«Je veux renforcer notre activité de surveillance»
Le préposé fédéral à la protection des données, Adrian Lobsiger, s’exprime six mois après l’entrée en vigueur du nouveau droit. Il ne cache pas certaines tensions
C’est une autorité de surveillance qui jouit de nouvelles compétences depuis le mois de septembre 2023. Au cours des six mois après l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données, aucune annonce fracassante n’a pourtant eu lieu. Le calme avant la tempête? Le Temps s’est entretenu avec le préposé fédéral à la protection des données Adrian Lobsiger dans ses bureaux bernois, situés dans le même bâtiment que la Chancellerie fédérale, pour faire le point.
La législation est entrée en vigueur il y a six mois, et rien ne semble avoir changé. Ce n’est qu’une impression? Nous nous sommes principalement concentrés sur l’un des principaux instruments introduits par la nouvelle loi: l’analyse d’impact. Les entreprises et l’administration fédérale sont désormais tenues d’examiner les risques inhérents aux traitements des données qui peuvent représenter une atteinte élevée aux droits des personnes. Pour nous, ces analyses doivent avant tout identifier les risques que représentent ces traitements de données pour les libertés fondamentales. Je dois vous avouer que ce n’est pas facile de le faire comprendre aux entités publiques, pour qui ces examens consistent essentiellement à lister des aspects techniques par rapport aux risques de vols et de cyberattaques. Nous voulons aussi que soient listés les effets qu’un nouveau traitement de données a sur la vie privée et l’autodétermination des citoyens concernés. Ces risques doivent figurer au premier plan pour les autorités politiques qui sont chargées d’adopter les bases juridiques en lien avec l’exploitation ordinaire d’un système de traitement. Ce n’est donc qu’en second lieu que nous nous intéressons aux analyses techniques visant à empêcher et à prévenir les cyberattaques.
Et vous réussissez vraiment à faire bouger les lignes au sein de l’administration fédérale? Les discussions sont dures. Mais oui, notre travail produit des résultats. Prenez le dossier de l’informatique en nuage [cloud, ndlr]: nous avons réussi à faire en sorte que le projet de l’Office fédéral de l’informatique mentionne les risques à court, moyen et long terme s’agissant de la dépendance à l’égard de Microsoft. Nous avons aussi exigé que le projet intègre des stratégies de retrait, en identifiant des alternatives. Par ailleurs, nous devons aussi freiner les ardeurs des informaticiens, qui jouent un rôle crucial dans les premières phases de développement des projets de numérisation de l’administration. La centralisation et la fusion des données – traitées par différentes unités administratives en vertu de différents mandats légaux – leur semblent souvent la solution la plus pertinente d’un point de vue technique, et nous devons leur expliquer qu’il faut d’abord tenir compte d’autres critères plus fondamentaux, comme le respect des compétences légales et de la séparation des pouvoirs. La technique nous offre la possibilité de connecter et fusionner toutes les bases de données, mais ça signifierait que l’Etat de droit libéral et son service public, composé d’offices spécialisés, seraient remplacés par un Etat monolithe omniscient, comme sous l’Ancien Régime.
Les entreprises sont aussi tenues de réaliser ces analyses d’impact. Là aussi, ça ne doit pas être facile de les amener à le faire en tenant compte de tous les risques... C’est aussi un enjeu. Notre nouveau responsable de la division Protection des données, Florian Harms, a travaillé onze ans au sein d’une entreprise américaine de technologie, qui emploie plus de 30 000 personnes dans le monde. C’était important pour moi d’intégrer un profil issu du secteur privé, car je viens moi-même de Fedpol, mon expérience est donc principalement celle de l’administration publique. Je suis d’ailleurs très heureux d’avoir pu l’engager, car ce n’est pas facile pour une autorité comme la nôtre d’attirer des talents. Le marché du travail est très concurrentiel, et les salaires du privé sont attractifs…
Manquez-vous de moyens financiers? Avec la nouvelle loi sur la protection des données, ce n’est plus le Conseil fédéral mais la Commission des finances qui fixe notre budget. C’est sûr que nous n’avons pas des ressources très élevées, mais il ne faudrait pas non plus imaginer qu’avec plus de collaborateurs les enquêtes iraient deux fois plus vite. Ce sont les exigences formelles des procédures, tel le droit d’être entendu, qui dictent les publications. Avec plus de ressources, nous pourrions réaliser plus d’enquêtes en même temps, mais elles seraient toujours tributaires du code de procédure administrative. Certaines entreprises en jouent d’ailleurs…
De quelle manière? Leurs conditions générales et leurs déclarations des données sont mises à jour régulièrement. Or, en tant qu’autorité de surveillance, nous devons établir les faits de manière formelle. C’est difficile lorsque ces documents changent plusieurs fois pendant une procédure en cours. Cela ralentit grandement notre travail. Certaines grandes entreprises en ont conscience et ont adopté cette stratégie.
Et en parlant d’enquêtes, allez-vous en publier prochainement? Oui, nous allons en publier plusieurs avant la présentation de notre rapport de gestion pour l’année 2023-2024 fin juin. Elles porteront sur le commerce en ligne. Nous allons rendre des décisions concernant la nécessité d’ouvrir un compte pour effectuer des achats et la façon dont les conditions générales sont rédigées. Certaines entreprises mentionnent dans ces documents des traitements de données qui n’ont pas lieu, de manière à se protéger en cas de problème. La pratique doit évoluer.
Peut-on s’attendre à des sanctions dans le futur? Nous n’avons pas la possibilité d’infliger des sanctions. Après de longues discussions dans les commissions parlementaires, le législateur n’a pas souhaité nous doter de cette compétence. En l’occurrence, la loi fédérale sur la protection des données de 2020 ne contenait pas de dispositions permettant d’infliger des amendes administratives. L’une des raisons de cette réticence était à l’époque la question ouverte de savoir si une nouvelle loi fédérale sur les sanctions administratives devait être créée. En 2022, le Conseil fédéral a présenté un rapport qui répondait par la négative et a ainsi renvoyé la balle au parlement. Mais c’était trop tard pour que cela soit introduit dans la nouvelle loi sur la protection des données. Je constate néanmoins que le législateur développe des mécanismes pour sanctionner les abus. Dans la future loi sur l’identité électronique, les entreprises privées qui ne respecteront pas les règles en matière de minimisation des données pourront être exclues du registre de confiance. Nous verrons si le Conseil des Etats conserve cette disposition introduite par le Conseil national. Mais de toute façon, tôt ou tard, la question des sanctions reviendra sur la table, pour une prochaine révision.
N’est-ce pas un constat d’échec de la loi actuelle que d’anticiper déjà de prochaines révisions six mois après son entrée en vigueur? C’est en tout cas prématuré de les envisager. Mais ces chantiers seront nécessaires. Nous devrons aussi évaluer le fait de compléter la loi concernant l’utilisation secondaire des données. Il s’agit en général d’informations anonymisées qui servent dans la recherche. Avec le temps, nous pourrons aussi identifier d’autres aspects de la loi qui pourront être renforcés si besoin.
Au-delà de la loi, ne serait-il pas plus judicieux que le préposé fédéral à la protection des données devienne une véritable autorité de protection des droits fondamentaux? La notion de protection des données ne renvoie pas du tout à cette dimension, et cela crée de la confusion... Je suis entièrement d’accord. Nous nous voyons d’ailleurs déjà comme une autorité de protection des libertés individuelles. Ce ne sont pas les données que nous protégeons. Ce que nous voulons, c’est nous assurer que les personnes dont les données sont traitées soient protégées. J’observe avec intérêt l’introduction à Genève d’un droit à l’intégrité numérique dans la Constitution cantonale. J’ai participé aux discussions qui ont été menées à ce sujet à Berne, dans le cadre de la motion du conseiller national Samuel Bendahan (PS/VD) qui demandait à l’introduire dans la Constitution fédérale. Le projet a été balayé par le parlement, et le sujet ne reviendra pas sur la table de sitôt. Un nouveau droit fondamental permettrait pourtant de mettre fin au malentendu qui pousse les entreprises et les autorités à n’envisager la protection des données que du point de vue des violations et des abus.
L’autre grand dossier, c’est l’intelligence artificielle… Oui, je suis régulièrement informé sur les travaux menés par le groupe de travail de la Confédération, qui doit se positionner sur l’opportunité d’adopter une loi-cadre. J’ai choisi de ne pas participer. En étant impliqué, il est plus difficile d’être critique à l’égard du résultat. Je prends toutefois position à chaque étape intermédiaire. L’intelligence artificielle représente un risque supplémentaire d’atteinte à l’égard des libertés individuelles.
La Suisse a aussi fait la démonstration d’un amateurisme incroyable dans la gestion de ses prestataires informatiques, dont certains ont été victimes de cyberattaques majeures… Oui. Nous avons ouvert quatre procédures à l’égard de la Confédération et de ces prestataires, dont le plus important est Xplain. C’est une catastrophe. Mais je dois aussi faire mon autocritique. La question des prestataires a été minimisée, et si j’avais su qu’ils étaient si peu surveillés, je serais intervenu plus tôt. Nous devons désormais tirer les leçons de ces expériences pour éviter qu’elles ne se reproduisent. C’est important d’identifier tous les prestataires. Les projets numériques de la Confédération comme celui de l’identité électronique sont souvent présentés comme étant étatiques, mais ce n’est pas tout à fait exact: les portefeuilles qui contiendront l’e-ID seront installés sur des smartphones sur lesquels l’Etat n’a aucun contrôle. En matière d’informatique, les dépendances à l’égard de tiers privés sont nombreuses, et elles doivent toujours être prises en compte dans les analyses de risques.
«Je tiens à ce que les responsables politiques prennent leurs décisions en connaissance de cause»
Vous avez été réélu pour un troisième et dernier mandat. Quelles sont vos ambitions? Je veux renforcer notre activité de surveillance, notamment en lançant nos propres enquêtes. Grâce aux postes supplémentaires accordés pour l’application de la nouvelle loi, nous pouvons désormais agir de notre propre chef. Par ailleurs, je veux vraiment que l’administration fédérale, y compris dans ses relations avec les cantons, mène systématiquement des analyses concernant les risques systémiques à l’égard des libertés individuelles. Je tiens à ce que les responsables politiques prennent leurs décisions en connaissance de cause.
■