Un colosse aux pieds d’argile… A l’occasion de la dix-neuvième Journée de la protection des données, l’IDHEAP a organisé un après-midi dédié à cette question, le 28 janvier. Rencontre avec un couteau suisse du droit, Jean-Philippe Walter, qui rappelle que la protection de la sphère privée est actuellement fragilisée.
Avec le développement de l’intelligence artificielle et le pouvoir grandissant des GAFAM, les responsables de la protection des données sont sous pression, constate le commissaire à la protection des données du Conseil de l’Europe. Présent à l’IDHEAP le 28 janvier, le Suisse Jean-Philippe Walter ne cache pas son inquiétude. Cet ancien préposé fédéral suppléant à la protection des données entre 1993 et 2019 exerce auprès de cette organisation internationale de défense des droits de l’Homme depuis 2018. Il cessera ses activités à fin juin 2025.
Vous êtes commissaire à la protection des données du Conseil de l’Europe depuis juin 2018, en quoi consiste votre fonction ?
Jean-Philippe Walter: C’est une activité bénévole. J’incarne l’autorité de surveillance de l’administration du Conseil de l’Europe. J’instruis les plaintes, tout en exerçant une certaine surveillance et en effectuant un travail pédagogique auprès des différents services du Conseil de l’Europe. Si j’enregistre peu de plaintes, on me soumet en revanche régulièrement des situations de traitement en cours. Si besoin, j’interviens. Il s’agit notamment de dossiers sur la vidéosurveillance, la santé, les ressources humaines ou le développement de l’intelligence artificielle.
Quand on exerce votre fonction, on est un peu un couteau suisse. On sait tout faire…
(Rires) Oui, cela demande pas mal de gymnastique et de souplesse. Dans les autorités de protection des données, les plus grandes en tout cas, il y a des personnes qui se spécialisent, avec des juristes dédiés au conseil ou à la surveillance… Dans ma fonction, je suis seul. Je touche à tout.
La date de la Journée internationale de la protection des données n’a pas été choisie par hasard. Elle fait référence à la Convention 108 du Conseil de l’Europe, ouverte à la signature le 28 janvier 1981. De quoi s’agit-il ?
La Convention 108 est le premier texte juridique international contraignant sur cette question. Ouverte à la signature en 1981, elle est entrée en vigueur en 1985. Cette convention est désormais ratifiée par l’ensemble des États membres du Conseil de l’Europe, qui compte 46 pays, et par neuf États tiers. A l’occasion du trentième anniversaire de son ouverture à la signature, cette convention a fait l’objet d’une modernisation, aboutissant en 2018 à la Convention 108+. Celle-ci doit encore être ratifiée par cinq pays, sur les 38 nécessaires, pour entrer en vigueur. Cela pourrait intervenir en 2025. La Convention 108+ renforce les droits des personnes concernées, améliore les obligations de transparence, les droits en relation avec l’évolution des technologies et, dans une certaine mesure, l’intelligence artificielle. Elle augmente notamment le catalogue d’obligations pour les responsables de traitement. Elle renforce aussi les compétences des autorités de protection des données et la coopération internationale. Autant d’instruments qui ne se trouvent pas dans la Convention 108.
La Convention 108 n’est entrée en vigueur qu’au 1er février 1998 en Suisse. Pourquoi ce délai de 17 ans ?
En tant qu’État fédéral, la Suisse a pour habitude de ne jamais ratifier et signer un traité international si son droit interne n’est pas en ordre par rapport aux exigences de cette convention. Cela a conduit à temporiser jusqu’en 1998.
Dans l’Union européenne, le Règlement général de la protection des données (RGPD) a fait son entrée en mai 2018. Un électrochoc pour notre pays ?
Le RGPD a été un déclencheur qui a permis d’accélérer le travail législatif en Suisse, mais pas seulement. Notre pays avait aussi pris conscience qu’il y avait une nécessité de revoir sa législation, datant de 1992, et de l’adapter.
En Suisse, il faut attendre le 1er septembre 2023 pour avoir une nouvelle loi sur la protection des données. Qu’est-ce qu’elle a changé ?
Cette législation a permis un renforcement des droits des personnes physiques. Elle a précisé et étendu les obligations des responsables de traitement, tout en renforçant le pouvoir du préposé fédéral à la protection des données. Celui-ci possède désormais des pouvoirs de décision, et non plus seulement de recommandation. Cette législation comporte toutefois un déficit en termes de sanctions pénales, qui restent en retrait par rapport à l’Union européenne. Dans certaines circonstances, il faut avoir ce moyen de pression. Mais il est surtout important d’avoir un aspect pédagogique, de sensibilisation. L’objectif d’une loi sur la protection des données n’est pas de réprimer ; cela devrait rester l’ultima ratio.
Pour les droits de l’Homme et les libertés fondamentales, la numérisation représente un véritable challenge. Pourquoi ?
L’évolution technologique est si rapide qu’elle permet de traiter de plus en plus d’informations sur les uns et les autres. Avec l’intelligence artificielle, couplée aux neurosciences, on arrive à dresser des profils très fins des personnes. Aujourd’hui, on voit, avec l’arrivée de Trump à la présidence, l’émergence des oligarques du numérique au pouvoir. Ceux-ci n’ont en tête que de réaliser du profit, d’avoir un poids sur les décisions et d’orienter les choix des citoyens et citoyennes comme des pouvoirs publics. Le défi est de pouvoir encadrer ces grandes sociétés du numérique, tout en donnant la possibilité aux individus de reprendre la maîtrise de leurs données.
En dehors de la numérisation, quels sont les autres défis à relever ?
L’une des grandes tâches est d’accélérer les mécanismes de sensibilisation et de formation, dans toutes les couches de la société. En premier lieu auprès des jeunes, qui auront en main le développement de ces technologies et seront amenés à gérer les traitements de données. S’ils sont formés à une approche des droits de l’Homme, au respect des droits, ils seront plus enclins à développer des systèmes respectueux des libertés fondamentales. Ce qui fait actuellement trop souvent défaut dans les développements auxquels on assiste.
La protection des données veille à un droit à l’autodétermination informationnelle. On en est encore loin, non ?
Oui, on en est encore bien loin ! C’est un très beau droit sur le papier, qui veut que la personne conserve la maîtrise de l’information. Cela implique un principe de transparence et de proportionnalité. Aujourd’hui, ce sont des entreprises privées qui détiennent le pouvoir et le font en toute impunité et en toute opacité. On ne peut plus se cacher. Toute interaction avec un ordinateur ou un téléphone engendre des données répertoriées et analysées, qui demeurent. On ne sait qui les utilise, où elles vont et pourquoi. Le but est de retrouver la transparence nécessaire pour avoir une maîtrise sur ce qui se passe.
Quels conseils donneriez-vous ?
S’informer, savoir pourquoi on a besoin de telle information, exercer son droit d’accès à ses données. Et, le cas échéant, son droit de rectification. C’est le b.a.-ba. Mais il y a encore peu de demandes en ce sens.
Êtes-vous inquiet de la situation actuelle ?
Oui, je ne vais pas m’en cacher, je suis inquiet. Nous nous trouvons dans une phase cruciale. Avec la montée des régimes autoritaires en Europe et ailleurs, il y a une remise en cause de certains acquis. Avec le développement et le pouvoir que prennent les grandes sociétés du numérique, qui font pression pour diminuer les règles et avoir plus de pouvoir et de profit, l’avenir de la protection des données est instable. Il est important qu’il y ait une réaction au niveau des autorités de protection des données et une prise de consciences de la société civile comme du politique de l’importance de défendre les droits humains et les libertés fondamentales. Mon appel est à une prise de conscience et à une réaction à tous les niveaux pour garantir l’avenir des droits de l’Homme, de l’État de droit et de la démocratie.
Tour d’horizon
En Suisse, la protection des données s’attache à préserver les droits des personnes physiques, touchant aux informations les concernant. Elle découle de l’article 13 de la Constitution, qui traite de la sphère privée. Petit tour d’horizon de certains éléments incontournables :
- Proportionnalité : la récolte d’informations doit être nécessaire. On ne peut collecter n’importe quelles données sur n’importe qui, dans n’importe quel contexte.
- Droit à l’oubli : de la notion de proportionnalité découle le droit à l’oubli. L’effacement des données ou leur anonymisation doit se faire s’il n’y a plus de raison de les conserver. Ou si la personne en fait la demande et qu’aucun autre intérêt ne s’y oppose.
- Consentement : la personne doit être informée et pouvoir donner son consentement librement, lorsqu’il s’agit du traitement de ses données. Mais des limites existent. Lorsqu’il s’agit d’une question de vie ou de mort ou face à un intérêt prépondérant, ce consentement n’a plus lieu d’être.
- Transparence : l’accessibilité à ses données est un droit. Les consulter, les faire corriger ou radier aussi.
- Données sensibles : certaines données sont plus délicates que d’autres. Il s’agit des opinions politiques, religieuses, philosophiques et syndicales. En outre, les données relevant de la sphère intime (génétiques, biométriques ou sanitaires) sont également concernées.
- Sécurité : toute entreprise gérant des données doit avoir une « sécurité adéquate » au regard de la loi. La législation ne fournit toutefois pas de cadre fixe à cette notion, qui reste à l’appréciation du responsable du traitement des données. Plus les données sont sensibles, plus la sécurité doit être renforcée. L’annonce de vol de données est obligatoire et doit être effectuée dans les meilleurs délais auprès du préposé fédéral à la protection des données. La tenue d’un registre des activités de traitement est nécessaire pour les entreprises de plus de 250 collaborateurs et collaboratrices.
- Sanctions : en Suisse, l’amende se monte à 250’000 francs au maximum, avec inscription au casier judiciaire. Le préposé fédéral à la protection des données peut, sur dénonciation ou non, ouvrir une enquête. Du 1er septembre 2023 au 21 janvier 2025, 1406 dénonciations, 16 enquêtes préliminaires et 8 enquêtes ouvertes ont été comptabilisées. Deux affaires étaient pendantes au Tribunal fédéral.
