destinées à traiter les données personnelles ne sont aujourd’hui plus livrées pour être installées localement, mais accessibles sur Internet, et constamment mises à jour par de nouvelles fonctions, p. ex. de protection en ligne contre les logiciels malveillants. Cela signifie que les contrôles se complexifient à mesure que les applications évoluent, et doivent être opérés à un rythme toujours plus soutenu.

3. Évolution des attentes au PFPDT

Le style de vie de la société numérique se caractérise par une insouciance dans le rapport aux TIC, qui peut se changer brutalement en tempête d’indignation dès que les médias ou les organisations de défense des consommateurs dénoncent des risques d’incursions dans la vie privée liés à une application grand public. Le grand public attend du PFPDT, a minima, qu’il l’informe concernant les risques que comportent les applications les plus courantes, souvent disponibles gratuitement sur Internet. Dans le même temps, le PFPDT est censé communiquer sur les possibilités de protection de la vie privée et garantir la conformité des applications grand public avec les normes de protection des données dans le cadre de procédures de surveillance.
Au vu du grand nombre d’utilisateurs, ces attentes de la population suisse sont justifiées. Le PFPDT a donc intégré dans son activité d’information et de surveillance la culture en ligne et les applications destinées aux consommateurs. La crédibilité du PFPDT en tant qu’autorité spécialisée suppose donc une analyse du fonctionnement des technologies plus approfondie, allant au-delà des faits présentés dans les médias. Pour répondre aux besoins les plus pressants, le PFPDT a ouvert une hotline, renforcé ses ressources humaines en informatique et mis en place un laboratoire informatique rudimentaire, lui permettant de tester la conformité en termes de protection des données des applications pour smartphone les plus courantes et d’autres offres en ligne.
À la demande d’entreprises privées et de régies fédérales, le PFPDT a commencé à pratiquer un accompagnement consultatif de grands projets impliquant le traitement d’importants volumes de données personnelles. Ce besoin d’un accompagnement des projets le plus en amont possible découle de l’évolution du mode de travail des services juridiques et de protection des données, qui contrôlent la conformité des projets dès leurs premières étapes, comme le prescrit le principe de privacy by design instauré dans l’AP-LPD.
Le contrôle par le PFPDT d’applications déjà existantes peut entraîner pour les entreprises qui les conçoivent des corrections coûteuses et néfastes pour leur réputation, si bien que le principe du privacy by design est bien accueilli par bon nombre d’entre elles, en particulier si cette méthode peut être corrélée avec une évaluation phase par phase des principales étapes du projet par l’autorité de protection des données. Pour le PFPDT, ce mode de travail associant rôle consultatif et surveillance présente l’avantage de pouvoir réduire en amont les risques en matière de protection des données. Ainsi, l’autorité peut également intervenir sur des applications en ligne à courte durée de vie, ce qui s’avère beaucoup plus simple que dans le cadre de longue procédure de décisions ou de sanctions.
Les exemples actuels d’interventions de ce type sont les grands projets Mobility Pricing, des régies de transports publics et du Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC), Sesam de la Poste et des CFF, TWINT de la Poste et d’établissements bancaires, ou Admeira de Swisscom, la SSR et Ringier.

4. Coopération du PFPDT au niveau national et international

Comme les autorités de protection des données de la Confédération et des cantons sont bien souvent confrontées aux mêmes évolutions et aux mêmes technologies de traitement des données personnelles, le PFPDT entend intensifier ses interactions avec les préposés cantonaux à la protection des données. La collaboration intercantonale est coordonnée par l’association Privatim.
Un exemple révélateur de la nécessité d’une étroite collaboration est l’introduction prévue par le Conseil fédéral du numéro AVS non parlant à 13 chiffres comme identificateur universel dans les administrations fédérales, cantonales et communales. Il paraît évident que les risques technologiques d’identification rétroactive indésirée qu’implique ce projet doivent faire l’objet d’une évaluation commune par la Confédération et les cantons.
À l’échelle internationale, les prochaines tâches du PFPDT seront les suivantes:

Privacy Shield

Avec le développement d’Internet et la prédominance de l’industrie informatique californienne, qui gère de gigantesques centres de calcul ou des clouds, traitant les données biométriques et d’autres données personnelles de millions d’utilisateurs suisses, l’évaluation des transferts de données personnelles vers l’étranger a pris une place considérable dans l’activité de surveillance du PFPDT. Pour que le nouvel accord «Privacy Shield» conclu en janvier 2017 entre la Suisse et les États-Unis, contrairement au précédent accord «Safe Harbor» invalidé par la CJUE, puisse se pérenniser et s’adapter à l’évolution des besoins, des évaluations annuelles ont été convenues avec les États-Unis. Ces évaluations seront menées par le SECO, assisté du PFPDT, qui produira un rapport annuel indépendant.

Communautarisation de la protection des données dans l’UE

Le 1er mai 2018, l’UE mettra en vigueur son Règlement général sur la protection des données (RGPD), que les responsables d’applications en Suisse devront également respecter dans la mesure où ils traitent des données de citoyens de l’UE. Ce règlement remplacera les législations en matière de protection des données des différents États membres de l’UE. Les autorités nationales de protection des données devront à l’avenir coordonner plus étroitement leurs activités de surveillance.
Au vu de la communautarisation de la protection des données et de l’application extra-territoriale du RGPD, on peut s’attendre à ce que l’UE souhaite exercer un droit de regard sur la façon dont les États tiers mettent en application les principes qu’il contient. La Suisse sera tout particulièrement l’objet de cette attention, car, en tant que membre associé du dispositif Schengen-Dublin, elle échange de grandes quantités de données administratives sensibles avec l’UE.
Dans ce contexte, il est clair que le PFPDT doit se profiler comme premier interlocuteur pour les organes indépendants de protection des données de l’UE et de ses États membres. Pour cela, il doit être représenté de façon adéquate lors des divers événements internationaux sur ce thème et être en mesure de couvrir les dépenses y relatives. Et ce, également, au regard de la Directive UE 2016/680, qui exige que le PFPDT soit associé aux travaux du comité européen de la protection des données.

5. Mesures mises en place par le PFPDT pour accroître son efficience

Pour être en mesure de relever les défis qui s’imposent à lui et de répondre aux attentes correspondantes de l’économie et de l’administration, ainsi que du grand public, le PFPDT a introduit au cours de l’exercice 2016/2017 une série de mesures visant une utilisation plus efficiente des moyens dont il dispose.

Au vu des défis décrits plus haut, le PFPDT a défini les priorités stratégiques suivantes:

  • renforcement de ses propres compétences concernant les technologies ainsi que les modèles économiques et de communication de la société numérique;

  • accompagnement consultatif de projets pertinents des autorités et de l’économie;

  • présence visible pour les citoyens suisses concernés.

Sur la base de cette stratégie, un plan a été élaboré pour l’année 2017, prévoyant l’accompagnement consultatif de dix grands projets ainsi que huit opérations de contrôle de grande envergure (cf. chiffre 3.1 du présent rapport).

Réorganisation de l’autorité de protection des données

L’accent stratégique et opérationnel mis sur la numérisation est appuyé par une réorganisation de l’autorité, qui a pris effet le 1er avril 2017 et est neutre en termes de coûts. Elle vise à renforcer les compétences techniques du PFPDT et à décharger sa direction d’un certain nombre de tâches transversales courantes. Toutes les tâches de direction traditionnelles et transversales, telles que le contrôle des affaires, la communication et les finances, ont été transférées dans une nouvelle unité appelée Centres de compétences (cf. l’organigramme du PFPDT) Les deux anciennes unités chargées de l’application de la LPD ont été regroupées en trois équipes chapeautées par une même direction. Un laboratoire nouvellement mis en place permet de tester des applications consommateurs,des produits TIC ou des réseaux sociaux.

Remaniement conceptuel de l’offre d’information

En 2016, le PFPDT a répondu à environ 3500 demandes orales ou écrites de citoyens, d’entreprises et d’organisations. De plus, il a publié sur son site une offre étendue d’informations sur les évolutions technologiques, avec des conseils pratiques, ainsi que l’ensemble des recommandations formelles formulées dans le cadre de son activité de surveillance. Cette offre a été soumise, tout comme le rapport d’activités, à un remaniement conceptuel. Le PFPDT entend ainsi répondre au mieux au besoin croissant, exprimé par le grand public, d’information proactive sur les applications techniques courantes.

Adaptation de la procédure dans le domaine de la loi sur la transparence (LTrans)

Ces dernières années, l’unité LTrans a accumulé des retards importants dans le traitement des demandes en médiation. Pour éviter d’avoir à transférer du personnel depuis l’unité LPD pour venir à bout de ces retards, comme cela a été nécessaire par le passé, le PFPDT a mis en place à compter du 1er janvier 2017 une procédure sommaire et accélérée, caractérisée par des procédures de médiation orales (cf. chiffre 3.1 du présent rapport).

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/24e-rapport-d-activites-2016-2017/defis-actuels-et-priorites.html