Le Conseil fédéral envisage de renforcer la législation sur la protection des données

Le Conseil fédéral a récemment approuvé un rapport portant sur l’évaluation de la loi sur la protection des données (LPD) qui conclut “que la loi sur la protection des données protège efficacement la personnalité et les droits fondamentaux des individus”.

Les menaces qui pèsent sur la protection des données se sont amplifiées ces dernières années, principalement en raison des profonds changements techniques et sociétaux intervenus depuis l’entrée en vigueur de la loi [sur la protection des données, ndr], il y a près de vingt ans. Ces changements ont multiplié les possibilités de collecter, relier, transmettre et exploiter des données à caractère personnel. Il devient ainsi toujours plus difficile à chacun de garder le contrôle des traces qu’il laisse derrière lui, plus ou moins consciemment, dans les domaines les plus divers. Le Conseil fédéral entend examiner, sur la base des résultats de l’évaluation et des développements en cours dans l’UE et au sein du Conseil de l’Europe, l’opportunité et la manière de renforcer la législation dans le domaine de la protection des données.

Le Conseil fédéral a donc chargé le Département fédéral de justice et police (DFJP) d’examiner l’opportunité de renforcer la législation en matière de protection des données.

Selon le rapport (et pour rappel), la LPD régit le traitement de données concernant des personnes physiques et morales effectué par des particuliers ou des organes fédéraux. La LPD a été motivée par le fait que le recours aux technologies modernes d’information et de communication, dans presque tous les domaines de la vie courante, et l’intensification massive du traitement et de la diffusion des données dans la société, l’économie et l’administration étatique ont forte- ment accru les risques d’atteinte à la personnalité. Conformément à son article premier, la LPD vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données.

L’évaluation de la LPD visait à examiner son efficacité notamment face aux progrès techniques. L’Office fédéral de la justice (OFJ) a commencé par analyser la notoriété de la LPD, puis ils ont cherché à déterminer le rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT).

Premier constat de cette évaluation : les développements technologiques constituent un risque en termes de sécurité. C’est évident pour beaucoup, mais il n’est pas inutile de le rappeler. En effet, le volume de données (traitées et stockées) a massivement augmenté ces dernières années. Le rapport constate que

nous laissons quotidiennement des traces dans les domaines les plus divers de nos vies, et surtout sur Internet, alors que les entités traitant ces données tendent à s’internationaliser.

Evaluer l’impact d’un traitement de données devient de plus en plus difficile, la situation générale se complexifie et devient opaque, et il est inutile de préciser que le PFPDT peine de plus en plus à surveiller ces traitements de donnée.

Le rapport mentionne d’ailleurs que

le problème vient également de ce que les utilisateurs d’Internet sont parfois imprudents ou dépassés par la technologie. […] la grande majorité des gens souhaitent profiter des nouvelles possibilités qu’offrent les technologies de communication, mais accordent par ailleurs une grande importance à la protection de leurs données personnelles, même lorsqu’ils accèdent à de nouveaux environnements sur Internet qui se caractérisent par leur manque de transparence. S’ils ne prennent pas toujours toutes les précautions requises, cela peut être parce qu’ils se sentent dépassés, ou parce qu’ils sous-estiment les possibilités d’exploitation de leurs données et les risques qui en découlent. L’imprudence dont certains font preuve sur les sites sociaux, par exemple, pourrait aussi tenir au fait qu’ils perçoivent le risque d’une utilisation abusive de leurs données et ses conséquences comme relativement diffus et improbables par rapport aux bénéfices immédiats qu’ils retirent de telle ou telle offre sur la Toile.

Sans entrer dans les détails du rapport, on retiendra que “l’évaluation montre que la LPD permet d’une manière générale d’atteindre les objectifs visés”.

Si la LPD exerce un effet protecteur tangible, les menaces qui pèsent sur la protection des données se sont renforcées ces dernières années. Première raison à cela : l’évolution technologique et sociétale, qui s’est encore accélérée depuis l’entrée en vigueur de la loi il y a 20 ans. Ces changements ont multiplié les possibilités de collecter, de relier, de transmettre et d’exploiter des données à caractère personnel, aggravant d’autant les risques d’utilisation abusive. Il devient ainsi toujours plus difficile à chacun de garder le contrôle des traces qu’il laisse derrière lui, plus ou moins consciemment, dans les domaines les plus divers de la vie courante. Aux côtés de ces nouveaux risques pour la protection des données à caractère personnel, l’évolution technologique a toutefois aussi conduit à une augmentation massive de l’utilisation des technologies de l’information pour un usage quotidien, ne posant le plus souvent pas de problèmes particuliers.

Le Conseil fédéral est donc d’avis d’adapter la LPD à ces développements technologiques rapides car, dans certains domaines, elle ne suffit plus à assurer son rôle. Le rapport note essentiellement quatre changements, intervenus depuis l’adoption de la LPD en 1993 :

  1. Le volume des données traitées a fortement augmenté, ce qui accroît d’autant le potentiel d’abus.
  2. Aux traitements de données facilement identifiables s’en sont ajoutés d’autres, difficilement repérables tant par les personnes concernées que par le PFPDT ; le caractère opaque de ces traitements empêche les intéressés de prendre les précautions nécessaires et l’organe de contrôle de remplir sa mission.
  3. Avec la généralisation d’Internet entrent en scène de nombreux opérateurs privés agissant depuis l’étranger, ce qui leur permet de se soustraire aux interventions des intéressés comme du PFPDT.
  4. A l’ère d’Internet, il est souvent impossible de garder le contrôle de ses données une fois qu’elles ont été rendues publiques, ce qui met à mal le droit à l’oubli et le droit à la rectification des données.

Le Conseil fédéral met en avant plusieurs objectifs principaux qui devront être pris en compte dans la révision de la LPD :

  1. Assurer la protection des données plus en amont (c’est-à-dire dès la phase de conception des nouvelles technologies, pour éviter de se contenter de corriger les problèmes après coup).
  2. Sensibiliser davantage les personnes concernées.
  3. Améliorer la transparence (sans submerger les personnes concernées).
  4. Améliorer le contrôle et la maitrise des données (après leur divulgation).
  5. Protéger les mineurs.

Commentaire

La prise de conscience de la nécessité d’une révision de la LPD est plus que satisfaisante. Même si la LPD remplit encore bien sa fonction, une adaptation aux nouveaux défis serait bienvenue. En effet, le droit ne précède que rarement les moeurs, la société, la science, ou les technologies. Ces dernières ayant beaucoup évolués, il donc temps maintenant d’adapter notre droit et de renforcer la protection des données. Il faut toutefois rappeler que le PFPDT ne peut agir contre des sociétés (ou personnes physiques) sises à l’étranger, puisque la LPD ne s’applique pas à elles.

A titre personnel, je suis heureux que le rapport mentionne le fait que les utilisateurs d’Internet sont imprudents et dépassés par la technologie. C’est un élément que le législateur devra prendre en compte dans son processus de révision, de manière à protéger l’incrédulité des utilisateurs ; de plus, cela permettra peut-être de lancer des campagnes de sensibilisation, destinées tant aux parents qu’aux enfants. Il est toutefois regrettable que les utilisateurs d’Internet adoptent un comportement imprudent, dans le plus pur style “ça n’arrive qu’aux autres”.

Jusqu’au jour où…

Et là, malgré une révision de la loi, il sera probablement trop tard.