Le préposé à la protection des données débordé
Au-delà des dossiers chauds comme Swisscom, TikTok, la libra ou encore l’application SwissCovid, Adrian Lobsiger, préposé fédéral à la protection des données et à la transparence, doit gérer une hausse de plus de 40% des demandes de transparence adressées à la Confédération. Or il doit exercer son activité de surveillance «en s’appuyant sur une loi qui aura bientôt 30 ans, des compétences limitées et des effectifs modestes». Il tire la sonnette d’alarme.
Submergé de demandes, Adrian Lobsiger, le préposé fédéral à la protection des données et à la transparence, tire la sonnette d’alarme. Il demande davantage de moyens et une révision rapide de la loi actuelle
Adrian Lobsiger appelle au secours. Le fonctionnaire fédéral ne le formule pas directement ainsi. Mais mettre en relation d’un côté sa mission et de l’autre les moyens à sa disposition montre que l’homme demande davantage de ressources. Mardi, à l’occasion de la publication de son rapport annuel, le préposé fédéral à la protection des données et à la transparence (PFPDT) a averti: la protection de la transparence et de la sphère privée reste à un niveau critique.
Dans son rapport de 100 pages, Adrian Lobsiger détaille l’ampleur de sa mission. Elle est pour le moins variée: une demande d’explications à Swisscom qui a envoyé des e-mails à de mauvais destinataires, des éclaircissements exigés de l’application chinoise TikTok sur les données récoltées, une tentative de prise de contact avec la société américaine Clearview AI – spécialisée dans la reconnaissance faciale –, des discussions avec la compagnie Swiss pour la mise en oeuvre de mesures pour éviter que des données ne soient utilisées de manière abusive…
Libra et SwissCovid
S’y ajoute depuis l’année passée la libra, la monnaie virtuelle de Facebook, qui est en partie élaborée depuis Genève. «Nous attendons une analyse d’impact des risques et qu’un conseiller à la protection des données en entreprise soit nommé, détaille Adrian Lobsiger. Nous sommes aussi en contact avec la Finma [l’autorité de surveillances des marchés financiers] et nos homologues étrangers.»
Depuis quelques semaines, c’est l’application SwissCovid qui occupe le PFPDT. Car même si l’app a été lancée, le travail ne fait que commencer: «Il convient maintenant de s’assurer que les exigences requises sont également respectées pendant le déploiement du système. J’interviendrai si nécessaire, par exemple si des entreprises devaient compromettre le caractère volontaire du système. […] Nous suivons également attentivement la question importante de savoir si le système de traçage de proximité parvient à démontrer son efficacité dans la pratique.»
Commencera aussi à se poser la question de la reconnaissance faciale: «Cette pression existe car le techniquement possible est en tension avec le socialement souhaitable. Mon service veillera à ce que les désirs des forces de police soient pris en compte uniquement dans un processus législatif parlementaire», assure Adrian Lobsiger.
«Je maintiens une autorité modestement équipée en comparaison internationale» ADRIAN LOBSIGER, PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE
En parallèle, le PFPDT doit gérer une hausse de plus de 40% des demandes de transparence adressées à la Confédération. Or il doit exercer son activité de surveillance «en s’appuyant sur une loi qui aura bientôt 30 ans, des compétences limitées et des effectifs modestes». Aussi, Adrian Lobsiger avertit: il doit consacrer une grande partie de ses ressources à l’accompagnement des grands projets numériques (comme le vote électronique) et cela «ne laisse que peu d’espace à la surveillance courante de l’économie suisse, de l’administration fédérale et des entreprises liées à la Confédération».
Adrian Lobsiger dispose de 27 postes à temps plein dans son équipe. Or comme il le rappelle, «les ressources sont déterminées par le Conseil fédéral. Je maintiens ainsi une autorité modestement équipée en comparaison internationale.» L’homme espère désormais que le parlement fera avancer le projet de nouvelle loi sur la protection des données lors de la session d’automne 2020 et que la loi et son ordonnance pourront entrer en vigueur au plus tard au début de 2022.
Craintes pour les PME
Qu’apportera la loi ainsi révisée? Actuellement, «d’une part, le préposé n’a pas de pouvoir de décision. D’autre part, aujourd’hui, c’est le Conseil fédéral qui définit le budget du PFPDT. Et la loi actuelle manque d’instruments modernes, tels que l’évaluation de l’impact des risques, sans lesquels les projets numériques ne peuvent être contrôlés.»
Mais donner davantage de pouvoir au préposé n’est pas du goût de tous. «Les milieux d’affaires craignent que la nouvelle loi n’impose aux PME un travail administratif considérable. En ce qui concerne la question encore ouverte du profilage, le Conseil national tente même de réduire le niveau de protection actuel. Par contre, le Conseil des Etats veut maintenir le niveau de protection actuel», relève Adrian Lobsiger.