Les big data sont amnésiques
Parmi les changements proposés, relevons un renforcement de la transparence des traitements et des droits des personnes concernées. Celles-ci devront à l’avenir être informées de toute collecte de données. Elles devront être informées et pourront faire valoir leur point de vue lorsqu’une décision ayant des effets juridiques ou les affectant de manière significative est prise exclusivement de manière automatisée. Elles pourront obtenir des informations sur la manière dont la décision a été obtenue et sur ses conséquences. Ces droits sont importants à l’heure où de plus en plus les décisions sont prises sans intervention humaine sur la base d’algorithmes intelligents exploitant des mégadonnées et profilant les individus.
Pour garantir ces droits, les concepteurs et utilisateurs de ces algorithmes doivent comprendre ce que font les systèmes qu’ils déploient, comment et pourquoi leurs analyses débouchent sur tel résultat, pour pouvoir expliquer à une personne sur quelle base et pour quelle raison, elle se voit par exemple refuser un crédit alors qu’elle est parfaitement solvable. Comme le relève A. Rouvroy, «décider en fonction des données, c’est prétendre décider objectivement, en fonction des faits, ce qui n’équivaudra jamais à gouverner en fonction de la justice qui, elle, demande que l’on prenne en compte les conditions des faits, et lorsque ces conditions sont injustes, qu’on les change. Les big data, parce qu’ils sont le plus souvent anonymisés, désindexés, décontextualisés, sont absolument amnésiques des conditions de leur production.»
L’avant-projet introduit de nouvelles obligations des responsables de traitement et notamment l’obligation d’annoncer les violations de données, l’exigence de procéder à une analyse d’impact, l’obligation de concevoir les traitements de manière conforme à la protection des données et de respecter la protection des données par défaut. Il prévoit un renforcement des pouvoirs du préposé fédéral. A l’avenir, il aura un pouvoir de décision. Afin d’encourager l’autorégulation, il élaborera de manière concertée ou approuvera des codes de bonnes pratiques; il pourra élaborer ou reconnaître des garanties standardisées ou des règles contraignantes d’entreprises dans le cadre des flux transfrontières de données. Enfin les sanctions en cas de violations ou de manquements devraient être renforcées, mais bien en deçà des standards européens.
Besoin d’accord avec l’UE
Des propositions importantes pour renforcer les droits des personnes et leur permettre un meilleur contrôle sur leurs données n’ont pas été retenues. Nous pensons notamment au droit à la portabilité et au déréférencement. Il serait également souhaitable d’institutionnaliser les conseillers à la protection des données dans les entreprises d’une certaine importance ou effectuant des traitements à risque. Cette fonction participe d’une mise en œuvre effective de la protection des données en entreprise ou dans les administrations.
La LPD devrait pouvoir aussi s’appliquer à des entreprises n’ayant pas de siège en Suisse mais procédant à des traitements ayant des effets en Suisse. Celles-ci devraient avoir un répondant en Suisse. Enfin, pour faire face aux incertitudes liées à l’application du règlement européen en Suisse, un accord de coopération devrait être conclu avec l’UE comme le demande une motion du groupe radical. La loi sur la protection des données a pour objectif de garantir le respect des droits et des libertés fondamentales. Face au tout numérisé et interconnecté, les individus ne seront vraisemblablement jamais en mesure d’avoir une totale transparence sur les traitements de données les concernant. Ils doivent pouvoir s’appuyer sur le préposé fédéral, autorité indépendante. Pour exercer ses tâches de manière crédible et effective, celui-ci doit ainsi disposer de moyens supplémentaires conséquents, sans quoi «le tigre ne commencera pas à rugir».