Sur la piste de la confiance dans l’État

La loi suisse révisée sur la protection des données entrera en vigueur au cours de l’année prochaine. De nombreux cantons et communes ont déjà anticipé certaines de ces nouvelles mesures. Une vue d'ensemble des changements – et un état des lieux concernant l’exploitation d'une protection conséquente des données pour l'État.

De Bruno Habegger · 5 octobre 2021

Neural Hash. Cela semble inoffensif, même le but serait louable: La nouvelle technologie d'Apple scanne les smartphones des clients à la recherche de la pédopornographie, signale les découvertes à Apple, où des personnes évaluent si la machine fonctionne correctement et, le cas échéant, appellent la police. Apple considère que toutes les informations sont stockées de manière cryptée sur le téléphone. Les défenseurs de la protection des données s'insurgent, et Edward Snowden s’est également manifesté depuis son exil pour condamner cette technologie. L'Open Privacy Research Society en déplore les effets à long terme pour chaque citoyen et citoyenne: «Chaque utilisateur d'iPhone est traité comme un criminel sans qu’il n’y ait le moindre soupçon.»

Souvent, on perçoit la protection des données comme une charge de travail supplémentaire et une gêne – au lieu de voir les opportunités qu’elle offre. Corinne Suter Hellstern

Cette technologie pourrait facilement être étendue à d'autres sujets; au fond, c’est la première fois qu’une entreprise a un accès permanent aux appareils de ses clients. Les protestations ont fonctionné: Apple a repoussé l'introduction de cette technologie pour le moment.

La protection des données crée la confiance
Cet exemple – un parmi tant d'autres – montre les effets d'une utilisation incontrôlée de la technologie. En 2018 déjà, un groupe d'experts de la Confédération avait constaté que l'espace numérique était considéré comme un espace privé et public étendu, «l'État a donc les mêmes devoirs de protection». Certaines des recommandations formulées à l'époque ont déjà été intégrées dans la révision de la loi sur la protection des données. Au niveau fédéral, elle entrera en vigueur dans le courant de l'année prochaine; déjà, certaines communes et certains cantons ont promulgué – indépendamment les uns des autres et du gouvernement fédéral – des dispositions issues d'une directive du Parlement européen de 2016. Vous trouverez les innovations les plus importantes dans l’encadré «Nouveautés». «Même pendant la crise, l’État doit être à la hauteur de la confiance de la population dans le traitement de ses données personnelles»: voilà comment Dominika Blonski, préposée à la protection des données du canton de Zurich, décrit cette tâche. C’est précisément la crise du coronavirus qui a considérablement accéléré la numérisation et donné naissance à de nouvelles collectes de données. Mais cela a également révélé ici et là des failles en matière de protection des données, comme le montre un coup d'œil aux rapports actuels des cantons sur cette protection. D. Blonski précise dans son propre rapport: «La protection des données est un droit fondamental. Tout traitement de données à caractère personnel constitue une atteinte à ce droit fondamental.»

Le canton de Zurich a également révisé récemment sa propre loi sur la protection des données et créé de nouveaux instruments qui seront aussi introduits au niveau fédéral l'année prochaine. Par exemple, l'analyse d'impact sur la protection des données (encadré) ou une obligation de déclaration complète pour les infractions à la sécurité. La préposée à la protection des données peut désormais prendre des dispositions, par exemple pour faire supprimer des données.

La protection des données, c’est la trace effacée dans la neige. Pouvoir se déplacer en toute sécurité, indétectable aux yeux des chasseurs et des collecteurs de données. (Photo: istock)
L'État doit être à la hauteur de la confiance de la population dans le traitement de ses données personnelles. Dominika Blonski, Préposée à la protection des données Canton de Zurich

Regard sur Saint-Gall
«La crise du coronavirus l'a montré: la protection des données est importante pour la population suisse, qui y est de plus en plus sensibilisée», déclare Corinne Suter Hellstern, préposée à la protection des données du canton de Saint-Gall. Elle évoque les discussions autour de l'application de contact tracing. La loi révisée sur la protection des données de Saint-Gall s'applique aux communes de Saint-Gall depuis 2019. Toutefois, les nouveaux instruments, tels que l'analyse d'impact sur la protection des données, n'ont pas encore été suffisamment adoptés par les communes, nous prévient la préposée à la protection des données du canton. «Souvent, on perçoit la protection des données avant tout comme une dépense supplémentaire et un frein aux projets», dit-elle, «au lieu d’y voir une chance de gagner la confiance des citoyens et citoyennes pour la numérisation.»

Alors que les cantons accumulent déjà leurs premières expériences et que la Confédération présentera une loi révisée sur la protection des données en 2022, le droit international et européen a depuis toujours été déterminant pour les deux niveaux pour leur propre législation en matière de protection des données. «La directive de l'UE est importante pour la Confédération et les cantons», déclare le préposé fédéral à la protection des données et à la transparence. La Suisse suit le mouvement afin d'avoir toujours le même niveau de protection des données que l'Europe et de pouvoir continuer à échanger des données dans l'espace Schengen. Le fait que certains cantons aient déjà introduit de nouveaux instruments est lié à la volonté d'une harmonisation nationale de la protection des données.

Souvent confondues - La protection des données désigne la protection de la sphère privée comme un droit fondamental universel. La sécurité des données désigne la protection technique de tout type d'information numérique. Les deux termes sont souvent confondus, mais ils vont de pair. En effet, sans sécurité des données, la protection des données est menacée. C’est pourquoi, avec la loi révisée, les failles de sécurité des systèmes informatiques doivent être signalées et les risques évalués.
Le citoyen a un droit inconditionnel à la transparence. Adrian Lobsiger, Préposé fédéral à la protection des données

L'informatique doit élargir sa vision
«Il est clair pour moi que le citoyen a un droit inconditionnel à la transparence. C'est dans l'intérêt de l'État de droit», disait dès 2017 le préposé fédéral à la protection des données Adrian Lobsiger. C'était peu avant l'introduction en Europe du RGPD, le système européen de protection des données. Pour Corinne Suter Hellstern, cette déclaration garde toute sa valeur aujourd’hui. «Sans la confiance des citoyens et citoyennes, pas de numérisation.» Selon elle, tout le monde doit collaborer encore plus étroitement, y compris les services informatiques et juridiques. Dans le domaine de l'informatique, les gens ne voient souvent que les possibilités, sans tenir compte du fait que l'État a besoin d'une base juridique pour chaque traitement de données. «Tout cela paraît très sec, mais c’est là qu’est la légitimité liée à  l'État de droit et à la démocratie – en effet, nous ne voulons pas d'un État de surveillance totalitaire.»

 

La protection des données c’est l'harmonie du troupeau. Un État est fondé sur le consensus des personnes relativement à la protection de leur liberté individuelle. (Photo: istock)

Nouveautés les plus importantes de la loi révisée suisse sur la protection des données, qui entrera en vigueur dans le courant de l'année 2022.

  • Protection des données des personnes physiques
    La loi révisée protège la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement des données. Les personnes morales ne sont plus incluses.
  • Protection étendue des données
    Désormais, on compte également parmi les «données particulièrement sensibles» les données génétiques (dans la mesure où elles servent à identifier des personnes) et les données biométriques. Tel est déjà le cas aujourd'hui par exemple avec les données de santé.
  • La protection des données avant tout
    Dans la loi révisée, les nouveaux principes sont «Privacy by Design» (protection des données déjà prise en compte lors du développement) et «Privacy by Default» (paramètres respectueux de la vie privée).
  • Analyse d'impact sur la protection des données
    Désormais, les particuliers doivent également effectuer une analyse d’impact sur la protection des données, si leur traitement implique un niveau de risque élevé.
  • Plus d'autorégulation
    Les associations professionnelles, sectorielles et économiques reçoivent
    des incitations à élaborer leurs propres codes de conduite, et à les soumettre au préposé fédéral à la protection des données et à la transparence (PFPDT) pour avis.
  • Conseils en matière de protection des données
    Les particuliers peuvent désigner un conseiller/une conseillère en matière de protection des données. Les organes fédéraux sont légalement tenus de le faire.
  • Répertoire des activités de traitement
    Les responsables ainsi que les sous-traitants doivent tenir à jour un registre de toutes les activités de traitement des données. Un allègement est prévu pour les petites entreprises et pour celles dont les opérations de traitement de données présentent un faible risque d’atteinte à la personnalité.
  • Extension des obligations d'information et droit à l'information
    Ce qui est nouveau, c'est qu’un responsable privé doit systématiquement, pour toute acquisition prévue de données personnelles, informer de manière appropriée la personne concernée , même si les données ne sont pas obtenues directement auprès d’elle. Concrètement, l'identité et les coordonnées de la personne responsable, le but du traitement et, le cas échéant, les destinataires des données personnelles doivent être divulgués. Il y a des exceptions. Entre autres, les traitements prévus par la loi sont exemptés de l'obligation d’information. Désormais, davantage de données doivent en outre être divulguées dans le cadre du droit d’accès.
  • Dispositions et décisions
    Le préposé fédéral à la protection des données (PFPDT) peut désormais également prononcer une décision juridiquement contraignante au lieu d'émettre une recommandation. Cette décision peut faire l'objet d'un recours auprès du Tribunal administratif fédéral ou du Tribunal fédéral. De plus, le PFPDT doit à l'avenir enquêter d'office sur toutes les infractions à la loi sur la protection des données.