La protection des données a-t-elle encore un rôle à jouer face au big data? Adrian Lobsiger, le nouveau Préposé fédéral à la protection des données et à la transparence (PFPDT), est convaincu que la loi n’a pas automatiquement besoin de suivre le rythme imposé par l’accélération du progrès numérique.
asut: Commençons par une définition: la protection des données, qu’est-ce que c’est?
Pour moi, en tant que PFPDT, la protection des données, c’est avant tout la protection de la sphère privée et la possibilité de mener une vie fondée sur l’autodétermination.
Passons tout de suite à une deuxième définition: qu’est-ce que la sphère privée exactement et pourquoi mérite-t-elle d’être protégée?
La sphère privée est ce qui se rapporte à mon être intérieur, à mes pensées et à ma conscience. C’est un espace que je ne partage qu’avec moi-même et mes proches. La sphère privée rime aussi toujours avec opinions et pensées. Il est vital, dans une société libre, que les citoyennes et citoyens disposent d’un espace où ils peuvent exprimer librement leurs opinions, y compris lorsque celles-ci ne sont pas politiquement correctes. Sans cet espace, l’individu ne peut pas évoluer et il ne peut pas manifester de la confiance à l’égard de son environnement et de la communauté dans laquelle il vit. Il est ici question des droits fondamentaux et des droits de l’Homme, d’une importance centrale pour le fonctionnement de l’Etat et de la société.
Qui n’a rien à cacher n’a rien à craindre, voilà ce que se disent beaucoup de gens pour se consoler. Est-ce aussi simple?
Est-ce que ces personnes-là seraient véritablement prêtes à partager avec des tiers tout ce qui se passe entre leurs quatre murs, qu’il s’agisse de leur sphère la plus intime, du choix des livres qu’ils lisent et des plats qu’ils cuisinent ou encore du contenu de leur poubelle? De telles informations peuvent en dire long sur les opinions et les obédiences de chacun. Je suis convaincu que cela irait beaucoup trop loin aux yeux de l’immense majorité des gens. Le plus souvent, toutefois, c’est après avoir subi une violation de la sphère privée que nous nous rendons compte que nous sommes sensibles à de telles intrusions, comme en témoignent les réactions indignées de l’opinion publique à l’affaire Snowden.
Industrie 4.0, Smart Factories, Smart Cities, Smart Cars, Smart Homes, Smart Wallets ou Quantified Self: la numérisation poursuit sa marche en avant, des quantités de données toujours plus grandes sont saisies, mises en relation et dépouillées. La protection des données peut-elle encore exister à l’ère du big data?
Je souhaiterais tout d’abord faire remarquer que l’accumulation de grandes quantités de données qui concernent un grand nombre de personnes ainsi que leur vie privée et publique n’est pas un phénomène nouveau. Cela existait déjà avant la révolution numérique, dans les administrations centrales monarchiques de l’Ancien Régime, à l’époque du Troisième Reich ou encore en ex-RDA, alors que l’Etat, sans les moyens électroniques qu’on connaît aujourd’hui, recueillait dans tous les domaines possibles et imaginables des données sur ses citoyennes et citoyens et les utilisait afin de les surveiller et de les poursuivre. De telles tendances ne sont, en elles-mêmes, pas le fruit des nouvelles technologies.
Cependant, grâce à la technologie, le big data permet de consulter en très peu de temps, par corrélation, de gigantesques quantités de données, y compris non structurées, provenant des sources les plus diverses, ce qui, à titre d’exemple, représente un volume un peu plus élevé que les dossiers secrets de la Stasi...
Il est clair qu’il existe aujourd’hui des moyens technologiques complètement différents permettant l’exploitation massive des données. Les capacités de calcul ainsi que les immenses quantités de données saisies à l’aide de capteurs flirtent avec notre sphère privée. Dans un proche avenir, presque tous les appareils seront dotés de capteurs, capables de saisir des signaux optiques, acoustiques ou autres de notre environnement, et de les transmettre par Internet aux destinataires les plus divers, aux fins les plus diverses. Une telle évolution remet en question le contrôle sur nos propres données, ce qui est un sérieux problème eu égard à notre autodétermination. Bien sûr, je vois aussi les aspects positifs. Les analyses big data permettent, à partir des sources les plus diverses, de tirer des enseignements utiles pour la société dans son ensemble, par exemple à des fins de recherche ou dans le domaine médical. Par ailleurs – et, en tant que préposé à la protection des données, cela me donne de l’espoir – le big data donne aussi la possibilité, si l’on s’en donne les moyens, de rendre anonymes de grandes quantités de données à caractère personnel et de protéger ainsi la sphère privée.
Que signifie l’évolution numérique pour la protection des données?
Elle a très fortement élargi notre champ de travail. Auparavant, notre compétence se limitait aux données à caractère personnel. L’anonymisation de grandes quantités de données sources évoquée plus haut fait que nous sommes aujourd’hui aussi confrontés à des projets dont le but n’est pas le traitement des données à caractère personnel. Nous devons en effet nous assurer que les méthodes d’anonymisation utilisées correspondent à l’état actuel de la technique, de sorte qu’il soit impossible de remonter à des personnes concrètes même par des corrélations avec d’autres blocs de données. Plus il y a de données accessibles aux machines (accès exclusif ou libre accès) et, partant, plus il y a de données comparables, plus le travail d’anonymisation est important. Notre travail devient ainsi de plus en plus technique. L’autorité de protection des données n’a aujourd’hui plus besoin uniquement d’un savoir-faire juridique, mais doit aussi s’attacher les services d’informaticiens et disposer de connaissances en cryptologie.
Quelle est la tâche du PFPDT face au big data et quelle est sa marge de manœuvre?
Ma tâche, en tant que préposé à la protection des données, n’est pas de faire peur aux gens. Je veux les sensibiliser, dans leur vie de tous les jours, et pas seulement dans le contexte d’hystérie collective qui accompagne chaque nouveau scandale sur la protection des données. Une société mature doit s’interroger sur le conflit qui oppose sécurité et liberté et prendre le pouls de l’opinion publique en vue de garantir durablement les droits fondamentaux.
Le deuxième point est la défense de certains principes juridiques. Le droit n’est certes pas en mesure de façonner la réalité, mais il peut contribuer à la rendre socialement acceptable. Être pour ou contre les nouvelles technologies constitue un débat qui n’a pas lieu d’être: elles font partie de notre monde. Cependant, si l’on admet que la protection des données est synonyme d’autodétermination, il est important de prendre en compte les intérêts des minorités, même si leur pouvoir d’achat a peu de poids dans l’économie. Lorsque les autorités ou des entreprises proches de l’Etat planifient des projets de données de grande ampleur, il peut donc être indiqué, pour les mettre en œuvre, de s’appuyer sur une base légale formelle, c’est-à-dire sur une loi qui suit la procédure parlementaire et qui peut même, au final, être soumise au peuple.
Que comprend cette base légale?
En tant que préposé à la protection des données, je ne suis pas partisan d’ancrer tous les détails dans la loi. Toutefois, pour les projets de grande ampleur qui impliquent des atteintes importantes à la sphère privée ou à l’autodétermination, je réclame la tenue d’un débat politique afin de savoir si nous acceptons ces atteintes et dans quelle mesure, afin de savoir quelles alternatives la société est prête à admettre et afin de savoir quels sont les intérêts minoritaires qui doivent selon nous être protégés, même si cela peut se révéler coûteux et compliqué. Est-ce que les personnes âgées vivant dans les EMS doivent encore pouvoir renoncer à l’e-banking sans subir des hausses de prix prohibitives? Est-ce que, pour une excursion touristique d’une journée, les données personnelles et même la photo des voyageurs doivent être consignées auprès des sociétés de transport? Un programme de traitement de texte basé sur le cloud nécessite-t-il une connexion à la caméra activée à l’avance ou voulons-nous nous accorder sur le principe «Privacy by Default», c’est-à-dire appliquer pour chaque produit uniquement les paramètres de base strictement nécessaires pour la fonction spécifique de ce produit? Pour les projets de grande ampleur, voulons-nous imposer le principe «Privacy by Design», qui consiste à inclure dès le début la protection des données dans la conception globale et à indiquer, en toute transparence, quelles données sont prélevées et dans quel but?
Ma tâche est de faire en sorte que ce débat puisse avoir lieu. Je peux m’exprimer publiquement et être aussi entendu par le législateur. Les réponses qui seront données à ces questions seront de nature politique.
Est-ce que le Parlement fédéral est sensibilisé aux questions liées à la protection des données? Quel est votre sentiment?
La politique suisse entend exploiter pleinement le potentiel de la révolution numérique. Un pays comme la Suisse, fort de son pôle de formation de premier ordre, a de grandes chances de voir sa jeunesse jouer les premiers rôles aussi bien dans le domaine de la recherche que dans la mise en œuvre commerciale des possibilités numériques. Je pense toutefois que le Parlement s’est rendu compte qu’une protection des données crédible et qu’un niveau élevé de sécurité des données constituent un avantage sur le marché: c’est le verso de la carte de visite d’un pays innovant. En tant que Préposé fédéral à la protection des données, je m’investis dans ce domaine en apportant un regard critique et constructif.
La numérisation est un phénomène mondial. Bon nombre des centres de calcul importants qui hébergent nos données se trouvent hors de nos frontières: que peut faire la petite autorité de protection des données d’un seul pays face aux grands groupes informatiques opérant à l’échelle internationale?
Nous pouvons tout à fait agir. Même si les possibilités dont nous disposons pour infliger des sanctions sont limitées, nous pouvons exercer une pression publique et, si nécessaire, faire valoir nos recommandations publiques devant les tribunaux fédéraux. L’abus de pouvoir, qu’il soit de nature économique ou étatique, entraîne toujours une perte de confiance et une contre-réaction. Par conséquent, pour les grands groupes aussi, la réputation est une valeur importante. Lorsque nous leur écrivons et leur soumettons des recommandations, ils sont généralement très disposés à les suivre. Et comme il s’agit souvent de produits et d’applications proposés partout dans le monde, nous essayons de communiquer avec les autorités de protection des données des autres pays et de nous coordonner avec elles. Par exemple, nous suivons très attentivement la procédure encore en cours du préposé à la protection des données de Hambourg, qui a interdit fin septembre à Facebook de prélever et d’enregistrer des données appartenant aux utilisateurs de WhatsApp. Nous apportons notre soutien au Conseil fédéral dans ses négociations afin que la Suisse se dote d’un instrument de protection des données au moins équivalent à l’accord Privacy Shield que l’UE est parvenue à obtenir. Est-ce que cet instrument peut voir le jour à moyen terme? C’est la jurisprudence des tribunaux qui en décidera.
A cela s’ajoute le fait que bon nombre des grands monopolistes, qui semblent aujourd’hui très innovants et très puissants, sont en réalité vulnérables. L’Histoire nous montre que, assez souvent, les grandes entreprises monopolistiques présentes au début de chaque transformation technologique majeure finissent par se désagréger avec le temps. Depuis des années, l’évolution numérique met sur la touche les intermédiaires qui ne parviennent plus à générer une valeur ajoutée suffisante. Les nouvelles technologies telles que la blockchain ne menacent pas uniquement les branches traditionnelles telles que le secteur bancaire, mais aussi des acteurs puissants de l’économie numérique, comme Amazon par exemple.
En Suisse, on s’apprête à réviser la loi sur la protection des données. Qu’est-ce qui, de votre point de vue, est particulièrement important à cet égard?
Il est important d’ancrer dans les mentalités les principes évoqués précédemment, tels que le principe «Privacy by Design». Il s’agirait ainsi, pour les gros projets sensibles en matière de protection des données, d’exiger une évaluation des risques ou la mise en place de bonnes pratiques spécifiques à la branche. Autre point important: les utilisatrices et utilisateurs d’Internet doivent être informés de façon intègre et transparente concernant l’acquisition et le traitement de leurs données. En outre, les compétences de mon autorité doivent également être renforcées.
Soyons clairs: dire que la dynamique de la numérisation exonère celle-ci de tout cadre légal est une affirmation fallacieuse. Il est tout aussi faux de dire que les bases légales doivent être entièrement repensées uniquement en raison des énormes progrès de la technologie.
Ce qu’il faut retenir, c’est que la teneur de la loi sur la protection des données doit être indépendante de la technologie. Les détails spécifiques à la technologie et à son utilisation n’ont pas à être pris en compte dans la loi. Ils doivent être traités à un niveau inférieur. Cela empêchera, précisément, que la loi doive en permanence s’adapter à l’évolution technologique.
Interview: Christine D’Anna-Huber