Protection des données: bientôt un exercice alibi?

Dans un rapport d’évaluation, un comité d’experts européens conclut que le préposé fédéral à la protection des données et à la transparence ne jouit pas d’une indépendance suffisante et ne dispose pas des ressources suffisantes pour accomplir les tâches liées aux Accords de Schengen

Il n’est pas un jour sans que les médias ne se fassent l’écho de traitement des données personnelles problématiques, voire violant les droits et les libertés fondamentales des individus. Citons notamment la multiplication des installations de vidéosurveillance, l’explosion des réseaux sociaux, le contrôle social au travers de l’Internet («okdoc»), la surveillance du courriel, la mise en place de mesures de surveillance dans le cadre de la lutte contre la criminalité et le terrorisme (collecte et transferts des données PNR des passagers, passeport biométrique, écoutes préventives, …), l’utilisation de la biométrie dans le cadre des activités de loisirs, le traçage des utilisateurs d’Internet dans les réseaux peer to peer, le dossier du patient sur internet (google health), la géolocalisation notamment des enfants, l’abandon de données et de fichiers sensibles dans des poubelles, le vol de supports de données, l’usurpation d’identité, la prise de l’ADN des squatteurs, la perte de disques durs des bases de données sensibles … et la liste peut s’allonger à l’infini!

Le traitement de données personnelles est un fait et une nécessité de la vie en société. Il peut toucher aux droits et aux libertés individuelles et notamment au respect du droit à la vie privée : par exemple l’usurpation d’identité d’une personne a entrainé son arrestation à tort lors d’un séjour aux Etats-Unis ; une personne enregistrée de manière erronée dans une banque de renseignements de crédit se voit systématiquement refusé l’accès à des services de téléphonie ; une caméra de surveillance installée dans les locaux d’une colonie de vacances filme systématiquement les allers et venues des vacanciers parmi lesquels des enfants … Face aux risques inhérents aux activités de traitement des données personnelles, les Etats démocratiques ont dès lors adopté des lois de protection des données qui définissent les règles du jeu afin de préserver les droits et les libertés des individus et au-delà le système démocratique. Ces lois prévoient également la mise en place d’autorités chargées de veiller au respect des dispositions légales en matière de protection des données. Elles doivent pouvoir exercer leurs tâches en toute indépendance. En Suisse, il s’agit du Préposé fédéral à la protection des données et à la transparence pour les traitements effectués par les organes fédéraux ou par des personnes privées. En outre, chaque canton a mis en principe en place une autorité de protection des données pour les traitements des organes cantonaux et communaux. Ces autorités fédérale et cantonales sont à la fois des autorités de conseil et de surveillance. Elles peuvent notamment par le biais de recommandations demander le respect des exigences légales. Contrairement à certains de leurs homologues européens, elles n’ont par contre ni pouvoir de contrainte, ni pouvoir de sanctions.

Face à l’ampleur de la tâche et face à l’explosion des technologies de l’information toujours plus ubiquistes, ces autorités ont-elles les moyens et les ressources nécessaires pour assurer de manière effective le respect de la protection des données ou ne deviennent-elles pas des «Don Quichotte» luttant désespérément contre la multiplication tentaculaire des traitements de données personnelles (tous les mois le volume du traitement des données double !) ? Une évaluation de la protection des données en relation avec la mise en route des accords d’association à Schengen, évaluation menée par un comité d’experts de l’Union européenne en mars de cette année offre l’occasion d’une réflexion étendue sur l’indépendance institutionnelle, fonctionnelle et matérielle dont doit bénéficier une autorité de protection des données et sur les ressources dont elle doit disposer pour accomplir son mandat légal. En effet dans leurs conclusions, les évaluateurs européens, tout en reconnaissant la qualité du système suisse de protection des données, estiment que le Préposé fédéral à la protection des données et à la transparence ne jouit pas d’une indépendance suffisante, notamment sur le plan institutionnel et matériel. Ils relèvent également l’insuffisance des ressources des autorités de protection des données pour accomplir leurs tâches et notamment celles liées aux accords de Schengen. Ce constat ne surprend pas. En effet pour ne pas devoir continuellement jouer aux pompiers et courir d’un incendie à l’autre, mais être en mesure d’anticiper les problèmes et d’intervenir en amont, de répondre aux attentes des individus, de développer des solutions de protection des données concertées avec les différentes acteurs impliqués, de sensibiliser les utilisateurs actuels et futurs des technologies d’information et de contrôler plus systématiquement le respect des dispositions légales, les ressources et les effectifs du préposé fédéral à la protection des données devraient être sérieusement renforcés, sans quoi face à l’évolution actuelle de la société d’information et de surveillance, sa fonction pourrait devenir qu’un pur alibi.

Actuellement le préposé fédéral est nommé par le Conseil fédéral et est rattaché administrativement à la Chancellerie fédérale. Il dispose d’un secrétariat permanent composé de 25 personnes (juristes, informaticiens, spécialistes en information, personnel administratif). En comparaison, l’autorité québécoise qui a des tâches et des compétences comparables à celle du préposé fédéral, dispose, pour une population identique à la population suisse, d’un effectif d’une cinquantaine de personnes. Le budget du préposé fédéral est intégré dans le budget de la Chancellerie fédérale, dont il dépend administrativement. A l’avenir et pour renforcer son indépendance, il serait souhaitable que le préposé fédéral soit élu par l’Assemblée fédérale pour une période déterminée et qu’il dispose d’une plus grande autonomie budgétaire. La politique budgétaire actuelle de la Confédération ne laisse par contre pas augurer d’un renforcement conséquent des moyens attribués au préposé fédéral. Il convient dès lors d’explorer d’autres sources de financement. Si l’on considère que les tâches du préposé fédéral ne se limitent pas aux activités de traitement des données personnelles de l’administration fédérale, mais couvrent l’ensemble des traitements de données du secteur privé et si l’on considère qu’un grande partie de ses ressources sont affectées au secteur privé, on doit se demander s’il est encore normal de financer les activités de surveillance par le biais du budget de la Confédération, c’est à dire par le biais de l’impôt. D’autres modèles de financement sont envisageables et sont déjà appliqués pour le financement de certaines autorités de surveillance, comme l’autorité fédérale de lutte contre le blanchiment, la commission fédérale des maisons de jeu, l’autorité de surveillance des marchés financiers ou le nouvel inspectorat fédéral de la sécurité nucléaire. En se basant sur le système du «pollueur – payeur», les activités du préposé fédéral pourraient ainsi être financées par une taxe modeste prélevée auprès des organes fédéraux et des entreprises privées qui traitent des données. La taxe pourrait être fixée en fonction de la grandeur de l’entreprise ou du volume de traitement des données personnelles. Cette taxe pourrait être complétée par une taxe sur la vente de support électronique de données. Ce système permettrait d’augmenter substantiellement les moyens du préposé fédéral tout en lui offrant une plus grande autonomie et souplesse dans l’affectation de ses ressources. Il allégerait également le budget fédéral de quelques 4 millions par année. La protection des données a un prix et ce prix ne doit pas (seulement) être supporté par les personnes dont les données sont traitées. Celui qui traite des données personnelles assume un risque et engendre des coûts qu’il doit en partie assumer.

Au-delà du problème des ressources, il devient important que l’ensemble de la société prenne conscience de l’importance de la protection des données et des enjeux qui y sont liés. La protection des données n’est pas seulement un droit individuel. Elle est un des éléments essentiels d’une société libérale et démocratique. La responsabilité de son effectivité incombe à tous et non seulement aux autorités de protection des données. Le recours aux technologies de l’information et les traitements de données qu’elles favorisent ou l’émergence d’une société de surveillance sont des enjeux de société qui nécessitent un vaste débat démocratique. La vie privée n’est pas un bien inépuisable et il est urgent de préserver ce capital de liberté!

Jean-Philippe Walter, Préposé fédéral suppléant à la protection des données et à la transparence.

Paru dans «Le Temps» du 9 septembre 2008.

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/dokumentation/le-pfpdt-dans-les-medias/protection-des-donnees--bientot-un-exercice-alibi-.html