Bilan

Secret des données: le grand chantier

La réglementation en matière de protection des données date du début des années 1990. Elle doit être adaptée pour faire face aux problématiques de sécurité actuelles.
  • Fresque à Cologne dénonçant l’utilisation de logiciels espions par la NSA.

    Crédits: Franck Augstein/Keystone
  • Une question essentielle: faut-il préférer vivre libre ou en sécurité?

    Crédits: Dr

Pas une semaine ne passe sans que l’on entende parler de la protection des données personnelles. Des PME suisses se font rançonner après avoir été piratées, les tribunaux européens interdisent le transfert des données personnelles aux Etats-Unis, un référendum est annoncé en Suisse contre «l’Etat fouineur». A l’inverse, on reproche à la technologie d’empêcher la police de faire son travail en permettant l’échange de données chiffrées. Tour d’horizon. 

Les données personnelles

En Suisse comme en Europe, la réglementation en matière de protection des données date du début des années 1990. A l’époque, les «données personnelles», c’étaient les numéros de téléphone (fixe), les adresses physiques, le nom et le prénom, la date de naissance et le numéro AVS. Les fondements d’alors restent parfaitement valables aujourd’hui: pour traiter des données personnelles, un «maître de fichier» doit respecter des principes comme la proportionnalité et l’exactitude.

Lire aussi: La protection des données personnelles, nouvel eldorado de la Suisse

Les données ne peuvent être traitées qu’en présence d’un intérêt prépondérant ou légitime ou avec le consentement de la personne concernée. En cas de transfert à l’étranger, il faut s’assurer d’un niveau de protection équivalent. Sur ces bases, le commerce électronique a pu fleurir et la collecte des données personnelles en ligne se généraliser.  

Vingt ans après, le système atteint pourtant ses limites. Plusieurs éléments essentiels ont changé. La notion de données personnelles est devenue tellement large qu’on peut se demander quelles informations pourraient encore échapper à la loi. Or, toutes les données que nous générons n’ont pas besoin d’être soumises à une réglementation stricte. 

Ensuite, il est hypocrite de justifier un traitement large de nos données personnelles en s’appuyant parfois uniquement sur le consentement de la personne visée. Les conditions générales de l’iTunes d’Apple sont plus longues que la fameuse pièce Macbeth de Shakespeare. 

Par ailleurs, on parle sans cesse du big data, composé de nappes phréatiques d’informations que tout le monde cherche à exploiter. Pour l’instant, on se concentre sur le forage, mais bientôt, avec le smart data et le développement de l’intelligence artificielle, ce sont des raffineries qui vont apparaître. Ceux qui les exploitent pourront alors vendre les données collectées à large échelle et à prix d’or.

Or, les règles actuelles peinent à s’appliquer dans ces configurations: des données anonymes peuvent, par recoupement, permettre l’identification d’une personne, ce qui implique l’assujettissement à la loi, et donc la désignation d’un responsable de fichier. Mais celui-ci est ardu à identifier, puisque les données sont éparpillées, parfaitement anonymes prises individuellement, et souvent l’objet d’un trafic actif. 

La réglementation doit évoluer

Il est nécessaire aujourd’hui de revoir la réglementation. On doit d’abord clarifier certaines définitions et renforcer le rôle des préposés à la protection des données et la gravité des sanctions en cas de violation. Il semble que ce soit la direction prise par les groupes de travail en Suisse et en Europe. Les révisions en cours pourraient cependant aller plus loin.

Cela impliquerait alors certainement de reconnaître que le traitement de données personnelles à large échelle et sans consentement spécifique préalable et systématique est un mal nécessaire de la société de l’information dans laquelle nous vivons. Dans cette logique, on pourrait autoriser le traitement de données personnelles dans un cadre prévisible lors de la collecte, sauf opposition expresse. Bien entendu, il faudrait alors préserver l’exigence d’un consentement (mais cette fois-ci véritable) pour des catégories spécifiques, comme les données de santé ou la génomique.

Surtout, la réglementation en matière de protection des données doit s’étendre à l’obligation de sécuriser les données récoltées contre les cyberattaques, indépendamment de leur caractère personnel. Il faut en outre encourager la conception de systèmes qui paramètrent par défaut l’absence de collecte d’informations (privacy by default) et ne conservent que les données nécessaires et pour une durée minimale (privacy by design).

Enfin, il importe d’apporter plus de clarté sur les transferts de données à l’étranger et le recours à des sous-contractants.

L’accord de «Safe Harbor»

En l’an 2000, la Commission européenne a décidé que les sociétés américaines qui s’assujettiraient volontairement à certaines règles seraient présumées offrir un niveau de protection équivalent à celui de l’Union européenne. C’est le principe du Safe Harbor. On évitait ainsi à des sociétés européennes de devoir négocier des accords individuels pour le transfert de données personnelles de leurs clients aux Etats-Unis.

Or, cette décision a été récemment invalidée par la Cour de justice de l’Union européenne, au motif notamment que le système américain ne fournissait pas un niveau de protection équivalent à celui dont bénéficient les citoyens européens. En conséquence, la participation d’une société américaine au Safe Harbor n’est plus une justification suffisante pour transférer des données personnelles outre-Atlantique. Dans la foulée, une période de grâce a été fixée jusqu’à fin janvier 2016 pour la renégociation d’un nouvel accord global ou permettre aux sociétés concernées de conclure des accords spécifiques.

Cette décision a un impact en Suisse, qui a, elle aussi, un programme Safe Harbor quasi identique; il n’est plus non plus aujourd’hui d’une quelconque utilité pour justifier le transfert de données personnelles aux Etats-Unis. 

Cette invalidation, logique, a permis aussi de rappeler que la protection de la sphère privée était un droit fondamental, et qu’une surveillance de masse exercée par un Etat sur ses citoyens à leur insu constituait une atteinte inacceptable. Mais c’était avant les attentats de Paris et le regain d’intérêt des Etats européens pour un contrôle plus strict des communications privées sur leur territoire…

La loi suisse sur le renseignement

Il est hypocrite de dénoncer le système américain dans le cadre du Safe Harbor sans ouvrir le débat sur les réglementations actuelles ou futures dans certains pays européens, y compris la Suisse. Au vu du référendum annoncé, le débat aura lieu en Suisse en 2016 sur ce qui est admissible ou non au nom de la surveillance étatique. Il faut s’en réjouir et espérer que ce débat aura également lieu dans d’autres démocraties du Vieux-Continent, dont l’attachement à la liberté personnelle va être mis à l’épreuve.

Face aux menaces terroristes en particulier, il paraît clair que les pouvoirs de l’Etat en matière de surveillance doivent être renforcés. La question est plutôt de savoir si ce renforcement peut aller jusqu’à priver systématiquement chacun du droit au secret de ses communications privées. Dans un Etat de droit, la réponse est évidemment négative. Dès lors, puisqu’il faut trouver un équilibre, qui dans notre société est à même de fournir des garde-fous crédibles?

La loi suisse sur le renseignement qui vient d’être adoptée prévoit des mécanismes de contrôle précis, avec plusieurs niveaux d’approbation et la mise en place de cautèles procédurales lors d’investigations particulièrement intrusives. Si l’abus est un risque qu’il ne faut pas négliger, il est en revanche une certitude qu’il ne faut pas oublier: le terrorisme ne sera pas vaincu par l’obligation de conserver en permanence une clé de déchiffrement à disposition de la police, comme certains le préconisent. Informaticiens et politiciens doivent continuer à chercher d’autres solutions… 

* Fondateur du cabinet id est avocats et actif dans le domaine des nouvelles technologies et de l’innovation.

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

Image Footer

"Tout ce qui compte.
Pour vous."