La révision déjà ratée de la Loi sur la protection des données
«Clairement insatisfaisante»: c'est ainsi qu'Alexis Roussel et Grégoire Barbey, de l’Association pour la protection et la reconnaissance de la vie numériqueLien externe, jugent la révision de la Loi de 1992 sur la protection des données adoptée mercredi 25 septembre par le Conseil national.
Si le Conseil des Etats peut encore corriger le tir, les espoirs de voir l’Assemblée fédérale se mettre d’accord sur une législation ambitieuse sont déjà réduits à néant. A contre-courant des pays européens, la Suisse traîne les pieds en matière de protection des données personnelles, alors qu’il s’agit d’un enjeu fondamental qui concerne à la fois les droits humains et l’avenir de la démocratie telle que nous l’avons connue jusqu’ici.
swissinfo.ch ouvre ses colonnes à des contributions extérieures choisies. Régulièrement, nous publions des textes d’experts, de décideurs, d’observateurs privilégiés, afin de présenter des points de vue originaux sur la Suisse ou sur une problématique intéressant la Suisse. Avec, au final, le souci d’enrichir le débat d’idées.
Dans l’intérêt de l’économie… vraiment?
La majorité du Conseil national a défendu et voté une version «light» de la législation sur la protection des données dans «l’intérêt de l’économie». Sans surprise, l’UDC et le Parti libéral-radical estiment que la loi doit être la moins contraignante possible. L’objectif? Favoriser l’innovation. Encore et toujours. Même si celle-ci se fait au détriment des droits les plus élémentaires de l’individu. Pourtant, compte tenu du contexte politique actuel en Europe sur la protection des données, le PLR et l’UDC ont fait un mauvais calcul. Les entreprises suisses doivent rapidement se mettre en conformité avec le Règlement général européen sur la protection des données (le fameux «RGPD»). Dans le cas contraire, elles en subiront les conséquences sur le plan économique.
Alors que le continent dans son ensemble s’accorde à dire que le RGPD est devenu un standard international, la Suisse semble encore une fois décidée à faire les choses à sa manière, comme si ce pays était complètement déconnecté de la réalité internationale. La Loi sur la protection des données doit au minimum s’apparenter dans les grandes lignes au cadre européen. Nous en sommes très loin.
Des autorités de protection des données sans vision
Mais comment s’étonner de cette situation quand on voit le manque d’engagement de la part du préposé fédéral à la protection des données et à la transparenceLien externe, Adrian Lobsiger? Lors de la journée suisse de la protection des données, organisée par son administration et à laquelle il était annoncé, le préposé n’était pas présent. Alors que l’Association francophone des autorités de protection des données personnelles se réunissait mi-septembre au Sénégal pour sa conférence annuelle, le préposé Adrien Lobsiger en personne n’a pas fait le déplacement avec la délégation suisse.
Contrairement à la présidente de la réputée Commission nationale française de l’informatique et des libertés (CNIL), par exemple. Des critiques internes font également état d’un préposé fédéral qui ne prend aucun risque. N’est-ce pas Adrian Lobsiger lui-même qui a découvert dans la presse qu’il serait l’autorité de régulation de Libra, la future monnaie virtuelle de Facebook?
Ne nous y trompons pas: cette souris grise convient parfaitement aux autorités politiques suisses, qui ont préféré nommer Adrian Lobsiger plutôt que l’ancien préposé fédéral suppléant Jean-Philippe Walter qui a œuvré pour l’application de la Loi sur la protection des données depuis 1993 et dont le travail fait autorité jusqu’au Conseil de l’Europe!
Il faut dire que le premier avait l’avantage de n’embarrasser personne avec des considérations politiques sur la question de la protection des données personnelles. Il ne faudrait quand même pas que l’autorité chargée de l’application de la loi fasse du zèle… Tout cela traduit un manque d’intérêt et surtout de compréhension des enjeux actuels de la part de la Suisse. Et comme le sujet n’est malheureusement pas populaire, de telles décisions à rebours du bon sens peuvent être prises dans le plus grand des calmes.
Des droits humains en danger
La protection des données personnelles est pourtant un domaine qui touche directement aux droits fondamentaux. Sur le plan juridique, le lien entre intégrité humaine et données personnelles n’existe pas encore. Mais cela ne saurait tarder. Tant les études scientifiques que les scandales comme Cambridge Analytica montrent à quel point les données personnelles sont intimement liées à l’individu, sa liberté, son autonomie, sa capacité à se former une opinion, à effectuer des choix éclairés. Les données personnelles font partie de l’être humain, elles n’en sont ni une abstraction, ni un patrimoine que l’on pourrait troquer contre des biens et services dans une vision purement mercantile.
C’est pourquoi d’ailleurs lorsque l’Assemblée fédérale ergote sur la liste des données qui doivent être considérées comme «très sensibles», on comprend à quel point le personnel politique est déconnecté d’une certaine réalité. A l’ère des données massives (Big Data), chaque information – même anonyme – sur une personne peut permettre de l’identifier grâce à des méthodes de profilage toujours plus sophistiquées.
Sur le site de la Confédération, l’explication de cette notion de «données sensibles» est d’ailleurs nuancée par l’administration elle-même! Extrait: «Quelles sont les données particulièrement sensibles? Il est difficile de se prononcer car même des données a priori anodines, comme le nom, l’âge ou l’adresse e-mail, peuvent être utilisées dans une intention déloyale. […] Mais encore une fois: en fonction du contexte, pratiquement toutes les données personnelles peuvent être considérées comme sensibles».
Les droits individuels ne seront plus garantis tant que la protection des données personnelles n’évoluera pas drastiquement. La collecte et l’exploitation de ces milliards d’informations chaque jour servent à influencer efficacement les comportements individuels. Les entreprises ne sont d’ailleurs pas les seules à adopter ces méthodes: les Etats ne s’en privent pas. Cela a des conséquences sur la notion même d’autonomie individuelle, de libre formation de l’opinion, de libertés!
Et pis: de la crédibilité des institutions démocratiques. Quand le résultat des votes peut être influencé à large échelle grâce à la collecte et l’exploitation des données personnelles, comme on l’a vu notamment avec Cambridge Analytica (élection de Donald Trump, référendum sur le Brexit), c’est la notion même de démocratie qui est mise en péril.
Changement d’approche philosophique
Il y a urgence. Cela doit se traduire par un changement d’approche philosophique. Les données personnelles doivent être redéfinies et considérées comme un élément constitutif de la personne humaine. C’est d’ailleurs cette vision que défend aujourd’hui l’Association francophone des autorités de protection des données personnellesLien externe, qui réunit une vingtaine de pays. Pour défendre l’humain dans la société moderne, il faut reconnaître qu’il a aujourd’hui une existence numérique, et que de cette vie dans la dimension immatérielle du virtuel découle la notion d’intégrité numérique, qui n’est que l’extension de l’intégrité physique et psychique déjà consacrée dans les législations et constitutions de nombreux Etats à travers le monde.
Les ergotages sur la nature sensible ou non de telle ou telle donnée sont anachroniques. Nous devons reconnaître qu’on ne peut pas exploiter ces informations comme nous le faisons aujourd’hui sans aliéner au passage l’individu. Les intérêts économiques n’excusent pas tout. Ce n’est pas parce que ces données sont à tort considérées comme le «pétrole du XXIe siècle» que les politiciens doivent cesser de réfléchir. Les entreprises ont largement de quoi innover avec les technologies modernes sans pour autant exploiter une partie de l’intégrité humaine.
Ce changement d’approche doit induire des évolutions juridiques importantes. Quand la Loi sur la protection des donnéesLien externe actuellement en discussion au Parlement envisage des sanctions de l’ordre de 50’000 francs pour une entreprise qui aurait violé la législation, on se rend bien compte que la protection des droits individuels en la matière n’est pas encore la priorité. Les autorités de protection des données personnelles doivent devenir les garants des droits humains numériques.
Quoi qu’il advienne de cette révision totale de la Loi sur la protection des données, la législation sera déjà obsolète lors de son entrée en vigueur. Obsolète du point de vue des règles introduites par les Etats voisins. Obsolète du point de vue des droits fondamentaux. Et le pire, c’est que tout le monde s’en fiche.
Le point de vue exprimé dans cet article est celui de ses auteurs et ne reflète pas forcément celui de swissinfo.ch.
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.