7 questions concernant la protection des données

1. Quelles données la « protection des données » protège-t-elle ?

La protection des données protège la personnalité et les droits fondamentaux des personnes physiques en règlementant le traitement des données personnelles et en protégeant les personnes concernées contre les traitements par lesquels l’ État porte atteinte à leurs droits fondamentaux ou encore lorsque des entreprises privées empiètent sur leur sphère privée et l’autonomie de leur vie.

En ce sens, la protection des données ne vise pas directement la « protection » des données, puisque celles-ci ne peuvent être détentrices de droits. Elle ne protège pas non plus la propriété des données, ni les droits exclusifs sur les données, qui ressortent du droit des biens immatériels. De la même manière, les informations protégées par le secret de fabrication ou d’affaires d’entreprises privées ou les secrets de l’État en matière militaire ou policière ne relèvent généralement pas de la protection des données, car l’intérêt lié au maintien du secret concerne typiquement le con­tenu matériel de l’information, par exemple une recette de bière ou une technologie en matière d’armement.

2. Qu'est-ce que la « personnalité » humaine et contre quoi est-elle protégée ?

La personnalité humaine, qui est au cœur de la protection des données, est ce que l’enfant désigne par MOI à peine a-t-il appris à dire son nom. Donner une définition juridique du JE humain demeure un grand défi. La Constitution fédérale, le code civil et la loi sur la protection des données disent certes que la personnalité est protégée par la loi, mais n’en donnent pas de définition. Il ressort toutefois de la doctrine juridique et de la jurisprudence que par « personnalité », l’on entend les particularités individuelles – le tréfonds de l’être humain qui le caractérise en tant que tel et qui le distingue de tous les autres.

3. Où commencent la sphère privée et l’intimité et jusqu'où s'étendent-elles ?

Le MOI humain se définit en référence au corps, au visage, à la voix, au comportement. En termes médicaux, ce MOI est abrité dans des organes internes tel le cerveau à partir duquel la zone centrale de la sphère privée et de l’intimité humaines s’étend à l’enveloppe corporelle extérieure et aux espaces personnellement habités par l’individu. Dans cette zone centrale, la protection des données empêche ou limite l’impact de moyens intrusifs de collecte de données tels que les détecteurs de mensonges ou les implants neuronaux. Mais les appareils disposant de caméras tels que les drones, les téléobjectifs et les capteurs qui épient le comportement des individus à l’intérieur de cette zone sont également soumis à une interdiction de principe.

Dans une vie quotidienne dominée par le numérique, les individus produisent ou laissent – comme consommateurs, passants, passagers ou patients – une multitude de traces électroniques qui permettent de recueillir des informations concrètes sur leur personne. Ainsi, leur sphère privée et intime ainsi que la protection des données s’étendent du corps à l’appartement en passant par le smartphone, et le « cloud », où les opérateurs privés des centres de données traitent une quan­tité incalculable de messages écrits et vocaux, d’images et de métadonnées de pages internet visitées, de conversations téléphoniques ou de dialogues en ligne. Dans cette zone élargie de la sphère privée et intime, la protection des données impose aussi des limites à leur traitement et à leur interconnexion.

4. Les adultes majeurs peuvent-ils renoncer à leurs droits en matière de protection des données ?

La protection de la sphère privée est un droit fondamental garanti par la Constitution (art. 13 Cst.). Lors de traitements de données personnelles effectués par l’État, un citoyen ne peut pas renoncer volontairement à ses droits en matière de protection des données. En effet, le but, l’étendue et l’intensité des traitements de données effectués par l’État sont régis par des bases légales contraignantes pour les organes publics qui, dans un cas concret d’application, ne peuvent être juridiquement libérées de cette obligation.

Par contre, un citoyen peut donner son consentement à des traitements de données effectués par des privés portant atteinte à sa personnalité. Mais cette renonciation n’est valable, en droit de la protection des données, que si cette personne a été informée au préalable de manière complète et compréhensible et que sa renonciation découle réellement de sa volonté libre. Ce sont les circonstances de vie qui déterminent si un consentement à se soumettre à un traitement concret peut être considéré comme volontaire ou non. Prenons l’exemple de la capacité financière des utilisateurs d’offres numériques : pour des raisons économiques, ils ne peuvent pas tous se permettre de renoncer aux rabais importants que certains fournisseurs privés de biens et de services offrent en contrepartie de la divulgation d’informations personnelles dans le cadre de « programmes clients numériques ». De même, dans le cadre de dossiers de candidatures en vue d’un emploi, d’une location ou d’une assurance, une forte demande ne doit pas être la porte ouverte à des atteintes excessives à la vie privée des candidats, par exemple en priant ceux-ci de donner de manière faussement volontaire des informations sur leur sphère privée. Le consentement des personnes concernées peut alors s’avérer non valable du point de vue de la protection des données.

5. La protection des données est-elle une notion dépassée ? Sur les réseaux sociaux, de plus en plus de personnes dévoilent tout sur elles.

On compte par millions les personnes qui documentent chaque jour leur vie en postant des messages textuels, visuels ou vocaux, en les partageant sur internet avec leurs amis ou avec une clientèle payante. Parfois même, elles les rendent accessibles au grand public. Ces adultes qui prétendent s’exposer librement devant un large public sont pour la plupart soucieux de se présenter eux-mêmes et de présenter leur vie dans un contexte qu’ils mettent personnellement en scène. Dans leur très grande majorité, ils sont offusqués et protestent avec énergie lorsque des données de leur sphère privée réelle sont collectées et diffusées.

Il existe donc bien un besoin croissant d’une protection des données qui requiert entre autres que les exploitants de réseaux sociaux respectent leurs conditions d’utilisation, ne traitent pas à des fins propres les données personnelles que les internautes ne partagent pas ou alors de manière sélective, et surtout ne les vendent pas à des tiers.

6. Existe-t-il des traitements de données interdits ?

Chargé d’établir les règles qui régissent les traitements de données personnelles effectués par les organes publics, le Parlement dans sa fonction législative s’engage au respect du droit fondamental protégeant la sphère privée et l’autodétermination en matière informationnelle – droit grâce auquel la Constitution fédérale garantit aux cito­yens le respect de leur vie privée et de leur autonomie de vie. Il serait anticonstitutionnel que des lois introduisent des traitements de données étatiques conduisant à une érosion des normes fondamentales telles que la liberté d’expression ou le droit de participation politique.

Malheureusement, les promoteurs de la transformation numérique des administrations n’en saisissent pas toujours très bien les enjeux constitutionnels et démocratiques. Lors de la surveillance de ces projets, les autorités de protection des données doivent en permanence veiller à ce que les mécanismes de freins des pouvoirs de l’État de droit démocratique – tels que la répartition du pouvoir administratif entre des services spécialisés, la séparation des pouvoirs ou le fédéralisme – ne soient pas éliminés les yeux fermés comme des concepts obsolètes, mais soient intégrés à temps à l’automatisation des données.

La situation est tout autre quant aux traitements de données personnelles effectués par des privés. Dans leur principe, ils sont autorisés en Suisse et le droit de la protection des données, défini par des principes de base, ne répond que de manière générale et abstraite à la question de savoir à partir de quand les atteintes à la personnalité des personnes concernées, provoqués par ces traitements privés, atteignent un niveau que ne peuvent justifier ni un consentement ni des intérêts prépondérants.

Le droit de la protection des données fixe un seuil plutôt graduel de ce qui est admissible. En effet, il refuse de donner un caractère juridiquement con­traignant aux consentements à la collecte de données personnelles lorsque, profitant de l’ignorance ou d’un rapport de dépendance, ils dépassent la mesure de ce que requiert le traitement.

Une limite absolue est atteinte lorsque, par son consentement, une personne aliène sa liberté ou s’en interdit l’usage dans une mesure contraire à l’ordre juridique dans son ensemble ou aux mœurs, ainsi que l’exprime le code civil.

7. Dans quelle mesure la protection des données est-elle politique ?

Du point de vue historique, la protection des données peut être considérée comme découlant du modèle étatique fondamental du libéralisme.

Dans les États de droit libéraux comme la Suisse, la protection des données et de la personnalité confère à l’individu un droit au respect de sa sphère privée et de son autonomie de vie qui va au-delà d’un simple droit à l’existence. D’une part, cette prémisse distingue la société libérale des modèles de gouvernement et de société totalitaires qui font de l’individu l’objet d’une domination fondée sur la collectivité. D’autre part, un modèle de société axé sur la revendication du vivant individuel par l’épanouissement personnel contraste avec les structures organisationnelles performantes d’autres espèces (comme celle des fourmis) ou avec une technique dénuée de vie (comme l’intelligence artificielle).

Un modèle de société étatique et économique qui ferait de l’humain le simple objet de desseins collectifs telle que l’atteinte d’une sécurité policière, économique et sanitaire absolue et peut-être aussi d’une durabilité écologique absolue par « l’automesure » permanente et la surveillance continue, aboutirait à une érosion totale de la liberté et marquerait la fin de la protection des données.

Indépendamment de cette déduction historique de la protection des données, les autorités de protection des données s’acquittent de leurs tâches légales dans un État de droit démocratique de manière apolitique.