Adrian Lobsiger: «Notre loi sur les données date de 1993. Il faut absolument la moderniser»

Le lieu est d’une tranquillité absolue. En bas de la colline, l’Aar, avec juste à côté une petite forêt, et plus loin, la vieille ville de Berne. La vue depuis la fenêtre du bureau d’Adrian Lobsiger, décoré d’une seule plante verte, incite à la rêverie. Mais le préposé fédéral à la protection des données est un homme sous pression. En l’espace de quelques jours, il a dû gérer la perte de 800 000 numéros de téléphone de Swisscom, le piratage de données sensibles chez EOS et un vol informatique au Groupe Mutuel. Ce n’est pas tout. Alors que Règlement général sur la protection des données (RGPD) de l’Union européenne entrera en vigueur en mai, la Suisse tergiverse et ne parvient pas à moderniser sa loi sur les données qui date de… 1993.

Le Temps: Lorsque Swisscom annonce le vol de 800 000 numéros, le 7 février, vous écrivez «qu’il n’existe pas de raison de prendre des mesures formelles» contre l’opérateur. Pourtant, ce vol concerne des données privées…

Adrian Lobsiger: Swisscom m’a communiqué ce vol le 22 décembre, quasiment au même moment qu’éclatait l’affaire EOS et celle concernant le Groupe Mutuel. J’ai tout de suite saisi l’importance de ce cas et je m’en suis occupé personnellement. La loi actuelle n’oblige pas une société à notifier une telle perte à mon autorité. Et même le futur règlement européen, dont la future loi suisse pourrait s’inspirer, ne dit pas en détail ce qu’il faut faire après l’annonce d’un vol de données et laisse là une marge d’appréciation.

Tout de même, Swisscom a constaté ce vol en octobre. Il a mis deux mois à vous informer, alors que la loi européenne donne trois jours maximum à une entreprise pour notifier un vol à l’autorité de contrôle…

Swisscom a respecté le principe de transparence dans la loi actuelle, qui implique qu’une entreprise touchée informe ses clients. La société a aussi pris des mesures pour protéger ses clients, via un filtre contre les appels indésirables, la possibilité de changer leur numéro de téléphone, et a préparé ses employés dans les centres d’appels. J’ai rappelé à Swisscom ses obligations, l’opérateur a répondu à mes questions concernant les circonstances dans lesquelles l’accès indu à des données est arrivé ainsi que les mesures prises pour empêcher d’autres fuites de données. Il n’y avait donc pas lieu d’exiger d’autres informations de la part de Swisscom.

Mais Swisscom n’a pas informé ses clients touchés, il les a laissés le contacter par SMS. C’est un peu léger, non?

Mon rôle, c’est de rappeler aux entreprises leur devoir. Les responsables de Swisscom savaient que plus ils attendraient à communiquer, plus ce serait compliqué pour eux. C’est l’opérateur qui garde la maîtrise et la responsabilité du moment qu'il informe ses clients. Il m’a dit comment il allait procéder: c’était une interprétation de notre loi qui date de 1993 et qui n’édicte que des principes généraux. Avec la solution proposant au client de contacter l’opérateur par SMS, la loi a été respectée. Mais je peux comprendre qu’il y ait eu des consommateurs qui s’attendaient à une autre approche.

Regrettez-vous votre manque de moyens de contrainte?

Je ne vais pas rendre publiques mes discussions avec Swisscom. Ce qui est important, c’est que les clients aient été informés, que la fuite ait été colmatée et que les informations volées ne circulent pas sur le Darknet, par exemple. Swisscom nous fournira encore des précisions que nous avons demandées le 9 février.

Si le règlement européen s’appliquait maintenant à Swisscom, quelles seraient les conséquences?

Le règlement prévoit que les sociétés doivent, sous réserve d’exception, avertir l’autorité de contrôle dans les 72 heures et que, dans le cas où des violations ont été constatées, des sanctions peuvent être prises à leur encontre.

Comprenez-vous la colère des clients de Swisscom?

Absolument, et elle est légitime. Swisscom a ébranlé la confiance de ses clients. Je pense aussi que les associations de consommateurs ont fait leur travail. Leur activité complète la mienne, qui consiste à sensibiliser l’opinion tout en gardant mes distances par rapport aux élans d’indignation. Mon but est d’appliquer la loi, de contribuer à l’élaboration de solutions pratiques et de faire en sorte que cela ne se reproduise plus.

De quelles forces disposez-vous aujourd’hui?

Je dispose de trois postes et demi pour m’occuper de la transparence, et de 24 pour la protection des données. Nous devons surveiller le traitement des données par l’administration fédérale ainsi que par les quelques 600 000 entreprises en Suisse, y compris celles proches de l’Etat, c’est-à-dire les CFF, La Poste et Swisscom.

Vos moyens semblent dérisoires… 

Même si j’étais tout seul, j’accomplirais ma tâche… mais la question est: avec quelle ampleur? L’ampleur de la surveillance que notre autorité exerce dans la réalité numérique dépend des moyens que les organes politiques nous accordent et relève de leur responsabilité. Si l’on dit que la Suisse est un pays compétitif en matière numérique, il faut une autorité de surveillance sur les données qui ait des moyens et dont la présence soit visible aussi à l’étranger. Les moyens dont je dispose relèvent du strict minimum et je dois restreindre mes choix sur les combats que je mène.

Quels dossiers vous occupent le plus?

Nous accompagnons les grands chantiers numériques en Suisse. Je pense au projet d’identité numérique suisse unique qui est lié aux projets Swiss ID et SwissSign qui réunissent des entreprises suisses de plusieurs secteurs. Il y a aussi le projet mobility pricing et ses stratégies et visions pour les futurs transports, les initiatives pour le e-gouvernement, les identificateurs comme le numéro AVS, les multiples projets de eHealth… Ce sont des dossiers qui muent en permanence et ne sont jamais terminés.

Vous enquêtez en plus, depuis quelques jours, sur Decathlon qui veut identifier tous les clients qui entrent dans le magasin…

Nous allons contacter cette entreprise, mais je ne peux pas me prononcer à ce sujet avant que l’entreprise soit informée.

Quels sont vos moyens de sanction si vous constatez qu’une entreprise contrevient à la loi sur la protection des données?

Si cette loi est violée de manière intentionnelle, l’amende maximale peut être de 10 000 francs. Mais elle ne peut être prononcée que par un juge. En l’état, le projet de nouvelle loi augmente cette limite à 250 000 francs, mais ce sera toujours une décision prise par un juge.

Ce sont des sanctions qui semblent dérisoires par rapport aux enjeux. Qu’en pensez-vous?

Je me suis exprimé à plusieurs reprises pour que la Suisse se dote d’une législation moderne qui vise la réalité numérique, y compris avec des sanctions dissuasives, pour que nous demeurions compétitifs. Mais je regrette que les médias parlent surtout des sanctions. Or le nouveau droit européen, et j’espère le futur droit suisse, fournit des instruments de travail précieux. Celui qui récolte et traite de grandes quantités de données, devra analyser les risques, les réduire au minimum. Il appartiendra désormais aux entreprises de tout documenter et si c’est fait, l’autorité de contrôle ne devra plus faire un travail d’enquêteur lors d’un incident. Cet aspect est fondamental pour travailler efficacement et protéger les consommateurs et les citoyens. Les sanctions sont importantes, mais c’est surtout le manque d’instruments modernes de travail dans la loi actuelle qui me gêne. Notre loi sur les données date de 1993. Il faut absolument la moderniser.

Reste que les sanctions prévues, en Suisse, n’atteindront pas les 20 millions d’euros fixés par la loi européenne…

J’ai critiqué plusieurs différences entre la loi européenne et le projet suisse. J’ai aussi déploré le fait que le Conseil fédéral ne prévoit pas de portabilité des données entre des fournisseurs de services, comme le stipule le droit européen. Ce point est absurde. Mais de manière générale, la réglementation suisse ne doit pas être identique à celle de l’UE qui relève d’une technique législative détaillée. Je salue le fait que le projet actuel du Conseil fédéral laisse une marge d’appréciation et de manœuvre et se montre neutre par rapport aux technologies qui ne cessent d’évoluer.

Le règlement européen entrera en vigueur le 25 mai prochain. La nouvelle loi suisse ne verra pas le jour avant 2019. Qu'en dites-vous?

Il faut éviter que la durée de l’adaptation législative de la Suisse ne reste floue. Cela mettrait en danger la confiance dans l’ordre juridique, c’est capital.

Vous estimez donc que le Conseil fédéral et le parlement, en tergiversant, font courir un risque à la Suisse?

Le Conseil fédéral a transmis un projet de loi au parlement en septembre dernier portant sur la révision de l’ensemble du droit de la protection des données. Je déplore que la commission compétente ait scindé le projet en deux phases et qu’il ne se passera rien, au niveau législatif, avant avril. Certains politiciens militaient pour un rapprochement fort avec le droit européen, d’autres voulaient s’en éloigner. Je regrette que la protection des données devienne une pomme de discorde relevant du domaine de la politique extérieure. Je ne dis pas qu’il faut reprendre le droit européen tel quel. Je défends uniquement l’intérêt du citoyen. Notre loi sur les données date de 1993, elle ne reflète pas la réalité numérique qui a révolutionné le traitement de nos données.

La place économique suisse risque-t-elle de perdre en compétitivité?

Oui, sans aucun doute. Je suis en contact avec des directeurs de start-up et d’entreprises établies. Ils m’ont confié qu’on hésite désormais à attribuer des marchés aux entreprises suisses car le bruit court à l’étranger que la Suisse n’arrive pas à renouveler sa législation en matière de protection des données. Cette situation crée de l’incertitude, et c’est un poison pour l’économie. Je crains aussi que mes homologues européens ne me regardent d’un autre œil, tant que je n’aurai pas les mêmes instruments qu’eux. On peut vivre avec un décalage de quelques mois entre la modernisation de la loi suisse et européenne, mais après, je vois des risques. Que se passera-t-il s’il y a un incident touchant les services online de La Poste, des CFF ou de Swisscom, et que des clients européens sont affectés?

Parlons maintenant des géants américains de la technologie, tels Facebook, Google ou Microsoft. Quels pouvoirs avez-vous ou aurez-vous sur eux?

Je dispose de moyens qu’il ne faut pas sous-estimer. La Suisse a par exemple négocié un accord (appelé Privacy Shield) avec les Etats-Unis, sur le modèle européen, pour encadrer et réglementer le transfert de données helvétiques vers les grandes entreprises qui se sont soumises à cet instrument aux Etats-Unis. Mon autorité a aussi trouvé un accord avec Microsoft concernant l’utilisation de données au sein de Windows 10. L’entreprise américaine a ensuite adapté sa procédure d’enregistrement en ligne à nos recommandations sur le plan mondial. Nous avons en plus travaillé sur ce cas en collaboration avec notre homologue français, qui s’est intéressé aux utilisateurs commerciaux de Windows 10, alors que nous nous sommes occupés des utilisateurs privés.

Mais les nouvelles lois, européennes et suisses, changeront-elles quelque chose face aux géants américains de la technologie?

Dans le cas de Windows 10, Microsoft aurait pu être tenté de contester la compétence des autorités de surveillance ici en Europe. L’entreprise américaine ne l’a pas fait, elle nous a écoutés et même suivis. Pour ce type d’entreprise, la réputation est essentielle. Et mes muscles, c’est l’opinion publique, ce sont les médias. Il faut savoir jouer avec ses muscles sans les montrer trop tôt. Mais ce sont des atouts.

Cela vaut aussi pour les réseaux sociaux?

Pas forcément car ils savent que de toute façon, les utilisateurs en sont en quelque sorte des otages… Par exemple, j’utilise WhatsApp, notamment pour communiquer avec ma fille de 23 ans qui est actuellement en Australie. Cela permet de se téléphoner sans frais, ce qui est fantastique. Mais derrière cela, le partage de données d’adresse de tiers sans leur consentement me met mal à l’aise.

Profil

1959: Naissance à Berne.

1992: Obtention d’un doctorat en droit à l’Université de Bâle.

1992: Débuts à l’Office fédéral de la justice dans le domaine du droit privé international.

1995: Débuts à l’Office fédéral de la police (fedpol), où il devient ensuite directeur suppléant.

2015: Nommé par le Conseil fédéral à son poste actuel. Il entre en fonction en 2016.

Le questionnaire de Proust

Quel est votre fond d’écran?

Les nénuphars de mon jardin.

Si vous deviez changer quelque chose à votre biographie?

Les moments où j’ai manqué de courage.

Quoi pour incarner l’intelligence?

Ne pas prendre les choses personnellement.

La plus vieille chose que vous possédez?

Les pierres de mon jardin.

Votre plus mauvaise habitude?

Camper sur mes positions.

Le dernier livre que vous avez lu?

La Peur en Occident (XIVe-XVIIIe siècles). Une cité assiégée, de Jean Delumeau.

Dans votre sac/serviette, il y a toujours?…

Un nouveau couteau de poche, car l’ancien m’a été confisqué à l’aéroport.

Une des raisons qui vous fait aimer la Suisse?

J’y sens encore la liberté et le désir de la défendre.

L’application la plus précieuse de votre iPhone?

C’est une application que les préposés à la protection des données ne devraient pas avoir.

Combien d’amis avez-vous sur Facebook?

Aucune idée, mais Facebook les connaît tous et toutes.

Votre pire cauchemar?

L’isolation, le vide, l’absence d’amour.