Avant-propos

Bilan et perspectives

Des améliorations considérables ont été réalisées l'année passée dans le domaine de la protection de l'Etat. Au cours de la session de décembre 2011, à l'occasion de la révision de la loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (LMSI), le Parlement a adopté une modification découlant du message que nous n'avons eu de cesse d'exprimer: le droit d'accès indirect affaiblit les droits des citoyens et ne résisterait très probablement pas à un examen de la Cour européenne des droits de l'homme. Désormais, c'est le droit d'accès direct conformément aux art. 8 et 9 de la loi fédérale sur la protection des données (LPD) qui est en principe applicable; celui-ci peut toutefois être différé si des intérêts prépondérants l'exigent. Dans ce cas, la personne ayant requis l'accès à des données la concernant peut demander qu'un examen soit effectué par le PFPDT qui, en cas d'erreurs, peut émettre une recommandation.

Aucune demande de référendum n'ayant été déposée contre cette modification, le Conseil fédéral devrait fixer l'entrée en vigueur de cette modification de loi pour le début du mois de juillet 2012. En parallèle, suite à un recours, le Tribunal fédéral s'est penché sur la réglementation établie actuellement à l'art. 18 LMSI et a, pour la première fois examiné la conformité de cette disposition avec les exigences de la Convention européenne des droits de l'homme (CEDH) dans un arrêt rendu le 2 novembre 2011. Cet arrêt a amélioré considérablement le statut juridique des personnes concernées. La cour suprême helvétique a établi qu'un droit d'accès indirect était conforme à la CEDH tant que les intérêts de la protection de l'Etat le justifiaient. Néanmoins, contrairement au libellé de la disposition, les juges fédéraux ont exigé qu'en cas d'erreurs, le PFPDT puisse émettre non seulement des recommandations, mais aussi des instructions contraignantes. Selon eux, c'est le seul moyen pour que le mécanisme de contrôle exercé par le PFPDT et le Président de la Cour du Tribunal administratif fédéral soit véritablement efficace et réponde aux exigences d'un contrôle indépendant des traitements de données effectués par les organes de protection de l'Etat. À l'avenir, le nouvel art. 18 LMSI permettra explicitement au Tribunal administratif fédéral d'ordonner que ces derniers remédient aux erreurs. Nous partons du principe qu'à l'entrée en vigueur de la nouvelle LMSI, l'arrêt du Tribunal fédéral sera toujours valable et que de ce fait, les recommandations du PFPDT devront avoir un caractère contraignant.

Comme en 2010, la formation des jeunes a été un point fort de notre action et nous avons poursuivi nos efforts tout au long de l'année. En effet, nous sommes persuadés qu'à l'ère des réseaux sociaux, la sensibilisation des jeunes utilisateurs requiert des initiatives particulières et nous ne voulons pas nous contenter de lancer des appels aux écoles et aux parents. Nous sommes donc à la recherche de partenariats, notamment et aussi en raison des limites de nos moyens. Le projet NetLa, lancé en 2011 en collaboration avec le Conseil pour la protection de la sphère privée, a aussi été porté à la connaissance d'un grand nombre d'écoliers. Pour le seul mois de novembre, dernier mois de la campagne, 6000 internautes ont cliqué 225'000 fois pour visiter le portail mutimédia. Nous avons également mis au point un matériel d'enseignement sous forme de leçons afin de sensibiliser les jeunes adultes à la sécurité des données lorsqu'ils utilisent les nouveaux médias. Ces leçons sont disponibles gratuitement en ligne sur Internet et sont ciblées sur les élèves de l'enseignement secondaire supérieur. Par ailleurs, nous avons collaboré à des cours de formation organisés par les universités de Neuchâtel et de Lausanne. Nous avons en outre développé le service interactif Thinkdata.ch en collaboration avec l'autorité de protection des données du canton de Genève, l'Université de Genève, l'Observatoire technologique de l'Etat de Genève, l'IDHEAP Lausanne ainsi que d'autres acteurs. Ce site en français - bientôt disponible en allemand - offre sous forme de scénarios des réponses précises et concises à toutes les personnes qui s'intéressent à la protection des données et à la transparence ou qui y sont directement confrontées. Nous sommes actuellement à la recherche de moyens financiers afin d'élargir notre offre et de la mettre en ligne dans d'autres langues. Enfin, pour la quatrième fois, nous avons organisé la Journée suisse du droit de la protection des données avec les universités de Berne, Neuchâtel et Fribourg.

2011 a également été une année jalonnée de nombreux contrôles et d'établissements des faits. Ainsi, nous avons examiné le système de surveillance vidéo auprès de cinq entreprises de transports publics et proposé un certain nombre d'améliorations qui ont été acceptées. Dans le cadre de la mise en œuvre de l'accord de Schengen, nous avons procédé à une visite de contrôle auprès de l'ambassade de Suisse à Moscou et émis diverses recommandations. Nous avons également achevé avec succès deux procédures d'établissement des faits, l'une auprès d'un club de tennis disposant d'un système de réservation basé sur la reconnaissance biométrique, la seconde concernant le traitement de données sur la solvabilité. Nous avons clos le dossier relatif à la plateforme d'informations «Car Claims Information Pool», gérée par les assureurs, et suggéré diverses améliorations. Citons encore les différentes modifications que nous avons proposées à un prestataire de services dans le domaine des manifestations de sport amateur; nous demeurons en contact avec lui à propos de la mise en œuvre des mesures en question. Enfin, nous avons introduit une procédure d'examen des faits concernant un nouveau jeu informatique qui transmet de manière illicite au fabricant des données concernant les ordinateurs des utilisateurs.

Parmi les nombreuses consultations des offices, je citerai en particulier celle concernant la révision de la loi fédérale et de l'ordonnance sur la surveillance de la correspondance par poste et télécommunication. À cet égard, nous avons obtenu la création d'une base légale sur laquelle reposera l'utilisation de programmes de type «GovWare». Lors de l'élaboration de ce type de bases légales en vue de la surveillance de l'utilisation de l'infrastructure électronique au sein de l´administration fédérale, nous avons également attiré l'attention sur la nécessité d'une réglementation claire concernant l'enregistrement, la conservation, mais aussi l'analyse des données secondaires générées par les communications. Dans le cadre de la révision de loi touchant le système tarifaire SwissDRG, nous avons contacté les différents acteurs concernés et exigé que les assurances ne reçoivent que les données dont elles ont vraiment besoin. De plus, à l'occasion de la révision totale de la loi sur le contrat d'assurance, nous avons souligné l'importance d'inscrire dans la loi l'institution du médecin-conseil.

Parmi les publications parues sur notre site Internet durant l'année sous revue, énumérées au chiffre 3.3, nous mentionnerons en particulier nos commentaires explicatifs concernant la directive de l'Union européenne «Vie privée et communication électronique» et ceux concernant l'informatique en nuage (cloud computing) en tant que mode de traitement de données.

En 2011, la situation a également évolué dans le domaine du principe de la transparence. Le nombre des demandes d'accès adressées à l'administration fédérale a presque doublé et 65 demandes en médiation nous ont été transmises. Nous avons mené à bien 30 procédures de médiation et dans la grande majorité des cas, nous sommes parvenus à une solution plus favorable pour le demandeur. Toutes les recommandations sont résumées au chiffre 2.3.1 et peuvent être consultées sur notre site Internet. Suite à des recours, le Tribunal administratif fédéral a dû se pencher sur quatre de nos recommandations et a soutenu nos argumentations. En outre, dans le cadre de la révision de la loi sur les cartels, nous avons obtenu que les autorités en matière de concurrence ne soient pas soustraites du champ d'application de la loi sur la transparence.

Nous pouvons dire d'ores et déjà que divers thèmes vont continuer à nous occuper durant l'année à venir. Citons entre autres la requête politiquement très délicate émise par les États-Unis visant à découvrir, dans le cadre d'une procédure «hit/no hit», si une personne déterminée est enregistrée avec son empreinte digitale ou son ADN dans les banques de données suisses Codis ou Afis. Au cours des négociations, il sera important de veiller à ce que les personnes concernées qui figurent à tort dans ces deux banques de données se voient accorder les mêmes droits aux États-Unis qu'en Suisse. Il ne sera pas facile d'obtenir cette garantie car à notre avis, les États-Unis ne disposent en principe pas d'une protection des données suffisante. C'est pourquoi l'appréciation dans le cas d'espèce ne doit pas être effectuée par un «privacy officer» dépendant de l'administration, mais par une autorité judiciaire indépendante. Il est en outre important que dans tous les cas où une concordance des données est constatée, la suite de la procédure se déroule dans le cadre de la procédure d'entraide judiciaire fixée par une loi. En d'autres termes, les conditions de communication de données personnelles doivent être examinées dans chaque cas d'espèce sur la base des accords en vigueur; les automatismes doivent être exclus. Il va également de soi que ce type d'échange doit être limité aux formes graves de criminalité et que la Suisse doit bénéficier d'un droit de réciprocité.

Les réseaux sociaux vont continuer à nous préoccuper, notamment la politique commerciale de Facebook. Nul n'ignore que l'objectif de ce dernier est d'accéder à un maximum d'informations sur ses utilisateurs et de générer des profils de la personnalité à des fins publicitaires. L'entreprise réalise ainsi un chiffre d'affaire de plusieurs milliards et modifie sans cesse les conditions générales d'utilisation, au détriment des utilisateurs et sans demander leur consentement. Depuis peu, non seulement les personnes qui sont sur Facebook, mais aussi celles qui ne l'utilisent pas en sont la cible. Dans le projet des conditions d'utilisation de mars 2012, on peut lire que celles-ci sont aussi applicables aux «non-utilisateurs qui interagissent avec Facebook en dehors des États-Unis». Autrement dit, ces «non-utilisateurs» sont réputés consentir à la transmission et au traitement de leurs données aux États-Unis, ce qui englobe aussi le traitement à des fins publicitaires. Le scandale dans cette histoire est que la plupart des «non-utilisateurs» ne savent absolument pas qu'ils «interagissent» avec Facebook. Comment est-ce possible? Sur bon nombre de sites Internet se trouve la petite icône «J'aime» qui est lié à Facebook (reconnaissable p. ex. à la lettre en minuscule «f»). La visite de l'utilisateur sur la page consultée est automatiquement communiquée à Facebook, ceci même s'il n'a pas cliqué sur l'icône «J'aime». Ce système permet donc d'établir des profils de la personnalité très précis aussi sur les personnes qui se refusent à utiliser Facebook. Nous allons concentrer nos efforts pour obtenir des exploitants de sites qu'ils donnent à leurs visiteurs la possibilité de décider s'ils consentent à ce type de transmission ou non. Rien d'étonnant à ce qu'entre-temps, une certaine défiance ait également vu le jour au niveau parlementaire. La conseillère nationale valaisanne Viola Amherd a déposé en septembre 2011 un postulat dans lequel elle enjoint le Conseil fédéral d'examiner l'état actuel de la législation sur les médias sociaux, de dire quelles sont les lacunes du droit et de se prononcer sur la nécessité de créer une loi proprement dite sur les médias sociaux. Il est notamment mentionné dans le développement du postulat que «les médias sociaux apportent une dimension nouvelle dans la communication et l'utilisation des médias, qui menace de remettre en cause l'application des lois nationales et des valeurs-clés». Cela se passe de commentaires!

Dans le domaine des droits d'auteur, l'arrêt du Tribunal fédéral en la cause Logistep a fait bouger les choses. Tout d'abord un bref rappel: le Tribunal fédéral a considéré que les recherches d'adresses IP effectuées secrètement par Logistep dans le but d'intenter une action civile contre des utilisateurs soupçonnés de violer les droits d'auteur n'étaient pas licites. Cet arrêt a provoqué un certain émoi auprès des détenteurs de droits. Dans son rapport de gestion 2010, le Tribunal fédéral a fait observer que la situation actuelle était insatisfaisante sous l'angle juridique et qu'il appartenait au législateur de prendre les mesures nécessaires pour assurer une protection des droits d'auteurs appropriée aux nouvelles technologies. À ce jour, cette initiative remarquable et inhabituelle de notre cour suprême n'a suscité aucune réaction de la part du Conseil fédéral. Des interventions parlementaires demandant une amélioration de la situation ont entre-temps été déposées au Parlement. Nul ne conteste que la protection des droits d'auteur est un thème très délicat et fait l'objet de vives discussions, pas seulement en Suisse (pour preuve, le succès du Parti Pirate allemand). La position qui était déjà la nôtre durant la procédure n'a pas changé: sur la base du droit en vigueur, on ne peut utiliser une adresse IP que dans le but de déterminer, dans le cadre d'une procédure pénale, la personne qui a violé des droits d'auteur. Les actions civiles ne peuvent entrer en jeu qu'ensuite.

Evaluation de la loi sur la protection des données

Le 9 décembre 2011, le Conseil fédéral a approuvé le rapport sur l'évaluation de la loi sur la protection des données et l'a soumis au Parlement. Outre la constatation positive que la loi sur la protection des données avait permis d'atteindre un niveau de protection sensible dans les domaines où les défis étaient déjà connus au moment de son entrée en vigueur et que le PFPDT s'était avéré un instrument efficace pour améliorer la protection offerte par la loi, ce rapport n'en souligne pas moins clairement la nécessité d'agir:

«De l'avis du Conseil fédéral, la révision de la LPD devrait avoir pour objectif principal d'adapter la loi aux développements technologiques et sociétaux intervenus depuis son entrée en vigueur. C'est pourquoi il entend axer sa réflexion sur les quatre problématiques centrales liées aux évolutions technologiques et sociétales en cours, soit 1. l'accroissement du volume des données traitées; 2. les traitements de données difficiles à reconnaître comme tels, aussi bien pour les intéressés que pour le PFPDT; 3. l'internationalisation croissante des traitements de données; 4. la difficulté toujours plus marquée à garder le contrôle de données une fois qu'elles ont été rendues publiques. Dans ce contexte, le Conseil fédéral souhaite examiner quelles mesures lui permettraient d'atteindre en particulier les objectifs suivants:

  • Assurer la protection des données plus en amont: une réflexion globale doit permettre de détecter les éventuels problèmes et d'y remédier dès la phase de conception des nouvelles technologies. L'idée est d'éviter que l'on se contente de corriger des problèmes après coup, avec des programmes de correction (approfondissement de la notion de protection intégrée de la vie privée ou «privacy by design»). Il importe également de favoriser les technologies respectueuses de la protection des données.
  • Sensibiliser davantage les personnes concernées: les personnes concernées doivent être plus au fait des risques que représentent les nouvelles technologies pour la protection de la personnalité.
  • Améliorer la transparence: il convient d'améliorer la transparence des traitements de données, notamment dans les nouveaux contextes complexes dans lesquels ni les personnes concernées ni le PFPDT ne peuvent les identifier facilement. On veillera ce faisant à ne pas submerger les personnes concernées d'informations.
  • Améliorer le contrôle et la maîtrise des données: le contrôle et la maîtrise des données après leur divulgation est un aspect primordial. Ainsi, la possibilité de renforcer les mécanismes de contrôle à disposition du PFPDT et d'adapter aux développements technologiques les droits des personnes concernées devrait être analysée. On examinera par exemple dans ce cadre un renforcement des voies de droit collectives ainsi qu'une précision du droit à l'oubli.
  • Protéger les mineurs: il faut tenir compte du fait que les mineurs ont une conscience moindre des risques et conséquences inhérents au traitement de données à caractère personnel.»

Le Conseil fédéral entend en outre examiner si et dans quelle mesure il est souhaitable de renforcer l'indépendance du PFPDT. Il s'intéressera également à la possibilité d'étendre l'instrument de l'autorégulation, en incitant par exemple les organisations sectorielles à élaborer des «règles de bonne pratique» qui seraient ensuite approuvées par le PFPDT.

Ces visées exprimées par le Conseil fédéral sont les nôtres depuis des années et nous sommes très heureux que la nécessité d'agir soit désormais reconnue à ce niveau. Cela dit, le souhait exprimé par le Conseil fédéral d'attendre les résultats des réformes en cours dans l'Union européenne nous cause un certain souci. Bien entendu, tout projet de réforme suisse doit être coordonné aux mesures prises au niveau européen. Mais cela ne doit pas empêcher le gouvernement de créer en parallèle un groupe d'experts qui examinera la problématique du point de vue suisse. En matière de protection des données, notre pays doit aussi avoir l'ambition d'élaborer ses propres solutions au lieu de se cantonner à l'adaptation autonome au droit européen.

 

Hanspeter Thür

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/19eme-rapport-d-activites-2011-2012/avant-propos.html