La Convention sur la protection des personnes lors du traitement de données à caractère personnel souffle ses 40 bougies le 28 janvier 2021

La Convention sur la protection des personnes lors du traitement de données à caractère personnel (Convention 108) ouverte à la signature le 28 janvier 1981 fête, à l’occasion de la 15e journée de la protection des données, ses 40 ans. Au travers de son protocole d’amendement ouvert à la signature le 18 mai 2018, la désormais Convention 108+ demeure plus que jamais actuelle et de par sa vocation universelle et son caractère ouvert et flexible offre un cadre juridique fort, moderne et dynamique pour la protection des droits humains et des libertés fondamentales, y compris le droit à la vie privée, à la dignité et à l’intégrité de toute personne dont les données font l’objet d’un traitement. Le droit à la protection des données est aujourd’hui une nécessité absolue et une condition de la société démocratique dans un monde toujours plus numérique et interconnecté dominé par quelques grands acteurs qui dictent de plus en plus les choix des individus et orientent leur comportement. On assiste au développement d’un « capitalisme de surveillance » qui de manière peu transparente dirige nos vies à partir des données personnelles que nous mettons, trop souvent imprudemment, à disposition des différents acteurs du numérique. Il est urgent que nous reprenions le contrôle et le pouvoir sur nos données personnelles et exerçons pleinement nos droits énoncés dans la Convention et repris dans nos législations nationales.

Nous devons faire face à une pandémie mondiale qui s’ajoute aux crises humanitaires, à de nombreux conflits armés, à des vagues de terrorisme et à une montée de tendances autoritaires et nationalistes. Ces crises attisent les velléités de restreindre les droits des personnes, fragilisant l’édifice des droits de l’Homme.  Le risque d’une mise sous surveillance généralisée des citoyens et citoyennes du monde entier est un danger que nous ne pouvons pas sous-estimer.  Il est dès lors important que le respect des droits humains et des libertés fondamentales soit renforcé et soit une priorité absolue dans toutes les régions du monde.

« Les Etats doivent faire face à la menace que fait peser la pandémie de la Covid-19 tout en veillant au respect de la démocratie, de l’État de droit et des droits de l’homme, y compris des droits au respect de la vie privée et à la protection des données. »[1] Il est bon ainsi de rappeler que même en période de crise, comme celle que nous affrontons au travers de la Covid-19, le respect des règles de protection des données doit être garanti. L’urgence de la mise en place de mesures sanitaires pour maîtriser et arrêter la propagation de la pandémie, ainsi que prodiguer les soins aux personnes touchées et sauver des vies n’est pas remise en question ; elle ne peut cependant justifier un affaiblissement de la protection des droits humains et des libertés fondamentales, même en cas de situation extraordinaire. Ainsi les dispositions de protection des données de la Convention 108, tout en garantissant le respect des droits de personnes, sont parfaitement conciliables et compatibles avec le respect d’autres droits fondamentaux, comme le droit à la santé et d’autres intérêts publics prépondérants.  Ces règles ne sont pas là pour entraver les mesures à prendre qui nécessitent le traitement de données à caractère personnel. Elles permettent de rechercher le juste équilibre entre les différents intérêts légitimes en présence. Dans ce contexte, les principes de proportionnalité, de minimisation des données, de finalité légitime et de transparence revêtent un rôle fondamental. Or force est de constater que la multiplication des mesures entraînant le traitement de données personnelles prises trop souvent dans l’urgence ou la précipitation ou le développement et le recours désordonné et hasardeux à des applications et des technologies de traçage des individus au nom de la lutte contre la Covid-19 remet en cause cet équilibre au détriment du respect du droit à la protection des données. L’examen de la nécessité, de la faisabilité, de l’efficacité et de l’opportunité de certaines mesures, ainsi que l’évaluation de leur impact sur les droits humains et les libertés fondamentales n’est pas toujours mené avec toute la rigueur nécessaire.  Les principes de mise en conformité, de prise en compte de la protection des données dès la conception et protection des données par défaut font partie intégrante d’une véritable politique de vie privée. La licéité d’une mesure mérite également un examen minutieux. Si, notamment pour faciliter la confiance et l’acceptabilité d’un système numérique de suivi, le recours à ce système se fait sur la base du volontariat et donc du consentement des personnes concernées, il est crucial que ce consentement demeure libre et que les personnes concernées ne soient pas pénalisées, discriminées ou stigmatisées du fait du refus d’utiliser un tel système. Le caractère facultatif de la vaccination Covid-19 ne peut s’accompagner de fichiers recensant les personnes refusant le vaccin ou de l’obligation de détenir un passeport de vaccination pour voyager, assister à un spectacle ou à une manifestation sportive, aller au travail ou entrer dans des magasins. En effet si l’État pour des raisons de santé publique estime qu’il est nécessaire que le plus grand nombre se fasse vacciner, il peut introduire une obligation légale de vaccination légitimant dès lors le passeport. Il ne doit pas laisser le soin à différents acteurs du secteur privé d’imposer un tel passeport, mais régler son introduction et son utilisation. Cette crise démontre également l’importance du rôle des autorités de protection des données qui doivent plus que jamais exercer leurs compétences et leurs pouvoirs tels qu’ils sont définis dans la Convention 108+. Il s’agit d’une part de sensibiliser et rappeler aux responsables de traitement leurs obligations, et d’autre part de contrôler et sanctionner les violations. Les responsables de traitement et leur sous-traitant ont l’obligation de se mettre en conformité avec les exigences de protection des données et être en mesure de le démontrer pour l’ensemble des activités de traitement de données personnelles qu’ils conduisent.

On le voit au travers de cette crise sanitaire, comme pour d’autres crises, le droit à la protection des données doit faire face à de nombreux défis. Afin d’assurer un encadrement des traitements de données à caractère personnel aussi étendu et large que possible, il est urgent que toutes les régions du monde bénéficient d’un niveau de protection des données approprié répondant aux standards élevés de la Convention 108+. Ainsi l’ensemble des Parties à la Convention 108 se doivent d’accepter sans attendre le protocole d’amendement afin que la Convention 108+ puisse rapidement entrer en vigueur et que d’autres États puissent être invités à y adhérer dans l’optique d’assurer cette indispensable garantie universelle du droit à la protection des données.

Jean-Philippe Walter, 27 janvier 2021


[1] Déclaration conjointe sur le droit à la protection de données dans le contexte de la pandémie de Covid-19, 30 mars 2020, https://www.coe.int/fr/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter

Le Conseil de l’Europe et la protection des données, en particulier la Convention 108+[1]


[1] Exposé dans le cadre du 11ème Séminaire Régional UniDem Med, « Vers une administration orientée vers les usagers» (visioconférence, 13 – 15 octobre 2020), texte également publié sur https://rm.coe.int/commission-de-venise-conseil-de-leurope-et-protection-des-donnees/1680a002fb

Nous avons eu l’affaire Snowden et ses révélations qui ont mis en lumière l’ampleur de la surveillance de masse mise en place par certaines autorités publiques. Parallèlement la numérisation de nos sociétés s’est poursuivie et s’est accélérée. La crise sanitaire que nous traversons y a également contribuée obligeant de nombreuses personnes à travailler, à apprendre, à partager et à socialiser à distance. Les réunions et conférences en ligne ont supplanté pour un temps du moins le présentiel. La numérisation de la société suscite aussi de grands espoirs pour améliorer nos conditions de vie et notre bien-être. Elle est souvent présentée comme la solution à tous nos problèmes. S’il est incontestable que le développement des technologies de l’information et des communications est un facteur de progrès dans de nombreux secteurs d’activités privés ou publics, force est de constater que la numérisation comporte aussi de nombreux risques et peut s’avérer « un formidable support à la surveillance et à l’instrumentation » des citoyens et citoyennes. Ces technologies, ne l’oublions pas, peuvent se montrer de plus en plus invasives et intrusives dans nos vies privées, à l’image de développements fulgurants dans le domaine de la biométrie, de la reconnaissance faciale et de l’intelligence artificielle ou encore des techniques de profilage toujours plus fines. L’affaire Clearview révélée au début 2019 par le New York Times qui a permis à cette start-up d’aspirer des milliards de photos postées sur internet et de proposer ses services de reconnaissance faciale à différentes autorités de police aux Etats-Unis ou la généralisation programmée de la reconnaissance faciale en Chine ne sont que des exemples des nombreux dérapages que jour après jour nous devons constater et qui grignotent systématiquement notre vie privée au point de la rendre illusoire si nous ne réagissons pas fortement et ne stoppons pas cette marche vers une société de surveillance généralisée – qui je le souligne n’est pas seulement le fait d’autorités publiques, mais tend à devenir le modèle économique de nombreuses entreprises actives dans le numérique. Une absence de réaction pourrait ainsi sonner le glas des droits humains et de la démocratie. C’est un défi considérable pour le respect des droits de l’Homme et des libertés fondamentales, notamment le droit à la vie privée. Il est dès lors impérieux de veiller à ce que la numérisation et le développement des technologies de l’information et des communications se fassent au bénéfice de l’humanité, respecte la dignité et le droit à l’autodétermination informationnelle de chaque être humain et s’inscrive dans un cadre démocratique. Le droit à la vie privée et à la protection des données est ainsi un droit fondamental essentiel au bon fonctionnement des sociétés modernes et démocratiques évoluant dans un environnement numérique.

Le droit au respect de la vie privée est universellement reconnu par l’article 12 de la Déclaration universelle des droits de l’homme et par l’article 17 du Pacte international relatif aux droits civils et politiques. Au niveau régional, il est également inscrit à l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950. On le retrouve également à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, lequel inclut également le droit à la protection des données.

Le Conseil de l’Europe est depuis de longue date un acteur incontournable dans le contexte de la défense de l’État de droit, de la démocratie et de la garantie des droits humains et des libertés fondamentales, y compris le droit à la vie privée. Ce rôle central du Conseil de l’Europe dans la défense des droits humains en relation avec le traitement des données à caractère personnel se manifeste à partir des années 70 avec l’adoption de deux résolutions (73) 22 et 74 (29) définissant les principes de protection des données à caractère personnel dans les traitements automatiques de banques de données dans les secteurs privé et public. Ces deux résolutions ont été adoptées parallèlement à l’apparition des premières législations nationales de protection des données.

Très rapidement ayant constaté la dimension que prenait le traitement de données personnelles et les risques qui en découlaient, le Conseil de l’Europe franchit une étape de plus en élaborant une Convention, la Convention sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ouverte à la signature le 28 janvier 1981 (Convention 108), laquelle sera complétée par un protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données du 8 novembre 2001.

La Convention 108 est à ce jour le seul instrument international juridiquement contraignant régissant le droit à la protection des données. C’est une convention qui n’est pas réservée aux seuls États membres du Conseil de l’Europe, mais se veut une convention ouverte à l’adhésion de pays non européens. En effet tout État disposant d’une législation de protection des données conforme aux exigences de la Convention 108 peut demander à y adhérer. A ce jour, les 47 États membres du Conseil de l’Europe l’ont ratifiée et 8 États tiers provenant d’Amérique latine et d’Afrique, dont le Maroc et la Tunisie, y ont adhéré. La Convention 108 définit les principes de base de la protection des données qui sont universellement reconnus, ce qui lui donne une portée universelle. Elle a un champ d’application large et couvre ainsi tout traitement de données à caractère personnel du secteur public et du secteur privé, y compris les traitements de la justice, de la sécurité nationale, de la défense et des services de renseignements.

La Convention 108 a fait l’objet d’une modernisation pour répondre aux développements juridiques et technologiques intervenus depuis son adoption, notamment suite à l’arrivée de l’Internet, des objets connectés, des téléphones intelligents, de l’exploitation des mégadonnées et du développement de l’Intelligence artificielle ou des réseaux sociaux. Cette modernisation nécessaire a pour objectif de renforcer les droits des personnes, de faciliter les flux de données, d’asseoir son caractère ouvert et universel et d’offrir ainsi une alternative crédible à l’absence d’un instrument juridique contraignant au niveau mondial. Les travaux de modernisation ont abouti à l’adoption d’un protocole d’amendement le 18 mai 2018, ouvert à la signature des Parties, le 10 octobre 2018. La désormais Convention 108+[1] a, à ce jour, été signée par 34 États et 8 l’ont ratifiée[2].  

L’objectif de la Convention 108+, tel que défini en son article 1, est de « protéger toute personne physique quelle que soit sa nationalité ou sa résidence, à l’égard du traitement de données à caractère personnel, contribuant au respect de ses droits de l’homme et de ses libertés fondamentales et notamment son droit à la vie privée ». La protection des données se veut ainsi un droit de l’Homme au service de l’exercice d’autres droits humains et libertés fondamentales, en particulier pour « garantir l’autonomie personnelle fondée sur le droit de la personne de contrôler ses propres données à caractère personnel et le traitement qui en est fait » et pour « garantir la dignité humaine »[3]. Ces garanties sont fondamentales, notamment en relation avec le débat autour des identités numériques, le développement de l’Intelligence artificielle, l’exploitation des mégadonnées et le profilage des personnes afin qu’elles ne soient pas de simples objets du traitement.

La Convention n’est pas d’application directe et implique aux termes de son article 4 que les États parties transposent dans leur droit interne les exigences de la Convention. Afin de renforcer l’effectivité des engagements des Parties et des mesures mises en place pour donner effet aux dispositions de la Convention, la Convention 108+ prévoit que ces mesures doivent être prises et effectives au moment de la ratification ou de l’adhésion. En outre, le comité conventionnel devra mener des évaluations pour vérifier l’efficacité des mesures qui ont été prises. Un mécanisme d’évaluation standardisé sera mis en place.

La Convention 108+ énonce les principes de base de la protection des données que sont en particulier la licéité et la loyauté du traitement, l’obligation de traiter des données uniquement en relation avec une finalité déterminée, légitime et explicite, la qualité des données (les données traitées doivent être pertinentes, non excessives, exactes et conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées) (art. 5). Pour ne pas être excessives, les données doivent se limiter à ce qui est nécessaire par rapport aux finalités ; elles ne devraient être traitées que dans la mesure où ces finalités ne peuvent être raisonnablement atteintes en utilisant des informations ne comportant pas de données à caractère personnel. On vise non seulement des aspects quantitatifs, mais également qualitatifs : les données peuvent s’avérer pertinentes, mais néanmoins entraîner une ingérence disproportionnée ou excessive et dès lors elles ne doivent pas être traitées.

La Convention 108+ en son article 5.1, met un accent particulier sur le principe de proportionnalité du traitement. La proportionnalité doit être garantie non seulement quant aux données collectées, mais également par rapport aux méthodes, aux moyens et aux phases du traitement des données. Elle définit également les motifs de légitimité du traitement. Il peut reposer soit sur le consentement libre, spécifique, éclairé et non-équivoque des personnes concernées, soit sur tout autre fondement légitime prévu par la loi, par exemple un contrat, les intérêts vitaux des personnes, une obligation légale ou des motifs d’intérêt public, voire un intérêt légitime prépondérant. Le traitement de données sensibles définies à l’article 6 n’est possible que moyennant des garanties appropriées supplémentaires prévues par le droit interne pour prévenir les risques pour les intérêts, droits et libertés fondamentales de la personne, notamment le risque de discrimination. En particulier, lorsque le traitement se base sur le consentement de la personne concernée, celui-ci devra être explicite.

La Convention 108+ énonce les droits des personnes concernées (art. 9). Au côté notamment du droit d’accès aux données qui les concernent, la Convention en relation notamment avec l’IA et le profilage des personnes, prévoit en particulier un droit de ne pas être soumis à une décision l’affectant de manière significative qui serait prise uniquement sur le fondement d’un traitement automatisé de données, sans que son point de vue ne soit pris en compte. Ce droit est complété par celui d’obtenir connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués. Les personnes concernées se voient également bénéficier d’un droit d’opposition au traitement, du droit de faire rectifier ou effacer les données et doivent pouvoir disposer d’un recours effectif lorsque leurs droits ont été violés.

La Convention 108+ énonce également les obligations des responsables de traitement et des sous-traitants, notamment l’obligation d’annonce des failles de sécurité, de transparence des traitements et de mise en conformité, l’obligation de procéder à des analyses de l’impact potentiel du traitement sur les droits et libertés fondamentales et celle de protection des données dès la conception et par défaut (art. 10). La Convention ne prévoit pas la possibilité d’émettre des réserves lors de la ratification. Toutefois aux termes de l’article 11, des dérogations à certaines dispositions (par exemple aux droits des personnes concernées) sont possibles pour autant que cela soit prévu par la loi, respecte l’essence des droits et libertés fondamentaux et constitue une mesure nécessaire et proportionnée dans une société démocratique à des fins déterminées énoncées dans la Convention.

Enfin la Convention règle les flux transfrontières de données selon le principe du libre flux entre États Parties sous réserve d’un régime spécifique. Le transfert vers un destinataire dont l’État ou l’organisation n’est pas partie à la Convention est envisageable dans la mesure où un niveau approprié de protection peut être garanti conformément à l’article 14. En l’absence de niveau suffisant, le transfert reste possible à certaines conditions. La Convention 108+ prévoit la mise en place d’autorités de surveillance indépendantes dotées de pouvoirs d’investigation et d’intervention. Ces autorités doivent pouvoir coopérer entre-elles (art. 15ss). Un comité conventionnel est également mis en place pour assurer la bonne application des dispositions de la Convention et assurer le suivi (art. 22ss).

En résumé, la Convention 108+ offre un niveau élevé de protection des données similaires à celui du RGPD. Elle apporte une réponse globale au défi découlant des traitements de données personnelles dans un monde globalisé et interconnecté. De par son approche générale et non technologique, la Convention est un instrument souple tout en offrant un socle commun de règles et de principes fort, ayant une portée universelle sur lequel il est possible de construire pour répondre aux défis internationaux tout en tenant compte des diversités. Nous sommes en présence de règles équilibrées et ambitieuses. Elle assure une parfaite cohérence avec le cadre juridique de l’Union européenne et se veut une passerelle entre le droit européen et d’autres systèmes juridiques. Dans le cadre des transferts internationaux de données, elle sera un élément clé dans l’appréciation du niveau d’adéquation au regard du RGPD. En l’absence d’une convention universelle sous l’égide de Nations Unies, la Convention 108+ offre ainsi une alternative adéquate. Il est dès lors important que l’ensemble des Parties à l’actuelle Convention 108 ratifie la nouvelle Convention 108+, que celles-ci rentrent rapidement en vigueur et que de nombreux États non-membres du Conseil de l’Europe qui en remplissent les critères puissent y adhèrer.

Le Conseil de l’Europe œuvre à la sauvegarde et à la promotion des droits à la vie privée et à la protection des données non seulement sur le plan conventionnel, mais aussi notamment par des actions de coopération au niveau régional et mondial, par l’adoption de recommandations sectorielles ou thématiques, notamment dans le domaine de la santé, de l’emploi, des assurances, par l’adoption de lignes directrices ou d’avis interprétatifs. En particulier en relation avec l’Intelligence artificielle, le comité consultatif de la Convention 108 a adopté des lignes directrices sur la protection des personnes à l’égard du traitement des données à caractère personnel à l’ère des mégadonnées du 23 janvier 2017 et des lignes directrices sur l’intelligence artificielle et la protection des données du 25 janvier 2019. D’autres comités au sein du Conseil de l’Europe travaillent sur la problématique de l’IA et un comité intergouvernemental ad’hoc travaille à l’élaboration d’une éventuelle convention en la matière. Pour sa part, le comité consultatif travaille actuellement à l’élaboration de lignes directrices relatives à la reconnaissance faciale et à la protection des données des enfants dans le domaine éducatif. Il pourrait en faire de même au sujet de la problématique des identités numériques, ainsi que la protection des données dans le cadre des campagnes politiques. Il prépare également une recommandation sur le profilage et pourrait s’atteler à préciser le cadre de protection des données dans le domaine de la sécurité nationale et des services de renseignement.


[1]https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65c0 

[2] https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/223/signatures

[3] Préambule, 2ème considérant

Collaboration digitale pendant la crise du Coronavirus dans le domaine scolaire

Collaboration digitale pendant la crise du Coronavirus dans le domaine scolaire

La pandémie COVID19 crée des menaces et des défis sans précédent pour les personnes du monde entier. La nécessité d’arrêter sa propagation et de soigner ceux qui souffrent est un objectif majeur partagé par toutes les nations.

Ainsi depuis le 13 mars dernier des mesures ont été prises en Suisse qui ont abouti à la fermeture des écoles et au confinement de la population, sans que pour autant l’enseignement soit arrêté. En effet, les enseignant(e)s ont été invité(e)s à assurer les cours sans pour autant nécessairement leur donner les instruments adéquats pour ce faire.

Ainsi en l’absence de plateforme officielle, nombreux(ses) enseignant(e)s  ont cherché dans l’urgence et sans préparation des solutions numériques pour, tant bien que mal, poursuivre l’enseignement. La plupart ont recouru à des applications utilisées à grande échelle comme Whatsapp, Skype, Facetime, Zoom, Google, Messenger ou Dropbox, etc. Les professeurs et les élèves ont même été invités à faire des petites séquences vidéo en vue de leur publication sur les réseaux sociaux. La question de la protection des données et du respect de la vie privée des élèves et des enseignant(e)s a été ainsi mise sous silence. Or le recours à des services proposés par les GAFAMs n’est pas sans risque (fuite de données, accès illicite aux données, notamment carnet d’adresses, échange de données entre les plateformes à l’insu des personnes concernées, traçage et profilage des personnes, collecte disproportionnée de données personnelles, sécurité des données lacunaires). Ces applications dites gratuites, ne le sont pas : l’utilisateur est le produit et paye avec ses données ! On le sait ces sociétés qui fournissent ces applications collectent toute sorte de données sur tout un chacun dans des buts plus ou moins obscurs. Zoom par exemple a transmis des données à Facebook même si l’utilisateur n’a pas de compte sur ce réseau social ou à accéder à des données d’utilisateurs de Linkedin.

Certains professeurs se sont inquiétés de cette situation et se sont interrogés sur les risques inhérents à l’utilisation de ces outils tout en posant la question de savoir s’il n’y avait pas d’alternatives. Il existe effectivement de nombreux produits suisses et européens qui permettent d’assurer la protection des données et le respect de la vie privée (vous trouverez des informations à ce sujet en consultant les liens ci-dessous). Voici déjà quelques suggestions que je peux recommander :

  • Deux bonnes alternatives à Whatsapp  et Messenger avec les mêmes fonctionnalités:
  • Threema, produit suisse, à acheter pour quelques francs symboliques, mais entièrement sécurisé et qui ne collecte pas de données sur les utilisateurs. N’a pas la fonction vidéo par contre ;
  • Signal.
  • Pour remplacer Zoom ou Skype :
  • Meet Infomaniak, produit suisse. Le plus sécurisé à ma connaissance, facile d’emploi ;
  • Jitsi meet, similaire à Infomaniak, mais un peu moins sûr.
  • Pour le transfert de fichiers, de vidéos ou de séquences musicales, Swisstransfer, un autre produit proposé gratuitement, mais sûr, de l’enteprise Infomaniak
  • Moteur de recherche : Qwant
  • Navigateur Web : Firefox
  • Si vous souhaitez un mail sécurisé, vous pouvez recourir à Protonmail.com.

Si pour certains, il est difficile de revenir en arrière et souhaitent dès lors durant cette période particulière continuer à utiliser Whatsapp et consorts, ils se doivent néanmoins de limiter strictement les informations qu’ils collectent et qu’ils communiquent /échangent via ces applications.

En outre, il convient de s’abstenir de publier sur les réseaux sociaux des photos ou vidéos permettant d’identifier des personnes sans que celles-ci en aient été informées et n’aient données leur consentement. On s’abstiendra en particulier de publier des images avec des enfants en dessous de 16 ans.

Une fois la crise passée, il faudra revoir les choix et la manière de recourir au numérique dans le cadre de l’enseignement. Il est de la responsabilité des autorités et des directions d’école de mettre en place des outils qui respectent pleinement la protection des données et la vie privée des élèves et des professeur(e)s. Les autorités cantonales de protection des données (voir liste sur privatim.ch) sont là pour apporter leurs conseils et contribuer à cette tâche.

Sites des autorités suisses de protection des données, https://www.privatim.ch/fr/

Appel à un moratoire sur les technologies de surveillance à l’occasion de la 14ème journée de la protection des données

Strasbourg, 28 janvier 2020

 

Le 28 janvier 2020 partout en Europe et dans le monde, nous célébrons pour la 14e année consécutive la journée de la protection des données. Cette journée vise à sensibiliser le public aux bonnes pratiques en matière de protection des données, en les informant de leurs droits et de la manière de les mettre en œuvre.

Le choix du 28 janvier, rappelons-le, marque l’ouverture à la signature de la Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel (STE 108), le 28 janvier 1981. Cette Convention demeure, à ce jour, le seul instrument international juridiquement contraignant en matière de protection des données, et qui, par son caractère ouvert, a une portée universelle. Aujourd’hui la Convention a été ratifiée par l’ensemble des pays membres du Conseil de l’Europe (47 pays) et 8 États non membres du CoE[1] y ont adhéré. Elle a été modernisée et son protocole d’amendement ouvert à la signature le 10 octobre 2018. A ce jour, 3 États l’ont ratifié (Bulgarie, Croatie et Lituanie), 35 autres l’ont signé. La désormais « Convention 108+ » n’est plus une Convention européenne mais une convention globale et un standard universel de référence. Elle se veut un trait d’union avec d’autres instruments juridiques et notamment le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Ces deux textes assurent un cadre élevé et fort de protection des données qui sert de référence aux législations nationales de protection des données dans le monde entier. Actuellement quelques 130 États dans le monde ont une législation de protection des données. Aux États-Unis d’Amérique on assiste également à des développements législatifs réjouissants, notamment avec l’entrée en vigueur récente d’une loi de protection des données en Californie. Ce mouvement législatif doit se poursuivre et il est essentiel que l’ensemble des Parties à la Convention 108 ratifient sans attendre le protocole d’amendement pour que la Convention 108+ entre rapidement en vigueur, que de nouveaux États puissent y adhérer et que le droit à la protection des données soit vraiment reconnu et protégé de façon universelle.

Toutefois si les cadres juridiques existent, encore faut-il qu’ils soient respectés et mis en œuvre de manière effective. En Europe avec le RGPD, les autorités de protection des données ont vu leurs fonctions et leurs pouvoirs renforcés et ont obtenu des moyens supplémentaires leur permettant d’exercer leurs pouvoirs de manière plus effective et notamment de sanctionner les violations et les abus, hélas encore trop nombreux. Nous nous devons cependant de rester vigilants et de constamment réévaluer nos instruments pour apporter les réponses appropriées aux défis du numérique et des technologies de l’information et des communications. Ces technologies sont de plus en plus invasives et intrusives dans nos vies privées, à l’image des développements fulgurants dans le domaine de la biométrie, de la reconnaissance faciale et de l’intelligence artificielle ou encore des techniques de profilage toujours plus fines. L’affaire Clearview révélée récemment par le New York Times qui a permis à cette start-up d’aspirer des milliards de photos postées sur internet et de proposer ses services de reconnaissance faciale à différentes autorités de police aux Etats-Unis n’est qu’un exemple des nombreux dérapages que jour après jour nous devons constater et qui grignotent systématiquement notre vie privée au point de la rendre illusoire si nous ne réagissons pas fortement et ne stoppons pas cette marche vers une société de surveillance généralisée, sonnant le glas des droits humains et de la démocratie.

Le 28 janvier est l’occasion d’appeler à un moratoire sur le développement et le déploiement de technologies qui permettent de surveiller les faits et gestes de tout un chacun où qu’il soit et quel que soit ses activités ou sa position sociale. Ce moratoire doit nous permettre de lancer un vaste débat démocratique sur les contours de la société numérique que nous voulons mettre en place pour le bien-être de l’humanité.  Le Conseil de l’Europe qui défend les Droits de l’Homme, la démocratie et l’état de droit peut et doit jouer un rôle central dans cette réflexion et continuer à être une force de propositions innovantes. Ainsi les travaux en cours autour d’un cadre juridique de l’Intelligence artificielle, de la reconnaissance faciale ou du profilage doivent y contribuer et nous permettre de créer les conditions nécessaires à une société numérique basée sur la confiance et le respect de la dignité humaine et des droits fondamentaux de toutes et tous. 

Jean-Philippe Walter,

Commissaire à la Protection des Données du Conseil de l’Europe

On 28 January 2020 throughout Europe and the world, we celebrate Data Protection Day for the 14th consecutive year. This day aims to raise public awareness of good data protection practices, informing people about their rights and how to implement them.

The choice of 28 January, it should be recalled, marks the opening for signature of the Convention for the Protection of Individuals with regard to the Processing of Personal Data (ETS 108) on 28 January 1981. This Convention remains, to date, the only legally binding international instrument on data protection which, because of its open character, is universal in scope. Today the Convention has been ratified by all Council of Europe member States (47 countries) and 8 non-CoE member states have acceded to it[1]. It has been modernised and its amending protocol opened for signature on 10 October 2018. To date, 3 countries have ratified it (Bulgaria, Croatia and Lithuania) and 35 others have signed it. The « Convention 108+  » is no longer a European Convention but a global convention and a universal reference standard. It is intended to be a link with other legal instruments, in particular the General Data Protection Regulation (GDPR) of the European Union. These two texts ensure a high and strong data protection framework that serves as a reference for national data protection legislation worldwide. Currently some 130 states in the world have data protection legislation. In the United States of America there are also welcome legislative developments, for example with the recent entry into force of a data protection law in California. This legislative momentum must continue, and it is essential that all Parties to Convention 108 ratify the Amending Protocol without delay so that Convention 108+ can enter into force quickly, so that new States can accede to it and so that the right to data protection be truly universally recognised and protected.

However, if legal frameworks exist, they still need to be respected and effectively implemented. In Europe with the GDPR, data protection authorities have seen their functions and powers strengthened and have obtained additional means to exercise their powers more effectively, including sanctioning of violations and abuses, which unfortunately are still too numerous. We must, however, remain vigilant and constantly reassess our instruments in order to provide appropriate responses to the challenges of the digital world and of information and communication technologies. These technologies are increasingly invasive and intrusive in our private lives, as are the dazzling developments in the field of biometrics, facial recognition and artificial intelligence, and ever more sophisticated profiling techniques. The Clearview affair recently revealed by the New York Times, which allowed this start-up company to suck up billions of photos posted on the Internet and to offer its facial recognition services to various police authorities in the United States, is just one example of the many blunders that we have to witness day after day and which systematically nibble away at our private lives to the point of making them illusory if we do not react strongly and stop this march towards a generalised surveillance society, sounding the death knell for human rights and democracy. 28 January is an opportunity to call for a moratorium on the development and deployment of technologies that make it possible to monitor the actions of anyone anywhere, regardless of their activities or social position. This moratorium should enable us to launch a broad democratic debate on the contours of the digital society that we want to put in place for the well-being of humanity.  The Council of Europe, which defends human rights, democracy and the rule of law, can and must play a central role in this reflection and continue to be a force for innovative proposals. The work in progress on a legal framework for artificial intelligence, the work on facial recognition and profiling


[1] [1] https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=cN6J4BCa


[1] https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=cN6J4BCa

Révision de la loi sur la protection des données du canton de Fribourg

Avant-projet du 27 novembre 2019 portant sur la révision totale de loi fribourgeoise sur la protection des données (LPrD) – procédure de consultation[1]

Prise de position publique à l’intention de l’Autorité cantonale de la transparence et de la protection des données, Rue des Chanoines 2, 1701 Fribourg, (SecretariatATPrD@fr.ch)

Remarques introductives

La Suisse, partie à la Convention 108 et ayant signé la Convention 108+[2] le 21 novembre dernier, devrait, selon l’objectif du Conseil fédéral[3], pouvoir ratifier le protocole d’amendement à la Convention 108, dans le courant de l’année 2020. Cela exige au préalable que le Parlement helvétique ait achevé les travaux de révision totale de la loi fédérale du 19 juin 1992 sur la protection des données et que celle-ci soit conforme aux exigences de la Convention 108+. Cela nécessite également que l’ensemble des cantons suisses révisent leur législation de protection des données.

Dans cette optique et s’inscrivant dans le mouvement de modernisation, en Suisse et en Europe, du droit à la protection des données, le canton de Fribourg a mis en consultation un projet de révision totale de la loi cantonale du 24 novembre 1994 sur la protection des données (LPrD) avec pour objectif de répondre aux développements, notamment technologiques, intervenus depuis son adoption et de se mettre en conformité avec la Convention 108+. Le projet tient compte du projet fédéral de révision de la LPD, sans pour autant en faire un copier-coller, ce qui est à saluer. Il s’inspire également de solutions retenues dans d’autres cantons qui ont eu des effets positifs reconnus.

Dans l’ensemble, le projet présenté est conforme aux exigences de la Convention 108+, ce qui est à saluer. En proposant de reprendre les nouveaux standards de protection des données, notamment ceux de la Convention 108+, le projet doit permettre de renforcer la protection des droits humains et des libertés fondamentales, notamment le droit à la vie privée des personnes sujets du traitement de données personnelles, sans pour autant entraver le travail des responsables de traitement ou empêcher la numérisation bien comprise des activités administratives. L’approche suivie dans le projet, notamment basée sur le risque est globalement positive. Elle permet en effet d’inscrire le projet cantonal dans le mouvement des législations modernes de protection des données.  On dénote cependant quelques écarts avec le droit européen ou le droit fédéral, notamment au niveau de la terminologie et des définitions, auxquels il serait souhaitable de remédier. La sécurité juridique postule en effet qu’on ne s’écarte pas sans raison des termes utilisés dans les autres législations et notamment dans la Convention 108+ pour éviter des problèmes d’interprétation et d’application. L’indépendance de l’autorité de surveillance, en particulier au niveau budgétaire devrait être renforcée. Contrairement au droit européen et notamment au RGPD ou à la directive (UE) 2016/680 sur la protection des données dans le domaine de la police et de la justice, dont l’article 57 donne mandat aux États de prévoir un régime de sanctions effectives, dissuasives et proportionnées, le projet ne prévoit pas de sanctions administratives – comme d’ailleurs le projet fédéral de LPD révisé – en cas de violation de la LPrD ou de non-respect des décisions de l’autorité de surveillance. L’introduction d’un droit au déréférencement et d’un droit à la portabilité, lequel a été introduit dans le projet fédéral, ainsi que d’un droit d’opposition au traitement (prévu par la Convention 108+) seraient à saluer.

Concernant le maintien des personnes morales dans le champ d’application de la LPrD, nous pouvons comprendre le choix des auteurs du projet. Toutefois, il convient de souligner que la Convention 108+ a biffé la possibilité pour les Parties d’étendre la protection des données aux personnes morales, estimant que la protection des droits de personnes morales pouvait être assurée par d’autres normes. En outre, la pratique – du moins au niveau fédéral – démontre que les personnes morales ne recourent pas à la protection des données pour défendre leurs droits. Il est par contre certain que les exigences de légalité, de proportionnalité et de finalité en particulier, doivent être maintenues pour le traitement des données relatives aux personnes morales. Le législateur fédéral a de ce fait choisi l’option de prévoir quelques règles spécifiques aux personnes morales dans LOGA et non dans la LPD.

Commentaire des dispositions

Article 1

L’article 1 énonce le but de la LPrD, à savoir la garantie des droits fondamentaux des personnes dont les données personnelles font l’objet d’un traitement. Le droit à la protection des données ne se limite pas au respect des droits fondamentaux qui peuvent être touchés par le traitement des données personnelles, mais concerne l’ensemble des droits humains et des libertés fondamentales et notamment le droit au respect de la vie privée. Pour éviter toute ambigüité sur la portée de la loi, il serait souhaitable de revoir la formulation et de l’aligner sur l’article 1 de la Convention 108+.

Article 4

La définition de données personnelles (let. a) introduit dans sa formulation une nuance par rapport aux définitions retenues dans la Convention 108 et dans la LPD. La LPrD parle de données se rapportant à une personne identifiée ou identifiable alors que la Convention 108 et la LPD se réfèrent à des données concernant une personne identifiée ou identifiable. Pour éviter toute divergence d’interprétation, il serait opportun de reprendre la définition standard de la Convention et de la LPD.

Le projet prévoit une définition d’un identifiant commun de personne (let d). Il s’agit d’une innovation que l’on ne retrouve pas dans le droit fédéral, voire dans la législation européenne. Si l’on comprend l’intention des auteurs du projet et en particulier l’effort d’encadrer le recours à un identifiant, il serait préférable de recourir à un vocable généralement utilisé, comme le numéro personnel d’identification ou l’identifiant universel. En outre, il serait bien de préciser dans la définition que ce numéro ou cet identifiant doit être non signifiant, c.à.d ne pas contenir d’informations permettant de déduire des informations sur une personne et de la rendre identifiable en « décryptant » l’identifiant (voir art. 25 OLPD, RS 235.11).

Si l’introduction de la notion de profilage (let f) dans LPrD est à saluer, sa formulation qui est identique à celle proposée par le Conseil fédéral pour la LPD, devra néanmoins être adaptée et s’aligner sur celle finalement retenue au plan fédéral et qui devrait être plus en ligne avec la définition du RGPD[4]. Par contre, nous ne retiendrions pas la proposition du Conseil des États d’introduire une notion de profilage présentant un risque élevé, car la notion de profilage concerne uniquement des activités qui présentent par définition un potentiel élevé d’atteintes aux droits humains et libertés fondamentales[5].

Article 5

S’il est juste de prévoir que le recours à un identifiant doit reposer sur une base légale, cette base légale devrait être prévue dans une loi au sens formel. En effet, le recours à un identifiant est un traitement à risque élevé dont l’utilisation doit être limité au strict nécessaire pour éviter des appariements ou l’interconnexion des données et des traitements disproportionnés et de légitimer trop facilement l’accès aux données pour des finalités différentes, voire incompatibles. Pour minimiser les risques liés au recours à un identifiant unique (qui sera selon toute vraisemblance le numéro AVS), il faudrait privilégier le recours à des identifiants sectoriels.

Article 6

Le recours au consentement pour des traitements de données par des organes publics devrait demeurer l’exception et se limiter à des situations particulières. En effet dans le secteur public, les situations où la personne est en mesure de consentir librement sont plutôt limitées. On ne peut ainsi se baser sur le consentement pour l’octroi de prestations ou de services de l’administration qui peuvent concerner l’ensemble des administré/es ou du moins un grand nombre d’entre eux/elles. On pense en particulier au recours au guichet virtuel dont l’usage devrait dans le futur se généraliser.

Pour être conforme au droit européen et notamment à la Convention 108+, le consentement se doit d’être non seulement libre et informé mais également spécifique et non équivoque. En présence de données sensibles ou de profilage, il devrait être explicite.

Les alinéas 2 et 3 qui assurent d’une part la transparence quant au caractère facultatif du consentement et qui d’autre part confère au responsable du traitement la responsabilité de démontrer l’existence du consentement lorsqu’il est demandé, sont à saluer.

Article 7

Le recours au consentement (al. 2) pour justifier un changement de finalité ne doit pas devenir la règle. Il ne peut intervenir pour être conforme à l’art. 11 de la Convention 108+ que s’il s’agit d’une mesure nécessaire et proportionnée dans une société démocratique à la protection de la personne concernée. Le motif invoqué dans le rapport explicatif, à savoir la mise en œuvre de la stratégie cantonale de cyberadministration, qui prévoit la possibilité pour les administrés de décider d’utiliser leurs données afin de bénéficier de services à la carte, n’est pas convainquant et n’entre pas dans les exceptions aux termes de l’art. 11 de la Convention 108+. Si la possibilité d’obtenir certains services à la carte est à saluer, elle devrait néanmoins faire l’objet d’une réglementation et définir quelles données sont nécessaires lorsqu’un/e administré/e recourt à un tel service. En outre, afin d’éviter que certaines catégories de la population, notamment des personnes vulnérables soient pénalisée, il est nécessaire de développer une politique d’inclusion permettant à toutes et tous d’avoir accès à la cyberadministration.

Article 8

Le terme « mode » pourrait être biffé. En effet l’exigence de proportionnalité vise non seulement les données, mais également le traitement dans tous ses aspects (choix des moyens, étapes du traitement, modalités, durée, etc.)

Article 10

A l’alinéa 2, il serait judicieux de préciser, que les données non seulement « servent exclusivement à des fins ne se rapportant pas à la personne » mais également qu’il n’y pas de risque identifiable d’atteinte aux droits et libertés fondamentales des personnes concernées.

Article 11

Il faudrait rajouter l’utilisation d’un identifiant unique. Parmi les dispositions nécessaires pour diminuer le risque, comme relevé au sujet de l’art. 5, il y a le recours à des identifiants sectoriels.

Article 12

L’alinéa 1 est-il vraiment nécessaire ? Cela nous parait couvert par les articles 5 et 6. S’il est maintenu, il devrait être modifié pour être aligné sur les articles 5 et 6. En particulier, on ne voit pas à quoi se réfèrent les circonstances particulières.

Articles 13ss

Il s’agit de dispositions centrales du projet qui doit garantir la transparence de la collecte de données et qui doivent faciliter l’exercice de leurs droits par les personnes concernées. Pour être conforme à la Convention 108+, le catalogue des informations à fournir de l’article 13 devrait être complété par une information sur les bases légales du traitement, les catégories de données traitées et les moyens des personnes d’exercer leurs droits. En outre, il faudrait ajouter que le responsable du traitement doit, le cas échéant, donner d’autres informations complémentaires nécessaires à garantir un traitement loyal et transparent des données personnelles.

A l’article 14, la lettre b) doit se limiter au cas de la collecte auprès d’un autre organe ou d’un tiers.

Article 20

La différence entre externalisation et la sous-traitance régie par l’article 37 n’est pas évidente. L’externalisation est en soi de la sous-traitance. Les arguments du rapport explicatif ne sont pas convaincants. Il conviendrait de fusionner les deux dispositions.

A l’alinéa 3, nous proposons de prévoir que lorsqu’il s’agit de données sensibles, celles-ci doivent être encryptées.

Il faudrait également prévoir que si un sous-traitant ou mandataire est sollicité par une autorité autre que le responsable du traitement pour livrer ou donner accès à des données, il n’est pas en droit de le faire sans en avoir informé le responsable du traitement et sans son autorisation préalable. En effet n’oublions pas que les sous-traitants peuvent être des firmes à l’étranger ou des multinationales ayant un établissement en Suisse et qui peuvent être contraintes de fournir des informations aux autorités de leur pays d’origine, en violation de nos propres règles.

Article 26

A l’article 26, alinéa 2, il conviendrait d’ajouter l’information sur la base légale du traitement.

Article 36

L’article 36 établit clairement que tout organe public qui traite des données personnelles est responsable de la protection des données. Il serait bien de compléter cette disposition en reprenant le principe de l’obligation de mise en conformité prévu à l’article 10 de la Convention 108+ et qui est partiellement concrétisé à l’article 11 du projet et qui prévoit un devoir de diligence accru. Ainsi l’organe public responsable du traitement devrait prendre toutes les mesures appropriées pour se conformer aux obligations des dispositions de protection des données et être en mesure de le démontrer en particulier à l’autorité de surveillance. Ce principe de mise en conformité se concrétise notamment au travers des analyses d’impact et des obligations de prise en compte de la protection des données dès la conception (Privacy by design) et de protection des données par défaut.

Article 37

Comme nous l’avions relevé au sujet de l’avant-projet de loi adaptant la législation cantonale à certains aspects de la digitalisation[6], il serait souhaitable à l’alinéa 2 de préciser quelles doivent être les garanties de confidentialité que doivent remplir les sous-traitants pour pouvoir sous-traiter des données soumises à une obligation légale ou contractuelle de secret. Ces garanties doivent être équivalentes à celle du détenteur du secret et entraîner des sanctions pénales en cas de violation.

Article 42

L’article 42 consacre les principes de protection des données dès la conception (al. 1) et de protection des données par défaut (al. 2). Nous suggérons de modifier l’alinéa 2 comme suit :

« Le responsable de traitement applique les mesures techniques et organisationnelles appropriées pour garantir le niveau de protection le plus élevé … »

Articles 48ss

Le chapitre 5 de la LPrD traite de la surveillance. L’effectivité de la protection des données passe en effet par la mise en place d’une autorité de contrôle chargée de veiller au respect des dispositions de protection des données. Aux termes de l’article l5 Convention 108+, cette autorité doit en particulier disposer de pouvoirs d’investigation et d’intervention, de pouvoirs de décisions relatives aux violations des dispositions légales et devrait pouvoir infliger des sanctions administratives. Elle doit disposer du pouvoir d’ester en justice ou de porter à la connaissance de l’autorité judiciaire compétente les violations de la loi. Elle doit également avoir des tâches de sensibilisation, pouvoir prendre position sur toute proposition législative ou administrative impliquant des traitements de données personnelles et traiter les demandes et les plaintes qui lui sont adressées.

L’autorité de contrôle doit agir avec indépendance et impartialité dans l’accomplissement de ses fonctions et l’exercice de ses pouvoirs. Elle ne doit en aucun cas solliciter et accepter des instructions de quiconque. L’indépendance implique notamment que les membres de l’autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non (art. 42 de la directive européenne 206/680 justice et police). Elle doit disposer de ressources nécessaires à l’accomplissement effectif de ses fonctions et à l’exercice de ses pouvoirs. Cela concerne les ressources humaines, techniques et financières ainsi que les locaux et l’infrastructure[7].

L’avant-projet de LPrD reprend le système actuel de la surveillance composée d’une commission cantonale de protection des données et de transparence et de deux préposé(e)s. Les communes et les Églises peuvent également mettre en place une autorité de protection des données. Se conformant aux exigences de la Convention 108+ et de la directive européenne 2016/680, l’avant-projet renforce de manière significative et positive les fonctions et les pouvoirs de l’autorité de surveillance. Compte tenu des nouveaux pouvoirs et notamment du fait que l’autorité est appelée à prendre des décisions sujettes à recours, tout en comprenant le choix des auteurs du projet de maintenir le système actuel, nous nous interrogeons néanmoins s’il n’eut pas été opportun de s’inspirer du modèle fédéral repris par la plupart des cantons et de renforcer ainsi le caractère professionnel et l’indépendance de l’autorité en conservant uniquement les deux préposé(e)s en les dotant d’un secrétariat permanent doté d’un personnel spécialisé en suffisance. Face au développement du numérique et dans un monde en pleine mutation quant aux méthodes de traitement des données personnelles et pour faire face aux défis pour les droits et libertés fondamentales des personnes que ne manquera de provoquer la cyberadministration et la numérisation de toutes nos activités, il est nécessaire d’avoir des autorités de protection des données qui puissent anticiper et agir rapidement et de manière effective.  Le fait d’avoir un mécanisme de surveillance à deux échelons, qui de surcroît devra à l’avenir prendre des décisions nous semble être un facteur de ralentissement et de diminution de l’efficacité de l’autorité.  Si le modèle de la commission répond plus aux modèles en vigueur dans le canton, on pourrait aussi envisager de s’inspirer du modèle français de la CNIL. Cela reviendrait à supprimer les postes de préposé(e), de nommer un président à plein temps et de doter la commission d’un secrétariat permanent diriger par un/ne chef/fe.

Si le système actuel est maintenu et pour éviter tout risque de collusion, il serait souhaitable d’introduire une disposition, similaire à l’art. 52, al. 4, prévoyant que les membres de la commission ne doivent pas exercer d’activités ou d’emplois incompatibles avec leurs missions et susceptibles de nuire à l’indépendance de l’autorité.

En ce qui concerne le budget de l’autorité de surveillance (art. 54, al. 3), nous proposons de s’inspirer de la solution qui sera retenue pour le préposé fédéral. Celui-ci disposera de son propre budget. Il établira le budget et le remettra au Conseil fédéral, lequel le soumettra, sans modification, au Parlement.

Selon l’article 64, l’autorité de surveillance doit adresser chaque année un rapport d’activité au Grand Conseil. Il n’est pas prévu – du moins expressément – dans la loi que le rapport est publié. L’article 64 prévoit la possibilité d’informer le public dans des cas d’espèces et pour autant que l’intérêt général le justifie. Or l’article 15, chiffre 7 de la Convention 108+ demande que le rapport d’activités soit publié. Il serait bien de le préciser dans la loi.

En ce qui concerne l’information du public, si le système de surveillance actuelle est finalement maintenu et pour éviter des problèmes survenus dans d’autres cantons, il serait souhaitable de régler clairement dans la loi la répartition des compétences en matière d’information entre la commission et les préposé(e)s.

Modification de la loi sur la police cantonale, article 38a, al. 2

La loi sur la police concrétise la LPrD qui elle doit demeurer applicable, notamment sous l’angle des droits de personnes concernées ou des tâches de surveillance. Dès lors le terme « supplétif » doit être biffé.

Marly, 23 janvier 2020/J.-Ph. Walter


[1] https://www.fr.ch/cha/institutions-et-droits-politiques/legislation/mise-en-consultation-de-deux-avant-projets-dans-le-domaine-de-la-digitalisation-de-letat

[2] https://www.admin.ch/opc/fr/federal-gazette/2020/577.pdf  ;  https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65c0

[3] Voir Message relatif à l’approbation du protocole du 10 octobre 2018 portant amendement à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, https://www.admin.ch/opc/fr/federal-gazette/2020/545.pdf

[4] Profilage : toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels rela-tifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préfé-rences personnelles, les intérêts, lafiabilité, le comportement, la localisation ou les déplacements de cette personne, https://www.parlament.ch/centers/eparl/curia/2017/20170059/S3-22%20F.pdf

[5] Voir notre commentaire de la version du CIP-CE, https://wordpress.com/read/feeds/100657819/posts/2508495879

[6] https://wordpress.com/read/feeds/100657819/posts/2546971018

[7] Nous ne sommes pas certains que l’autorité de surveillance du Canton de Fribourg dispose à l’heure actuelle des ressources suffisantes à l’accomplissement de ses tâches et au vu des nouvelles compétences et des nouveaux pouvoirs, un sérieux renforcement de ses moyens devra être envisagé.

Fribourg, avant-projet de loi du 27 novembre 2019 adaptant la législation cantonale sur certains aspects de la digitalisation

Avant-Projet de loi du 27 novembre 2019 adaptant la législation cantonale sur certains aspects de la digitalisation[1]

A fin 2019, le canton de Fribourg a mis en consultation deux projets de loi en relation avec le traitement de données personnelles, l’un adaptant la législation cantonale sur certains aspects de la digitalisation qui modifie en particulier la loi cantonale sur la protection des données (LPrD) et l’autre portant sur une révision totale de la dite LPrD. La consultation sur le premier projet échoit le 31 janvier 2020, alors que la révision totale court jusqu’à fin mars (nous aborderons ce projet de révision dans une prochaine contribution).

On est en droit de s’interroger sur ce qui motive le canton à procéder de la sorte et à ne pas intégrer dans la révision totale de la LPrD, directement concerné par ce projet, ces aspects de la digitalisation. En effet aujourd’hui la majorité des traitements de données personnelles se font de manière automatisée et sont touchés par la question de l’externalisation, objet de ce premier projet de loi. De même la question du recours à un identifiant personnel ou de l’accès au guichet virtuel qui sont également visé par ce projet, touche à la protection des données personnelles.

Le Conseil d’État motive cette approche en alléguant que pour pouvoir avancer et étendre les possibilités de recours à des solutions de cloud computing, il est nécessaire de modifier sans attendre la loi cantonale sur la protection des données, à croire qu’il y a péril en la demeure et qu’il n’est pas possible de joindre les deux objets, ce qui éviterait d’aboutir à d’éventuelles contradictions entre les deux projets ou à saisir deux fois le Grand Conseil dans un laps de temps rapproché. De même, le canton de Fribourg semble pressé de se doter de bases légales lui permettant d’utiliser systématiquement le numéro AVS dans les administrations cantonales et communales « dans le but d’identifier de manière sûre et univoque les personnes recensées », sans attendre que le Parlement fédéral ait terminé ses travaux et se soit prononcé dans un sens ou dans un autre sur l’utilisation systématique de ce numéro proposée par le Conseil fédéral. Il est ainsi regrettable que le canton de Fribourg suive sans autre la tendance actuelle voulant généraliser le recours au numéro AVS sans étudier d’autres alternatives et sans développer un véritable concept basé sur le recours à des numéros sectoriels, de manière à minimiser autant que faire se peut les risques d’atteinte aux droits humains et libertés fondamentales, du fait notamment de l’accès facilité à des données personnelles et dès lors d’abus.

Le Conseil d’État justifie le recours à l’externalisation et plus particulièrement à l’info nuage comme la réponse « à des exigence nouvelles dans le fonctionnement et l’organisation de l’Etat, qui résultent du déploiement de technologies numériques dans la société : explosion des volumes de données produites et utilisées, exigences de haute disponibilité et de sécurité, volonté des organes de l’Etat de se connecter sur le cœur de leur activité et de se désengager de certaines opérations qui ne correspondent pas à leur métier, besoins de nouveaux moyens d’accès aux services en situation de mobilité, en tout lieu, à tout moment et sur tout support. » Si l’on comprend les motivations du CE, on s’interroge sur le fait qu’aucune analyse d’impact sur les droits humains et les libertés fondamentales des administré(e)s n’ait, du moins apparemment, été menée et qu’aucune alternative n’ait été mise sur la table, comme la création d’un service au sein de l’État chargé des tâches qui doivent être externalisées. On pourrait d’ailleurs souhaiter que les cantons et la Confédération en collaboration avec nos hautes écoles développent une solution suisse propre pour l’externalisation des données.  

Au crédit du CE, le projet de loi prévoit que l’externalisation ne peut intervenir qu’auprès d’un sous-traitant situé en Suisse ou dans un pays ayant un niveau de protection des données équivalent, ce qui n’empêche pas cependant que le sous-traitant soit une multinationale, notamment issue des GAFAMs et que les données sous-traitées puissent aboutir en mains d’autorités étrangères. Le projet devrait prévoir des garde-fous et prévoir pour le moins que le sous-traitant ne doit pas transmettre de données à la demande d’une autorité sans en référer au mandant et sans son accord. Le projet met également des conditions de sécurité élevées qui suivent, ce qui doit être souligné, les recommandations de l’association suisse de autorités cantonales de protection des données (PRIVATIM)[2]. Le projet de loi devrait néanmoins prévoir que le recours à l’externalisation, du moins en présence de données sensibles ou de données issues de profilage, ne devrait intervenir que si aucune solution interne n’est envisageable et pour autant que les données personnelles soient encryptées. L’externalisation est également possible pour des données soumis à un secret professionnel, tel le secret médical pour autant que le la confidentialité des données soit garantie. Il serait souhaitable qu’il soit précisé quelles doivent être ces garanties de confidentialité, lesquelles doivent être équivalentes à celle du détenteur du secret et entraîner des sanctions pénales en cas de violation.

Le projet de loi porte sur une modification de la loi cantonale sur la cyberadministration à savoir « l’utilisation des technologies de l’information et de la communication aussi bien dans le fonctionnement et l’organisation de l’État que dans ses relations avec les tiers ».  Cela concerne en particulier le développement du guichet virtuel permettant à tout administré de demander des prestations ou des services à l’administration. Ces demandes se fondent sur le consentement de la personne concernée. Le traitement des données doit se faire en respectant par défaut la protection des données la plus élevée. Le projet se réfère ainsi aux principes de protection des données dès la conception et de protection des données par défaut qui impliquent la minimisation des données. Il serait souhaitable que le projet précise quelles données peuvent être collectées et traitées. Se baser sur le simple consentement pour justifier une prestation ou un service est insuffisant. Les principes de finalité et de proportionnalité doivent également être respectés. Afin d’éviter d’exclure des administrés de l’octroi de services ou de prestations, le projet ne devrait pas seulement prévoir que le guichet virtuel est gratuit, mais que celui-ci demeure facultatif. En outre, il est nécessaire de développer une politique d’inclusion afin que toutes les couches de la population puissent avoir accès à la cyberadministration, ceci est en particulier indispensable face à la tendance actuelle de rendre certaines procédures en format électronique obligatoires.  


[1] https://www.fr.ch/cha/institutions-et-droits-politiques/legislation/mise-en-consultation-de-deux-avant-projets-dans-le-domaine-de-la-digitalisation-de-letat

[2] _ https://www.privatim.ch/wp-content/uploads/2019/03/privatim_Aide-memoire_Cloud_v1.0_20190206.pdf


Révision de la loi fédérale sur la protection des données, suite

Après le Conseil national en septembre, c’est au tour du Conseil des États de débattre du projet de révision totale de la loi fédérale sur la protection des données. La commission des institutions politiques du Conseil des États a bouclé l’examen du projet qui sera soumis au plenum le 18 décembre prochain. Si le projet issu des discussions au Conseil national était loin de respecter le niveau de la Convention 108+ et se situait bien en deçà du niveau de protection des données de l’Union européenne, mettant ainsi en péril la décision d’adéquation en cours d’évaluation par la commission européenne (voir notre blog du 9 octobre dernier), la CIP-CE a quelque peu corrigé le tir et rendu une copie plus « eurocompatible ». Toutefois plusieurs différences, que nous avions relevées dans notre blog du 9 octobre dernier, demeurent avec le droit européen et ne seront vraisemblablement pas aplanies lors des débats en plenum. Or il serait essentiel de gommer les divergences restantes avec la Convention 108+. Cela concerne notamment la terminologie, le régime des données sensibles et des flux transfrontières, l’étendue du devoir d’information en général et en relation avec les décisions automatisées, l’obligation de mise en conformité et les exceptions à l’analyse d’impact, les restrictions au droit d’accès.

Point positif, la CIP-CE n’a pas suivi le CN et a réintroduit à juste titre les opinions syndicales dans la liste des données sensibles. De même, il a suivi le Conseil fédéral en reprenant la notion de données génétiques telle qu’elle découle de la Convention 108+.

En ce qui concerne le profilage, la CIP-CE tout en retenant la définition de profilage du CN, introduit une définition du profilage présentant un risque élevé. Selon cette définition de nature exemplative, constitue un profilage à risque élevé pour la personnalité et les droits fondamentaux de la personne concernée, le profilage qui nécessite notamment l’appariement systématique de données provenant de différentes origines et qui concernent différents domaines de la vie d’une personne physique, ainsi que le traitement de données systématique et à grande échelle pour tirer des conclusions sur différents domaines de la vie d’une personne physique. En présence d’un tel risque, le consentement de la personne devra être exprès lorsqu’un tel consentement est requis pour légitimer le profilage. L’introduction de cette notion de risque élevé est problématique. Tout d’abord la notion de profilage du CN et du CF ne vise que des activités de traitement qui présentent un risque significatif pour les droits humains et les libertés fondamentales. L’activité de profilage dans ce cadre nécessite en règle général l’appariement de données provenant de différentes sources ou le traitement à grande échelle de données et qui touchent différents aspects ou domaine de la vie d’une personne. Les activités de profilage qui ne rentre pas dans cette notion ne nécessitent pas de mesures particulières. La définition ouverte adoptée par la CIP-CE crée par contre une grande insécurité juridique. Il reviendra au responsable de traitement d’évaluer le risque et de décider finalement s’il demande un consentement exprès ou non à la personne concernée. Celle-ci devra le cas échéant contester, si elle est en mesure de considérer qu’il y a risque élevé, la validité de son consentement lorsqu’il n’a pas été requis expressément. Cette approche ne facilitera en rien l’application de la loi, bien au contraire. En outre, on ne trouve pas dans le droit positif européen une telle définition. Il s’agit d’un swissfinish qui dessert autant les personnes concernées que les responsables de traitement. Enfin si le législateur souhaite néanmoins introduire une telle distinction, il devrait revoir les éléments de la définition et retenir également par exemple le risque de manipulation et de discrimination des personnes. Indépendamment de la distinction, il devrait soumettre à une certification obligatoire les activités de profilage. De plus pour les activités de profilage des organes fédéraux, ce n’est pas le consentement exprès qui doit être retenu, mais bien une base légale au sens formel.

La CIP-CE introduit une limitation à la notion de tiers qui affaiblit la protection des données. Il s’agit d’un privilège accordé aux personnes morales qui contrôlent plusieurs entreprises. La communication de données entre ces différentes entreprises ne sera plus considérée comme une communication à des tiers. L’impact de cette norme sur les droits des personnes concernées pourraient être énormes. Même si le projet limite cette approche aux restrictions au droit d’accès et d’information des personnes concernées et au motif justificatif de la concurrence économique, le fait de postuler que ces entreprises ne sont plus des tiers, pourrait inciter les entreprises d’une même personne morale à échanger des données sans restriction et à l’insu des personnes concernées, même lorsque ces entreprises ne traitent pas les données pour la même finalité ou pour une finalité compatible. Cela pourrait par exemple permettre à un grand groupe regroupant magasins d’alimentation et autres, pharmacies, cabinets médicaux, fitness, assurances, d’échanger des données et de dresser de beaux profils de consommation et de comportement et de pénaliser les mauvais risques ! Si la proposition passe au CE, il reviendra au CN de corriger et pour le moins de mieux délimiter la portée de ce swissfinish.

On le voit, il reste encore un bout de chemin à faire pour que notre législation soit complètement en ligne avec la réglementation européenne et la Convention 108+.

« Droits numériques des citoyens, nouvelle frontière des droits de l’Homme et de l’action du Conseil de l’Europe ? »

Les droits de l’Homme et la démocratie à l’ère numérique

Colloque au Sénat, Palais du Luxembourg, Paris 14 novembre 2019

« Droits numériques des citoyens, nouvelle frontière des droits de l’Homme et de l’action du Conseil de l’Europe ?

La numérisation de la société suscite de grands espoirs et attentes pour améliorer nos conditions de vie et notre bien-être. Elle est souvent présentée comme la solution à tous nos problèmes individuels, sociétaux ou environnementaux. S’il est incontestable que le développement des technologies de l’information et des communications est un facteur de progrès et d’amélioration dans de nombreux secteurs d’activités qu’ils soient privés ou publics, force est de constater que la numérisation comporte aussi de nombreux risques et peut s’avérer « un formidable support à la surveillance et à l’instrumentation » (LaRevueDurable N°63 2019, Dossier Technologies Numérique en finir avec le capitalisme de surveillance) des citoyens et citoyennes du monde entier. C’est un défi considérable pour le respect des droits de l’Homme et des libertés fondamentales, notamment le droit à la vie privée. Il est dès lors impérieux de veiller à ce que la numérisation de la société se fasse au bénéfice de l’humanité, respecte la dignité et le droit à l’autodétermination informationnelle de chaque être humain et s’inscrive dans un cadre démocratique.

Le Conseil de l’Europe s’efforce de mettre en place les cadres juridiques permettant de garantir l’Etat de droit, les droits humains et la démocratie également dans le monde numérique. Concrétisant l’article 8 de la Convention européenne des droits de l’homme qui consacre le droit au respect de la vie privée, le Conseil de l’Europe a adopté la Convention sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel (Convention 108) ouverte à la signature le 28 janvier 1981. Cette Convention, rappelons-le, est actuellement le seul instrument international juridiquement contraignant. Elle renferme les principes de base de la protection des données qui sont aujourd’hui universellement reconnus. Elle s’applique à tout traitement de données à caractère personnel du secteur public et du secteur privé, y. c. les traitements des services de renseignements. Elle a un caractère ouvert. Non seulement les États membres du Conseil de l’Europe peuvent la ratifier, mais les États non-européens ayant une législation de protection des données conforme aux exigences de la Convention peuvent y adhérer. Aujourd’hui la Convention a été ratifiée par les 47 États membres du Conseil de l’Europe et 8 pays provenant d’Afrique et d’Amérique latine y ont adhéré. C’est donc un total de 55 pays, qui se sont engagés à respecter les dispositions de la Convention. La Convention 108 vient d’être modernisée et un protocole d’amendement a été ouvert à la signature des Parties le 10 octobre 2018. A ce jour, 34 Etats parties l’ont signé;  la Suisse la signera le 20 novembre. On attend les premières ratifications cette année encore; nous venons notamment d’apprendre l’adoption de la loi de ratification par la Lithuanie. La Convention 108+ se veut une réponse aux défis du numérique et a notamment pour objectif de renforcer la protection des personnes en garantissant « l’autonomie personnelle fondée sur le droit de la personne de contrôler ses propres données à caractère personnel et le traitement qui en est fait » (préambule) et en garantissant la dignité humaine. Le respect de la dignité humaine est fondamental au regard du développement de l’Intelligence Artificielle et du recours croissant aux décisions individuelles automatisées ou algorithmiques. En effet l’être humain ne doit pas être soumis à la machine et laisser celle-ci, maître des décisions, mais il doit pouvoir garder le contrôle et ne pas être traité comme un simple objet.  Aux termes de son article 1, la Convention 108+ vise à « protéger toute personne physique, quelle que soit sa nationalité ou sa résidence, à l’égard du traitement des données à caractère personnel, contribuant ainsi au respect de ses droits de l’homme et de ses libertés fondamentales et notamment du droit à la vie privée. » Elle fait du droit à la protection des données non pas un droit supérieur aux autres droits de l’homme, mais un droit de l’homme au service de l’exercice d’autres droits et libertés fondamentales et notamment le droit au respect de la vie privée.

La Convention 108+ vise aussi à renforcer les mécanismes de mise en œuvre et à améliorer l’effectivité du droit à la protection des données. Elle veut également promouvoir « les valeurs fondamentales du respect de la vie privée et de la protection des données à caractère personnel à l’échelle mondiale, favorisant ainsi la libre circulation de l’information entre les peuples » (préambule).  De par son caractère général, simple, flexible, ouvert et non orienté sur l’une ou l’autre technologie, elle assure la cohérence et la convergence avec d’autres cadres juridiques pertinents, renforçant ainsi sa vocation universelle.

Parmi les dispositions pertinentes en relation avec les défis du numérique et des droits des citoyens et citoyennes, mentionnons :

  • L’ancrage du principe de proportionnalité pour tout traitement de données « tout traitement de données doit être proportionné à la finalité légitime poursuivie et refléter un juste équilibre entre tous les intérêts en présence, qu’ils soient publics ou privés, ainsi que les droits et libertés en jeu. » Une base de légitimité, notamment le consentement, ne suffit pas elle-seule pour justifier le traitement, il faut le respect de la proportionnalité.
  • En lien avec ce principe, la Convention 108+ prévoit l’obligation de mise en conformité et de démonstration de la conformité du traitement, l’obligation de l’examen de l’impact potentiel du traitement envisagé sur les droits et libertés fondamentales, l’obligation de concevoir le traitement de données de manière à prévenir ou à minimiser les risques d’atteintes à ces droits et libertés fondamentales.
  • Elle prévoit qu’un traitement de données à caractère personnel ne peut en outre intervenir que s’il repose sur une base de légitimité (consentement, ou autres fondements légitimes prévus par la loi). Elle interdit le traitement de données sensibles sans que des garanties appropriées supplémentaires prévues par le droit interne ne soient mises en place pour prévenir les risques pour les intérêts, droits et libertés fondamentales de la personne, notamment les risques de discrimination.
  • Le Convention 108+ renforce également les obligations de transparence et les droits des personnes concernées, en particulier en inscrivant au côté des droits d’accès et de rectification :
    • L’obligation d’informer les personnes concernées
    • Le droit de toute personne de ne pas être soumise à une décision l’affectant de manière significative, qui serait prise uniquement sur le fondement d’un traitement automatisé de données sans que son point de vue soit pris en compte
    • Le droit de toute personne d’obtenir connaissance du raisonnement qui sous-tend le traitement de données, lorsque les résultats de ce traitement lui sont appliqués
    • Le droit d’opposition au traitement
    • Le droit de disposer d’un recours effectif

En relation avec le numérique et la protection des données, le Conseil de l’Europe et plus particulièrement le comité de la Convention 108, a complété la Convention par l’adoption de textes non contraignants (avis, lignes directrices ou recommandations sectorielles ou thématiques) visant à préciser certaines dispositions de la Convention, voire à poser les bases de développements législatifs dépassant le strict cadre de la Convention.

Ainsi, le Comité de la Convention a adopté le 23 janvier 2017 des lignes directrices sur la protection des personnes à l’égard du traitement des données à caractère personnel à l’ère des mégadonnées ;

Le 25 janvier 2019, le comité a adopté des lignes directrices sur l’intelligence artificielle et la protection des données dont l’objectif est d’assurer, dans le développement et l’utilisation de l’intelligence artificielle , le respect de la dignité, du droit à la vie privée et à la protection des données. Ces lignes directrices donnent les 1ère orientations en la matière, tant de nature générales que ciblées à l’intention des développeurs, fabricants et prestataires de service, ainsi qu’à l’intention des législateurs et des décideurs.

Actuellement, le comité travaille à la révision de la recommandation CM/Rec (2010) 13 sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel dans le cadre du profilage. Il prépare également un document relatif à la reconnaissance faciale ainsi que des lignes directrices sur la protection des données personnelles des enfants dans les systèmes éducatifs.

En conclusion, le respect des droits des personnes dans le monde numérique passe par un cadre juridique international et universel fort. Le Convention 108+ offre un niveau élevé de protection des données, similaire à celui du RGPD – dont il est important de rappeler qu’il découle de la Convention 108 – et permet d’apporter une réponse universelle aux défis actuels en offrant un socle commun de règles et de principes ayant une portée mondiale sur lequel il est possible de construire pour répondre à la numérisation de la société.  …  Je souligne combien il est important que les Etats membres de l’Union européenne se saisissent et fassent leurs les outils normatifs, telle la Convention 108+, qui permettent de créer des passerelles avec d’autres régions du monde.

Révision de la loi fédérale sur la protection des données: le projet du Conseil national n’atteint pas l’objectif de renforcer les droits des personnes !

Lors de la session d’automne des Chambres fédérales qui vient de s’achever, le Conseil national a adopté un projet de révision totale de la loi fédérale sur la protection des données. Ce projet avait été transmis au Parlement par le Conseil fédéral avec son message adopté le 15 septembre 2017. L’ambition du Conseil fédéral était de renforcer la protection des données, « au travers notamment d’une amélioration de la transparence des traitements et du contrôle que les personnes concernées peuvent exercer sur leurs données. » Il s’agissait également de mieux responsabiliser les responsables de traitement et de renforcer la surveillance sur l’application et le respect de la protection des données. L’ambition du Conseil fédéral était aussi de « maintenir et renforcer la compétitivité de la Suisse en créant un environnement propre à faciliter les flux transfrontières de données et en favorisant l’émergence de nouvelles activités économiques en lien avec la société numérique. » La révision doit également permettre à la Suisse de ratifier le protocole d’amendement à la Convention 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel, adopté par le Comité des Ministres, le 18 mai 2018 et ouvert à la signature le 10 octobre 2018 (Convention 108+). Elle doit aussi lui permettre d’obtenir de l’Union européenne le renouvellement de la décision d’adéquation. Cette révision doit permettre à la Suisse de rester dans le peloton des États offrant une protection des données forte et élevée et de répondre aux défis de la société numérique.

Après près de deux ans de discussion au sein de sa Commission des institutions politiques, le Conseil national a adopté un projet de révision de la LPD qui soulignons-le d’emblée ne répond pas aux ambitions du Conseil fédéral, dont le projet était déjà plutôt peu ambitieux par rapport aux défis actuels, ne respecte pas le standard de la Convention 108+ et est en deçà du niveau de protection des données de l’Union européenne. Le projet de Conseil fédéral posait déjà des problèmes de conformité à la Convention 108+ et tout en reprenant certains instruments du RGPD, créait des insécurités juridiques en ne les alignant pas complètement sur le droit de l’Union européenne. La droite du Parlement redoutait par contre un projet de loi allant au-delà des exigences européennes (le fameux swissfinish positif) et soit une surcharge bureaucratique inacceptable – ce qui est était loin d’être le cas pour le projet du Conseil fédéral – pour l’économie, économie qui dans son ensemble soutenait le projet du Conseil fédéral, voire pour certains auraient été plus loin. Le Conseil national a au final adopté un swissfinish négatif, affaiblissant en cela le droit des personnes à la protection des données et ne rendant pas service aux nombreuses entreprises et institutions suisses (petites et grandes) qui traitent des données personnelles et qui sont également actives au plan européen et international. Il dessert ainsi notre place économique et scientifique mettant en péril son positionnement de pointe dans le secteur du numérique et par conséquent l’attractivité de la Suisse. Si avec l’octroi d’un nouveau prix Nobel, la place scientifique suisse espère être renforcée, ces espoirs pourraient être réduits à néant avec un projet si en retrait. Le projet du Conseil national met en danger la reconnaissance de l’adéquation de la Suisse eu égard au droit européen. Les ambitions maintes fois affichées de faire de notre pays le coffre-fort des données deviennent ainsi un vœux pieux.

De manière générale, la révision de la LPD ne devrait pas s’éloigner de la terminologie du règlement européen (RGPD) et de la Convention 108+ sans raison majeure pour éviter l’impression de swissfinish, pour ne pas entraîner des difficultés d’interprétation et pour assurer une meilleure sécurité juridique. C’est en particulier le cas pour certaines définitions ou pour les principes de base de l’article 5. C’est également le cas pour les données sensibles. Bien que la Convention prescrive que le traitement de telles données ne peut se faire que si la loi prévoit des garanties appropriées complétant les autres garanties prévues dans la Convention afin de « prévenir les risques que le traitement de données sensibles peut présenter pour les intérêts, les droits et libertés fondamentales de la personne concernée, notamment les risques de discrimination », nous ne trouvons aucune garantie particulière complémentaire dans la loi, si ce n’est l’exigence d’une base légale formelle pour les traitements des organes fédéraux.

Il est dans l’intérêt des droits de personnes et des responsables de traitement d’être conforme à la Convention 108+ et de se rapprocher encore plus du règlement européen, lequel en tous les cas s’appliquera à un grand nombre d’entreprises (petites et grandes) en Suisse. Dans la mesure où le projet de révision vise les mêmes objectifs que le règlement et en reprend certains instruments (code de conduite, analyse d’impact, etc.), il doit être aligné sur le RGPD. Cela est aussi à l’avantage de l’économie privée et des nombreuses entreprises qui sont touchées par le RGPD. Elles ont intérêt à pouvoir appliquer les mêmes standards et ne pas devoir appliquer deux types de réglementation, ce qui leur offrira une plus grande sécurité juridique, maintiendra leur compétitivité et contribuera également à diminuer les coûts de mise en conformité et de respect des normes.

Avant de revenir sur quelques points problématiques du projet adopté par le Conseil national, il convient de relever que le projet contient quelques avancées positives par rapport au projet du Conseil fédéral. C’est en particulier le cas de l’introduction d’un droit à la portabilité ou pour reprendre la terminologie de l’article 25a d’un droit à la remise et à la transmission des données personnelles qui permet à la personne concernée d’obtenir sur demande que le responsable de traitement lui remette gratuitement et sous un format électronique les données personnelles la concernant qu’elle lui a communiqué. En complément du droit d’accès, ce droit permet aux personnes d’avoir une meilleure maîtrise sur les données les concernant. Cette disposition s’inspire de l’art.20 du RGPD sans pourtant s’aligner en tout point sur la réglementation européenne, ce qui en pratique posera des problèmes d’application et d’interprétation aux entreprises concernées actives en Suisse et en Europe. En particulier, la version du Conseil national semble pouvoir offrir plus de possibilités de restreindre ce droit de portabilité. En outre contrairement au RGPD, le projet du CN se limite à demander que les données soient transmises sous un format électronique sans autre précision; il n’exige pas que les données soient transmises sous un format structuré, couramment utilisé, lisible par machine et permettant l’interopérabilité afin que leur transfert vers un autre responsable de traitement soit plus aisément possible. Enfin, ce droit de portabilité pourrait être complété par un droit au déréférencement qui permet à toute personne qui le souhaite de demander à un moteur de recherche de supprimer tout lien vers des données qui la concernent sauf motifs légitimes et pertinents justifiant le maintien du référencement.

Au niveau du champ d’application, le Conseil national contrairement au Conseil fédéral a introduit une disposition (art. 2a) étendant l’application de la LPD aux états de faits qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Cette disposition est une réponse à l’extension extraterritoriale prévue à l’article 3 du RGPD. Cependant sa délimitation est a priori plus large que le RGPD qui se limite au traitement de données personnelles « relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable de traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes concernées dans l’Union … ou au suivi de comportement de ces personnes dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. » Il serait souhaitable de ne pas aller au-delà du RGPD. Cette disposition est complétée par une obligation pour le responsable de traitement privé qui a son siège ou son domicile à l’étranger de désigner un représentant Suisse lorsqu’il traite des données personnelles concernant des personnes en Suisse et que le traitement remplit certaines conditions (art.12a):

  • il s’agit d’un traitement en rapport avec une offre de biens ou de services ou un un suivi du comportement de ces personnes en Suisse;
  • il s’agit d’un traitement de données personnelles à grande échelle;
  • il s’agit d’un traitement de données personnelles régulier;
  • le traitement présente un risque élevé pour la personnalité des personnes concernées

Le représentant sert de point de contact pour les personnes concernées et le préposé. Il serait cependant souhaitable que par rapport à l’exercice des droits des personnes concernées, cette obligation s’étende au sous-traitant en Suisse agissant pour le compte d’un responsable de traitement dont le domicile ou l’identité n’est pas connu quel que soit l’ampleur du traitement comme cela est actuellement prévu à l’art. 8, al. 4 LPD.

Un autre point positif est la procédure d’élection du préposé. Selon l’art.39 du projet du CN, le préposé sera à l’avenir élu par l’Assemblée fédérale et non plus comme actuellement nommé par le Conseil fédéral et approbation de l’Assemblée fédérale. Cette procédure renforce la position du préposé et son indépendance à l’égard du Gouvernement et de l’administration fédérale. On pourrait souhaiter que le préposé fédéral suppléant soit également élu par l’Assemblée fédérale et non pas simplement choisi et engagé par le préposé comme le restant de son personnel. Cela renforcerait l’autorité du numéro 2. Il serait même bénéfique de prévoir un directoire à 3 élu par l’Assemblée fédérale, à savoir le préposé et deux suppléants, dont l’un serait plus spécialement en charge de la loi sur la transparence. On peut également se demander si le Conseil fédéral ne devrait pas également garder un rôle dans cette procédure d’élection en proposant à l’Assemblée fédérale une liste contenant 3 à 5 candidat/es au poste de préposé ou de suppléant. Cela éviterait un risque de trop politiser l’élection.

Examinons maintenant les points qui nous paraissent les plus problématiques par rapport à la Convention 108+ et dans une certaine mesure par rapport au RGPD.

Au niveau des définitions, le Conseil national propose de sortir du catalogue des données sensibles les données relatives aux activités syndicales. Les activités syndicales font partie du catalogue des données sensibles de la LPD en vigueur et figurent dans le catalogues des données sensibles de la Convention 108 et 108+, comme dans le RGPD. L’argument de la majorité selon lequel les activités syndicales sont contenues dans les opinions politiques n’est pas pertinent. Le catalogue de la Convention 108+ est impératif pour les parties. Elles ne peuvent pas aller en deçà. Elles peuvent par contre prévoir des catégories supplémentaires. En outre, il s’agit d’un affaiblissement important de la protection pour toute une catégorie de personnes dont on sait qu’elles s’exposent du fait de leurs activités et comme le souligne la minorité, les litiges syndicaux dans les entreprises ne peuvent être couverts par la notion d’opinion politique. Enfin comme le relève le Conseil fédéral, l’abandon des activités syndicales dans le catalogue des données sensibles créent une divergence avec le droit européen et une insécurité juridique injustifiée. D’autre part le Conseil national adopte une définition des données génétiques particulières qui n’est pas conforme à la définition de la Convention 108+, d’autres textes internationaux ou de la loi fédérale relative à la recherche sur l’être humain. Le texte de la Convention 108+ couvre l’ensemble des données génétiques qui concernent des personnes identifiées ou identifiables. Le CN propose par contre de se limiter aux seules données permettant d’identifier sans équivoque une personne, créant une insécurité juridique de plus, aux motifs de ne pas se distancer du RGPD (ce qui est faux) et de ne pas entraver la recherche qui n’a pas besoin de connaître l’identité des personnes dont les données génétiques sont utilisées. Ce dernier argument ne tient pas, car dès le moment où les données sont traitées de manière ne permettant pas d’identifier une personne, elles sont anonymes et ne tombent plus dans le champ d’application de la LPD ou tombent sous les motifs justificatifs de la statistique ou de la recherche dans la mesure où la finalité ne se rapporte pas à des personnes identifiées ou identifiables.

Le projet du Conseil fédéral prévoyait à juste titre d’assimiler le profilage à un traitement de données présentant un risque élevé à l’instar des données sensibles. En particulier une telle activité de traitement nécessitait un consentement exprès (art. 5, al. 6) lorsqu’il était requis et ne reposait pas sur un autre motif justificatif. En remplaçant la notion de profil de la personnalité par celle dynamique de profilage, le Conseil fédéral ne voulait pas affaiblir le droit à la protection des données. Le Conseil national a estimé qu’un simple consentement était suffisant et renoncé à une protection renforcée. Il estime que cela empêcherait des activités de profilage peu attentatoire à la vie privée. C’est méconnaître que la définition de profilage retenue par le Conseil national ne vise pas toute activité de profilage, mais uniquement des activités qui présentent par définition un potentiel élevé d’atteintes aux droits humains et libertés fondamentales.

L’article 9 du projet de révision prévoit la possibilité pour les responsables de traitement privés de nommer un conseiller à la protection des données personnelles. Aujourd’hui grand nombre d’entreprises ont recourt à un tel conseiller. Il s’agit d’un instrument essentiel de la mise en conformité en matière de protection des données et pour en assurer l’effectivité. Il peut éviter des problèmes et des coûts conséquents aux entreprises. Il est ainsi regrettable que le législateur se distingue du législateur européen et renonce à imposer le recours à un tel conseiller au moins pour les entreprises d’une certaine taille (+ de 50 employés), pour les organes fédéraux et pour les responsables de traitement traitant régulièrement des données sensibles, établissant systématiquement des profilages ou ayant des traitements à risque élevé (par exemple surveillance systématique des personnes).

Une autre disposition clé du projet de révision est la possibilité d’établir des codes de conduite ou de bonnes pratiques (art. 10). Il s’agit d’un autre instrument de mise en conformité que l’on retrouve dans le RGPD. Malheureusement une fois de plus le projet de révision de la LPD se distingue du RGPD en ne rendant pas obligatoire la soumission au préposé de tels codes de conduites afin que celui-ci puisse s’assurer de leur pleine conformité aux exigences légales. Cela est d’autant plus souhaitable si l’on maintient certains allégements pour les responsables de traitement qui se soumettent à un tel code.

En ce qui concerne les dispositions sur la communication de données personnelles à l’étranger, le projet du Conseil national n’est pas complètement aligné sur la Convention 108+. Or il est important qu’aucune discrépance ne subsiste quant au régime des flux transfrontières avec les exigences de la Convention 108+ qui établit le standard de protection approprié à garantir lors de transferts à l’étranger. Si tel demeure le cas, la Suisse examinera le niveau d’adéquation des États tiers à l’aune de sa législation et pourrait reconnaître comme adéquat des États qui seraient en deçà des normes européennes, ce qui poserait des problèmes eu égard au droit européen. La principale divergence avec le régime de la Convention 108+ réside dans les obligations d’information du préposé et son implication dans l’examen et l’agrément des garanties appropriées.

Quant au devoir d’information des personnes concernées, élément incontournable pour une meilleure maîtrise sur leurs données, le projet prévoit désormais que l’information doit être faite quel que soit la nature des données traitées. Le droit en vigueur se limitait dans le secteur privé aux données sensibles et au profil de personnalité. Toutefois, l’étendue du devoir d’information demeure en deçà des exigences de la Convention 108+.

Comme le RGPD et la Convention 108+, le projet de révision de la LPD introduit un instrument central de la mise en conformité, à savoir l’analyse d’impact relative à la protection des données personnelles (art. 20). Cette disposition pourrait être précédée à l’instar du droit européen par une obligation générale du responsable de traitement de mise en conformité et de démontrer cette mise en conformité. Une telle obligation joue un rôle important notamment en cas de conflit ou de contestation de la légitimité d’un traitement puisqu’il revient au responsable de traitement et non aux personnes concernées d’apporter la preuve qu’il respecte la loi. En ce qui concerne les analyses d’impact, le projet s’écarte cependant de la Convention 108+ et du RGPD puisqu’il introduit des exceptions à la tenue d’une telle analyse, notamment en présence d’obligations légales, lors d’une certification, ou du respect d’un code de conduite approuvé par le préposé. Si on peut admettre une exception en présence de certification qui en soi implique une analyse d’impact, tel n’est pas le cas pour le code de conduite. L’analyse d’impact se fait par rapport à des activités de traitement concrètes. Le code de conduite lui pourra servir de base à la conduite de ces évaluations.

En outre, le projet prévoit la possibilité pour le responsable de traitement de ne pas consulter le préposé en présence d’un risque élevé lorsqu’il dispose d’un conseiller à la protection des données. Il n’est pas compréhensible de dispenser de l’obligation d’informer le préposé alors que l’évaluation débouche sur la constatation d’un risque élevé potentiel et que des mesures doivent être prises. Le préposé doit pouvoir intervenir et imposer les mesure à prendre et pas seulement se limiter à faire des objections au traitement et proposer des mesures, comme le prévoit le projet. Enfin, il est regrettable d’avoir biffer de la liste des traitements qui présentent un risque élevé, le profilage. Tel que définies dans le projet, les activités de profilage peuvent avoir des conséquences importantes quant au respect des droits fondamentaux et de la personnalité des personnes concernées. Elles peuvent entrainer des discriminations inadmissibles, des décisions erronées ou des manipulations illicites, notamment selon la qualité des données traitées et à la fiabilité des algorithmes utilisés, à l’exemple des nombreuses erreurs recensées dans les évaluations de crédit (voir l’article de Sophie Michaud Gigon, secrétaire général de la FRC dans le Temps du 9 octobre 2019).

Concernant les droits des personnes concernées, le projet prévoit que les personnes concernées soient informées de l’existence d’une décision individuelle automatisée ainsi que de la logique sur laquelle se base la décision pour autant que cette dernière ait des effets juridiques sur la personne concernée ou qu’elle l’affecte de manière significative. A nouveau, le projet se distance de la Convention 108+ qui ne limite pas cette information aux seules décisions ayant des effets juridiques ou affectant la personne de manière significative. Elle prévoit que toute personne peut obtenir connaissance du raisonnement qui sous-tend un traitement de données lorsque les résultats de ce traitement sont appliqués à cette personne. Cette information est importante pour permettre de comprendre pourquoi un traitement débouche sur tel résultat indépendamment des conséquences sur les droits des personnes concernées. En outre, le projet introduit une possibilité nouvelle de restreindre le droit d’accès qui n’est pas conforme à la Convention 108+. L’accès pourra être refusé, restreint ou différé lorsque la demande d’accès est manifestement infondée. Cela revient à introduire, par la petite porte, une obligation de motiver la demande d’accès, remettant en cause le principe de base du droit d’accès, à savoir qu’il doit pouvoir obtenir les données sans conditions et sans avoir à justifier d’un quelconque motif.

Au niveau des motifs justificatifs pouvant légitimer un traitement de données personnelles par des personnes privées, le projet de révision reprend en son article 27 le droit actuel (art 12 et 13) basé sur les articles 27 et 28 du Code civil. On notera cependant en relation avec le motif justificatif de l’évaluation de la solvabilité d’une personne (27, al. 3, let c, ch. 1), l’introduction d’une nouvelle catégorie de données, celles des « données particulièrement sensibles ». Il s’agit d’un swissfinish difficilement compréhensible et indéterminé et que nous ne retrouvons ni dans la Convention 108+, ni dans le RGPD. Il est regrettable que le projet du Conseil national n’est pas suivi le libellé du Conseil fédéral qui se réfère aux données sensibles définies à l’article 4 et au profilage et qui correspond au droit en vigueur.

Dans les dispositions régissant les organes fédéraux, une disposition pose un problème au regard de la Convention 108+. Il s’agit de l’article 33 « opposition à la communication de données personnelles » qui s’avère plus limitative que l’article 9, ch. 1, let. d. En effet aux termes de cette disposition, toute personne dispose d’un droit de s’opposer au traitement des données et non pas seulement à la communication de données. En outre, ce droit d’opposition n’est lié à la condition que le demandeur rende vraisemblable un intérêt légitime. La Convention prévoit que c’est au responsable de traitement de démontrer des motifs légitimes justifiant le traitement et qui prévalent les intérêts ou les droits et libertés fondamentales de la personne concernée. Ainsi dès le moment où un organe fédéral n’est pas tenu juridiquement de traiter des données et que cela ne compromet pas l’accomplissement de ses tâches légales, la personne concernée devrait pouvoir s’opposer au traitement.

En ce qui concerne les pouvoirs du préposé fédéral, nous notons que ceux-ci sont renforcés par rapport au droit actuel. En particulier, le préposé jouira à l’avenir d’un véritable pouvoir de décisions. Par contre et contrairement au RGPD et ce que postule l’art. 15 de la Convention 108+, il ne pourra pas infliger de sanctions administratives. Les sanctions pour violation de la LPD sont de nature pénale et relève de la justice pénale. Bien en deçà des amendes prévues dans le RGPD, elles n’ont qu’une portée limitée et peu dissuasive.

Aux termes de l’article 43 du projet de révision, le préposé ouvrira une enquête d’office ou sur plainte que si des indices suffisants font penser qu’un traitement de données pourrait être contraire à des dispositions de protection des données. Il pourra renoncer à ouvrir une enquête lorsque la violation des prescriptions de protection des données est de peu d’importance. La loi lui laisse une certaine marge d’appréciation. Toutefois rappelons que l’article 15, ch. 4 de la Convention 108+ prévoit que l’autorité de contrôle « traite les demandes et les plaintes dont elle est saisie par les personnes concernées au regard de leurs droits à la protection des données et tient ces personnes informées des résultats ». Si on peut légitimement comprendre que le préposé peut renoncer à traiter des plaintes injustifiées ou de peu de portée pour les droits et les libertés fondamentales, il est néanmoins regrettable que la loi ne prévoie pas, en plus de l’obligation d’informer le plaignant (art. 43, ch. 4), la possibilité d’un recours juridictionnel au sens de l’art. 15, ch. 8 de la Convention 108+.

Le préposé disposera de pouvoirs de contraintes en cas de refus de collaboration d’un organe fédéral ou d’une personne privée (art. 44). Il pourra également ordonner des mesures provisionnelles et au besoin les faire exécuter par une autorité fédérale ou des organes de police cantonaux ou communaux. Il est peu compréhensible que ces mesures provisionnelles ne puissent être ordonnées qu’en cas de refus de collaboration. Le préposé devrait pouvoir y recourir dès le moment où il appert un risque de préjudice difficilement réparable, comme cela est prévu à l’art. 33 de la LPD actuel.

Comme déjà relevé, les compétences du préposé dans le domaine des communications des données à l’étranger sont moins étendues que celles prévues dans la Convention 108+. Par rapport au RGPD, il en va de même notamment pour les codes de conduite et les analyse d’impact. Nous notons dans ce cadre que le Conseil national a encore restreint les compétences du préposé. Le projet du Conseil fédéral prévoyait que le préposé pouvait élaborer des guides et des outils à l’attention des responsables de traitement, des sous-traitants et des personnes concernées (art. 52, al. l, let. g). Cette compétence compensait quelque peu le fait que les codes de conduite ne fassent pas l’objet d’une approbation obligatoire par le préposé. Le Conseil national a restreint cette compétence à l’élaboration d’outils répondant aux recommandations de bonne pratique. Cela limite la portée des outils à l’existence préalable de recommandations de bonne pratique, alors que la version du Conseil fédéral permettait d’anticiper et de mieux cadrer les secteurs pouvant faire l’objet de codes de conduite, voire d’élaborer des orientations plus générales ou spécifiques indépendamment de l’existence d’un code de conduite. Il donnait au préposé des outils utiles pour faciliter la compréhension et l’application de la loi.

Il reste à espérer que le Conseil des États reverra la copie du Conseil national et apportera les ajustements nécessaires pour rendre notre législation en tout point conforme à la Convention 108+ et à éliminer les divergences inutiles avec le RGPD. Il serait incompréhensible au final que les citoyens et citoyennes suisses et toutes les personnes résidant en Suisse jouissent d’une protection moins élevée que ceux et celles résidant en Europe, voire dans d’autres États partie à la Convention 108+.

Jean-Philippe Walter, expert indépendant