«Nous avons perdu le contrôle»
Vendredi, l’Université de Lausanne organisait une conférence sur la protection des données. L’occasion de montrer la difficulté de protéger les consommateurs, mais aussi les citoyens, des dérives liées notamment à de la surveillance de masse
La phrase est choc. Elle n’émane pas d’un activiste. Mais d’un haut responsable de l’administration publique. «Nous avons perdu le contrôle de nos données», a lâché hier après-midi Florian Harms. L’homme travaille pour le préposé fédéral à la protection des données et à la transparence, pour lequel il dirige une équipe spécialisée dans les données. Le responsable était l’un des intervenants à une conférence publique sur le thème «Protection des données et vulnérabilité», organisée par la Faculté de droit, des sciences criminelles et d’administration publique de l’Université de Lausanne.
Pour Florian Harms, les soucis concernant nos données personnelles sont nombreux. «Pour espérer pouvoir contrôler nos données, nous devrions savoir précisément qui les traite. La seule source d’information, ce sont les déclarations des entreprises. Mais elles sont souvent incompréhensibles, incorrectes, trop vagues ou trop vastes, décrivant des traitements de données qui ne sont pas réalisés.»
Le problème des «data brokers»
Et même si, par impossible, le consommateur devait être correctement informé, «il se perd dans le transfert des données, aspiré par des data brokers (courtiers) qui les exploitent et les revendent, très loin du traitement initialement prévu. Tous ces intermédiaires ont face à eux «des consommateurs au comportement paradoxal: la majorité dit accorder une grande importance à la protection des données, mais leur comportement montre le contraire. Il y a bien sûr des limites. Une étude a montré que si nous devions lire toutes les conditions générales et déclarations sur les données, cela nous prendrait quarante-deux ans en moyenne», poursuit Florian Harms.
Pour le spécialiste, il y a «d’un côté un traitement opaque et incontournable de nos données, et de l’autre une capitulation des gens qui renoncent à défendre leurs droits». Rappelons qu’une récente enquête de Heidi.news (propriété du Temps) avait mis en évidence, fin 2023, la récolte importante de données de la part de plusieurs entreprises helvétiques.
Si le citoyen et le consommateur ont des ressources limitées pour se battre, qu’en est-il du préposé à la protection des données et à la transparence? «Nous devons répondre à de nombreuses demandes, mais nos ressources sont limitées. J’ai ainsi 17 juristes dans mon équipe, dont certains sont à temps partiel. Et la nouvelle loi sur la protection des données, entrée en vigueur le 1er septembre 2023, a suscité de nombreuses interrogations.» Ainsi, le nombre d’appels aboutissant chez les services du préposé est passé de 64 durant le mois de juillet à 190 en septembre.
Des choix en permanence
Le responsable précise que ses services sont aussi consultés par l’administration publique pour de nouveaux projets, ainsi que par des entreprises. «Croyez-moi, nos services travaillent très dur. Mais nous devons en permanence fixer nos priorités en fonction de nos ressources. Nous ne voulons pas ouvrir d’enquête après chaque dénonciation, nous nous focalisons sur les atteintes graves ou les cas impliquant l’intérêt général. Nous faisons un tri, c’est essentiel. Et nous ne sommes pas dans une logique répressive. De toute façon, le dispositif pénal prévu par la loi est quasiment nul.»
De son côté, Jean Busché, responsable économie et nouvelles technologies de l’information et de la communication auprès de la Fédération romande des consommateurs (FRC), a rappelé les conclusions de l’enquête publiée le 30 août 2023. Intitulée «1000 traceurs en 20 minutes: une société sous surveillance», elle avait mis en évidence la récolte importante de données, de manière souvent opaque, par certaines applications. «Google et Meta [maison mère de Facebook, Instagram et WhatsApp, ndlr] sont au coeur de ce dispositif. Il y a énormément d’acteurs tiers, les data brokers, dont certains ont été épinglés par les autorités pour des agissements frauduleux.»
Comme l’a mis en évidence Jean Busché, «on ne sait pas quel acteur détient quelles informations, où ces dernières sont stockées, avec quelles autres entreprises elles sont partagées ni les points de collectes concernés. Ainsi l’utilisateur est privé de tout contrôle sur ses données.» Le responsable de la FRC estime que ceux «qui intègrent des traceurs de tiers dans leurs applications considèrent que les données ainsi collectées sont désormais de la responsabilité de leurs partenaires». La FRC a aussi noté que «les entreprises ont trop souvent traité les demandes liées à la loi sur la protection des données reçues par les enquêteurs de la FRC de manière dilettante ou sans considération pour le droit en vigueur. A ce niveau, la loi doit être appliquée avec diligence et sérieux.»
«Certains Etats ont utilisé les données des citoyens contre eux» SOFIA RANCHORDAS, PROFESSEURE À LA FACULTÉ DE DROIT DE L’UNIVERSITÉ DE TILBOURG
«Les gens capitulent et renoncent à défendre leurs droits» FLORIAN HARMS, DU BUREAU DU PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES
L’Etat devenu ennemi
«On ne sait pas quel acteur détient quelles informations» JEAN BUSCHÉ, RESPONSABLE DE LA FÉDÉRATION ROMANDE DES CONSOMMATEURS
C’est aussi à l’administration publique d’être extrêmement prudente concernant les données des citoyens et les façons de les traiter. Sofia Ranchordas, professeure à la Faculté de droit de l’Université de Tilbourg (Pays-Bas) et de celle Luiss Guido Carli (Italie), a de son côté rappelé deux scandales impliquant le secteur public. Aux Pays-Bas, un algorithme discriminatoire avait conduit à la ruine des milliers de familles, en leur réclamant indûment des sommes importantes. En Australie, l’Etat avait également utilisé des algorithmes à très mauvais escient dans le secteur des assurances sociales. «Ces automatisations posent un véritable risque, affirme Sofia Ranchordas. L’Etat a très mal utilisé les données sur ses administrés, et les a même retournées contre eux pour leur causer du tort. Cela ne doit plus se reproduire.»
■