La protection des données n’est pas un frein à l’innovation

Le 21 décembre 2016, le Conseil fédéral a mis en consultation un avant-projet de révision totale de la loi fédérale sur la protection des données. La procédure de consultation s’achèvera le 4 avril. Cette loi est antérieure à l’Internet, aux téléphones et autres objets intelligents, ainsi qu’à l’apparition des mégadonnées et de l’intelligence artificielle. Une révision est nécessaire à plus d’un titre. Elle doit répondre aux défis du numérique. Elle doit également permettre de nous adapter au cadre juridique européen et notamment de ratifier la Convention révisée du Conseil de l’Europe sur la protection des données. Il s’agit aussi de préserver la reconnaissance d’un niveau de protection des données adéquat indispensable à nos entreprises actives sur le marché européen. Tout en renforçant le contrôle des personnes sur leurs données, elle doit permettre à la Suisse de rester compétitive, notamment dans le domaine de l’économie numérique et des technologies.

La protection des données ne doit en effet pas être comprise comme un frein à l’innovation, mais comme un atout majeur d’une société libérale soucieuse de garantir nos droits et nos libertés fondamentales. Dès lors, notre législation ne doit pas être en deçà du droit européen, mais assurer une protection de même niveau. L’adoption d’une loi eurocompatible offrira une plus grande sécurité juridique à l’avantage des individus, des responsables de traitement et de l’économie suisse. C’est à ce prix notamment que nous pouvons ambitionner de jouer un rôle moteur en matière d’e-commerce ou d’hébergement de données. L’avant-projet du Conseil fédéral va dans la bonne voie et il est à saluer. Espérons qu’il ne ressortira pas affaibli de la consultation, ce qui n’est hélas pas gagné, vu certaines réactions!

Les big data sont amnésiques

Parmi les changements proposés, relevons un renforcement de la transparence des traitements et des droits des personnes concernées. Celles-ci devront à l’avenir être informées de toute collecte de données. Elles devront être informées et pourront faire valoir leur point de vue lorsqu’une décision ayant des effets juridiques ou les affectant de manière significative est prise exclusivement de manière automatisée. Elles pourront obtenir des informations sur la manière dont la décision a été obtenue et sur ses conséquences. Ces droits sont importants à l’heure où de plus en plus les décisions sont prises sans intervention humaine sur la base d’algorithmes intelligents exploitant des mégadonnées et profilant les individus.

Pour garantir ces droits, les concepteurs et utilisateurs de ces algorithmes doivent comprendre ce que font les systèmes qu’ils déploient, comment et pourquoi leurs analyses débouchent sur tel résultat, pour pouvoir expliquer à une personne sur quelle base et pour quelle raison, elle se voit par exemple refuser un crédit alors qu’elle est parfaitement solvable. Comme le relève A. Rouvroy, «décider en fonction des données, c’est prétendre décider objectivement, en fonction des faits, ce qui n’équivaudra jamais à gouverner en fonction de la justice qui, elle, demande que l’on prenne en compte les conditions des faits, et lorsque ces conditions sont injustes, qu’on les change. Les big data, parce qu’ils sont le plus souvent anonymisés, désindexés, décontextualisés, sont absolument amnésiques des conditions de leur production.»

L’avant-projet introduit de nouvelles obligations des responsables de traitement et notamment l’obligation d’annoncer les violations de données, l’exigence de procéder à une analyse d’impact, l’obligation de concevoir les traitements de manière conforme à la protection des données et de respecter la protection des données par défaut. Il prévoit un renforcement des pouvoirs du préposé fédéral. A l’avenir, il aura un pouvoir de décision. Afin d’encourager l’autorégulation, il élaborera de manière concertée ou approuvera des codes de bonnes pratiques; il pourra élaborer ou reconnaître des garanties standardisées ou des règles contraignantes d’entreprises dans le cadre des flux transfrontières de données. Enfin les sanctions en cas de violations ou de manquements devraient être renforcées, mais bien en deçà des standards européens.

Besoin d’accord avec l’UE

Des propositions importantes pour renforcer les droits des personnes et leur permettre un meilleur contrôle sur leurs données n’ont pas été retenues. Nous pensons notamment au droit à la portabilité et au déréférencement. Il serait également souhaitable d’institutionnaliser les conseillers à la protection des données dans les entreprises d’une certaine importance ou effectuant des traitements à risque. Cette fonction participe d’une mise en œuvre effective de la protection des données en entreprise ou dans les administrations.

La LPD devrait pouvoir aussi s’appliquer à des entreprises n’ayant pas de siège en Suisse mais procédant à des traitements ayant des effets en Suisse. Celles-ci devraient avoir un répondant en Suisse. Enfin, pour faire face aux incertitudes liées à l’application du règlement européen en Suisse, un accord de coopération devrait être conclu avec l’UE comme le demande une motion du groupe radical. La loi sur la protection des données a pour objectif de garantir le respect des droits et des libertés fondamentales. Face au tout numérisé et interconnecté, les individus ne seront vraisemblablement jamais en mesure d’avoir une totale transparence sur les traitements de données les concernant. Ils doivent pouvoir s’appuyer sur le préposé fédéral, autorité indépendante. Pour exercer ses tâches de manière crédible et effective, celui-ci doit ainsi disposer de moyens supplémentaires conséquents, sans quoi «le tigre ne commencera pas à rugir».