François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

La protection des données tyrannise la société. Vraiment ?

25/11/2024 15 Min. lecture Opinions François Charlet

Monsieur Nantermod,

Vous avez déposé un postulat1 24.4055 à l’Assemblée fédérale il y a quelques semaines dans lequel vous dénoncez la « tyrannie de la protection des données ». Le Conseil fédéral a répondu à votre postulat le 20 novembre 2024 et propose à juste titre de le rejeter. Cependant, vos propos soulèvent plusieurs questions importantes qui méritent d’être analysées en détail. Avant de répondre sur le fond de votre postulat, j’aimerais formuler quelques remarques préliminaires.

Tout d’abord, vous vous attaquez à une loi que vous avez vous-même acceptée en vote final au Parlement fédéral le 25 septembre 2020 et qui est entrée en vigueur trois ans plus tard. Si les effets de la loi vous dérangent, je saisis mal pourquoi vous n’avez pas fait partie de ceux qui l’ont refusée. Je peine aussi à comprendre l’absence d’intervention de votre part lors des débats au sujet de cette loi. Vous pouviez anticiper les effets potentiels que vous dénoncez avec vacuité aujourd’hui : il suffisait de regarder comment les choses se passaient chez nos voisins européens.

Ensuite, comme rien de ce qui est arrivé dans l’UE ne s’est réalisé en Suisse depuis l’entrée en vigueur de la nouvelle LPD en 2023, les allégations présentées dans votre postulat semblent avoir été formulées dans l’urgence, sans l’analyse approfondie qu’une telle proposition mérite. La faiblesse de vos propos, l’absence d’arguments et d’exemples pertinents témoignent de la hâte dans laquelle votre postulat — et votre article dans Blick — a été écrit. Vous m’aviez habitué à de meilleures interventions.

Enfin, le libéral que vous êtes semble passer complètement à côté d’un des buts de la protection des données : (re)donner la liberté, le choix aux individus de décider si et comment leurs données peuvent ou non être collectées, puis utilisées par des entreprises (voire l’État) pour fournir leurs produits et services. Évidemment, ces choix s’accompagnent de bannières de cookies intempestives et d’informations interminables à la fin desquelles vous cliquez nonchalamment sur « j’ai lu et j’accepte… ». La nouvelle LPD répond à une réalité : l’augmentation massive de la collecte de données personnelles par les acteurs publics et privés nécessitait un cadre légal adapté.

En tant que professionnel du domaine de la protection des données, je souhaite apporter un éclairage différent sur les critiques contenues dans votre postulat. Mon expertise dans ce domaine me permet d’avoir une vision pratique des enjeux de la protection des données. En effet, je soutiens que la LPD peut être appliquée de façon rigoureuse, mais pragmatique. Un ouvrage existe sur le sujet et je tiens gratuitement un exemplaire à votre disposition si vous me promettez d’en lire les douze premières pages.

Véritable business ?

Le postulat demande au Conseil fédéral une analyse juridique proposant

des mesures d’allègements efficaces concernant la législation sur la protection des données, cela afin d’assouplir les règles en la matière, d’empêcher une interprétation extensive de la législation et de limiter les interventions du PFPDT vis-à-vis des privés.

Il poursuit ainsi :

Avec le développement des technologies de l’information, la protection des données est devenue une préoccupation majeure, à tel point qu’un véritable business s’est créé autour de ce concept. On ne compte plus les consultants qui en ont fait le métier.

Je dois l’admettre, vous avez raison sur ce point : l’essor des technologies de l’information a transformé la protection des données en préoccupation majeure. Cette préoccupation n’est pas née du hasard : elle découle directement de la collecte massive et systématique de données personnelles par les entreprises et les États. Si les autorités américaines et européennes (et suisses) avaient réagi plus tôt, si les acteurs du marché des technologies n’avaient pas systématiquement collecté et exploité les données personnelles de manière intensive, peut-être n’aurions-nous pas eu autant besoin de la protection des données aujourd’hui.

Alors que la collecte de données personnelles par l’État, dont vous critiquez régulièrement l’intervention, est limitée par l’exigence d’une base légale, les entreprises actives en Suisse jouissent d’une liberté plutôt agréable que doivent leur envier nombre d’entreprises européennes. Sous la nouvelle comme sous l’ancienne LPD, les entreprises suisses peuvent collecter et traiter des données personnelles dans une relative insouciance, tant qu’elles ne portent pas illicitement atteinte aux droits de la personnalité des individus. Ce n’est que si l’atteinte devient illicite qu’un motif justificatif2 doit être invoqué pour lever l’illicéité. Alors qu’en Europe la règlementation interdit les traitements de données sous réserve d’une justification, la loi suisse autorise tout traitement de données personnelles et n’exige un motif justificatif que dans les cas où cela causerait une atteinte illicite aux droits de la personnalité. Le cadre légal suisse étant déjà très souple à cet égard, je peine donc ici à y voir une quelconque tyrannie.

Concernant le business qui s’est effectivement développé autour de la protection des données, il est intéressant de noter que ce développement économique correspond aux mécanismes de marché : une demande existe, et des entreprises ou personnes y répondent. Le business de la protection des données serait-il indigne à vos yeux ? Il est en tout cas alimenté par la mondialisation, les échanges internationaux, la complexité de nos sociétés, la culture (américaine) de la « compliance », le besoin de certitudes et l’aversion aux risques. Pour pouvoir continuer à commercer avec le reste du monde, et en particulier nos principaux partenaires, nous devons nous adapter et souvent nous plier à leurs exigences. Je vous le concède : certaines sont superflues, pénibles à mettre en œuvre et génèrent un travail administratif sans grande valeur ajoutée. En matière de données personnelles, le respect des principes ancrés notamment dans la Convention 108 modernisée est crucial si l’on veut que l’UE continue de reconnaitre que la Suisse dispose d’un niveau de protection équivalent au sien ; en effet, cette reconnaissance dispense nos PME de lourdeurs administratives, contractuelles, organisationnelles et techniques sans commune mesure avec la tyrannie que vous dénoncez aujourd’hui.

L’augmentation du nombre de consultants mérite d’être replacée dans son contexte : comme dans le domaine juridique, ces professionnels répondent à un besoin réel des entreprises qui cherchent à comprendre et appliquer correctement la législation. Les avocats — vos consœurs et confrères — sont d’ailleurs nombreux aujourd’hui à suivre des formations en (droit de la) protection des données pour répondre à la demande par l’offre. Je reconnais que certains consultants ont des pratiques commerciales discutables et créent la demande en brandissant régulièrement la menace des sanctions pénales pour inquiéter des entreprises et leur vendre des services et solutions dont le résultat sera au mieux inadapté.

Exigences élevées ?

Vous poursuivez :

Loin de faciliter le quotidien des citoyens et de protéger toujours leur intimité, les exigences élevées en matière de protection des données ont pour effet premier de compliquer inutilement les relations humaines, d’empêcher et de complexifier l’accès à des outils fort pratiques, de renchérir les coûts des entreprises et de créer une bureaucratie infernale.

Dans notre société ultraconnectée, de plus en plus de relations humaines se font par technologies interposées et l’écrasante majorité des usagers des transports publics a les yeux rivés sur un écran. L’argument selon lequel la protection des données complique les relations humaines ne correspond pas à la réalité observable. Les relations humaines sont déjà significativement impactées par d’autres facteurs liés aux technologies numériques, indépendamment de la protection des données.

L’accès à des « outils fort pratiques » n’a jamais été aussi aisé qu’aujourd’hui : en deux clics il est possible de s’inscrire à des services en ligne en utilisant votre compte Facebook (Meta), Apple ou Google. La protection des données empêche-t-elle cette pratique ? Nullement. C’est précisément parce qu’elle existe et qu’elle pose un cadre (connu ou non) que des utilisateurs sont moins réticents à adopter de nouveaux outils. La confiance que génère la protection des données est utile aux affaires B2B et B2C (j’en parle ci-dessous).

Certes, les coûts pour les entreprises augmentent, mais la protection des données ne représente qu’une fraction minime des charges courantes. Par exemple, les frais de licence de logiciels prennent l’ascenseur chaque année grâce au cloud et aux abonnements (Microsoft a augmenté ses prix de plus de 5 % en 2023 pour ses produits destinés aux entreprises en Suisse), et les entreprises sont victimes de lock in : il leur est excessivement compliqué et coûteux de migrer d’une solution informatique à une autre. La protection des données, comme la sécurité informatique, ne rapporte pas d’argent, mais elle permet d’éviter d’en perdre. Au-delà de la « conformité », elle pousse chaque entreprise à la réflexion sur ses propres opérations. Elle offre des avantages à long terme et renforce la confiance des clients et des partenaires. Une gestion mature des données personnelles permet d’augmenter non seulement la productivité, mais surtout l’efficacité ; elle favorise l’innovation et, selon certains, serait même utile à une plus grande agilité. Diverses études mentionnées en page 9 du livre susmentionné illustrent ces aspects.

Quant à la « bureaucratie infernale », je suppose que vous faites référence ici à la documentation que génère la protection des données. Elle est pourtant relativement faible. Excluons d’emblée le registre des traitements qui doit concerner environ 1 % des entreprises suisses. Que reste-t-il ? Quelques clauses à ajouter dans des contrats, une déclaration de protection des données visant à informer les individus (rappelez-vous, la transparence génère de la confiance, et cette dernière est bonne pour les affaires)… et c’est tout. Ajoutons encore, selon les cas, des documents techniques relatifs à la sécurité. En termes de bureaucratie, les entreprises passent sans doute beaucoup plus de temps à gérer leur fiscalité et leurs ressources humaines que la protection des données.

Individus infantilisés, autorités infantilisantes ?

Ensuite, vous affirmez

Si les autorités spécialement créées dans ce but se gargarisent des multiples directives qu’elles produisent pour protéger les citoyens contre eux-mêmes, les individus ont le sentiment légitime d’être infantilisés et de ne plus pouvoir profiter librement des aspects positifs des nouvelles technologies.

À nouveau, vous exagérez et déformez la réalité. L’autorité spécialement créée, le PFPDT, émet effectivement des recommandations, guides et autres lignes directrices à l’attention des entreprises pour les aiguiller. Reconnaissez que l’art. 6 al. 2 LPD indiquant que tout traitement « doit être conforme aux principes de la bonne foi et de la proportionnalité » n’est pas des plus clairs à comprendre, puis à mettre en pratique, et qu’une aide est bienvenue. Quant aux « directives » émises par le PFPDT pour « protéger les citoyens contre eux-mêmes », elles visent à guider plutôt qu’à contraindre. D’ailleurs, le PFPDT n’a pas de prérogatives pour émettre des directives visant à contraindre les citoyens à adopter un certain comportement ou à en interdire d’autres. Vis-à-vis de l’ensemble des citoyens, le PFPDT a pour seule et unique tâche3 de « sensibiliser le public, en particulier les personnes vulnérables, à la protection des données personnelles ».

Quant aux citoyens qui ne peuvent plus « profiter librement des aspects positifs des nouvelles technologies », je ne crois pas vous avoir entendu critiquer le verrouillage du système d’exploitation des iPhone et iPad, l’obsolescence programmée, les écosystèmes fermés (Apple, de nouveau, mais aussi Meta avec WhatsApp, Facebook et Instagram), les restrictions à la réparation, les compatibilités limitées entre produits de différentes marques… Ces problématiques sont bien plus néfastes aux consommateurs et au reste de l’économie que les quelques conseils dispensés par des autorités. Par ailleurs, tous les citoyens ne sont pas des juristes ou techniciens maitrisant les technologies et comprenant leur fonctionnement. Si les développeurs et fournisseurs de ces technologies ne font pas d’effort pour les expliquer, il est appréciable qu’une autorité s’en charge si celle à laquelle vous appartenez ne veut pas imposer de mesures spécifiques dans ce domaine.

Enfin, vous illustrez vos propos :

À titre d’exemple, on citera les multiples interdictions d’utiliser des applications très pratiques comme WhatsApp, les exigences parfois absurdes faites aux entreprises sur la collecte de données qui n’ont rien de confidentiel ou les sempiternels cookies qui transforment toute navigation sur le web en un pensum. Récemment, Apple a annoncé renoncer à proposer certains de ses services, parmi lesquels les plus pratiques, aux consommateurs européens en raison de ces législations inutiles. En Suisse, le Préposé fédéral s’est même permis de considérer que la plateforme Digitec n’aurait pas le droit d’exiger la création d’un compte utilisateur pour passer commande, une intervention dans le marché privé complètement dénuée de lien avec la protection des données.

À ma connaissance, WhatsApp n’a pas été interdit en Suisse, si ce n’est par l’armée qui a préféré la messagerie suisse Threema, pour des raisons assez évidentes de souveraineté, de sécurité et de respect du cadre légal suisse. Cette position sur WhatsApp contraste avec l’absence de réaction concernant, par exemple, les restrictions envisagées pour TikTok aux États-Unis, qui répondent pourtant à des préoccupations similaires de sécurité et de protection des données (du moins, c’est la version officielle).

Votre deuxième exemple sur « la collecte de données qui n’ont rien de confidentiel » est tellement vague que le problème que vous pointez du doigt ne doit sûrement pas en être un. En effet, la principale condition (et non limite) à la collecte de données demande aux entreprises et à l’État fédéral qu’ils décident d’abord dans quel but ils veulent traiter des données et qu’ensuite ils ne collectent que les données nécessaires à ce but (art. 6 al. 2 et 3 LPD). En d’autres termes, que les données soient « confidentielles » ou non, on exige de réfléchir et de faire preuve de retenue. Cet effort ne semble pas démesuré.

En ce qui concerne les cookies, je suis à nouveau d’accord avec vous. Ils sont plus qu’ennuyants. Cependant, une solution technique toute simple permettrait de résoudre le problème : intégrer dans les navigateurs web un paramètre standard, reconnu par tous les systèmes de gestion des cookies, qui permettrait à l’utilisateur d’indiquer une fois pour toutes quels types de cookies il accepte ou non ; libre ensuite à l’utilisateur de modifier ses paramètres sur un site en particulier si ses préférences gênent la navigation. La solution existe déjà4, mais on rechigne à l’intégrer. Au lieu de vous en prendre aux conséquences d’une situation, attaquez-vous plutôt à ses causes et engagez-vous pour des solutions universelles et pérennes. Une telle initiative permettrait d’améliorer grandement l’expérience des internautes tout en respectant leurs choix en matière de vie privée.

Votre critique relative à Apple est liée à des législations protégeant et renforçant la concurrence dans l’économie numérique européenne5, elles n’ont rien ou peu à voir avec la protection des données.

Quant à Digitec, je me permettrai de citer la réponse du Conseil fédéral à votre postulat : les recommandations du PFPDT « visent à permettre aux clients d’avoir une liberté de choix pour tous les traitements effectués qui ne sont pas nécessaires à l’exécution du contrat de vente en ligne. Le PFPDT a explicitement laissé ouvertes plusieurs possibilités, dont celle d’offrir l’option d’acheter en tant qu’invité ».

Frein à l’innovation ?

Vous concluez :

Ces règles sont par ailleurs un frein évident à l’innovation, à une époque où l’Europe et la Suisse doivent veiller à ne pas perdre complètement pied sur plan économique. Enfin à une époque de réduction des dépenses, on peut se demander si des économies pertinentes ne sont pas possibles dans ce domaine.

Vous avez à nouveau raison. Il ne fait aucun doute que ces règles sont un frein à l’innovation débridée et irrespectueuse des personnes et de leurs droits. En revanche, elles favorisent une innovation responsable, et permettent d’offrir aux consommateurs des produits et services plus sûrs et plus attrayants. Le cas d’Apple démontre qu’une entreprise peut faire de la protection des données un avantage compétitif majeur et une source d’innovation, tout en maintenant une croissance significative. Microsoft s’engage sur la même voie. Les raisons pour lesquelles nous sommes incapables de nommer un géant suisse ou européen de la technologie ne viennent pas de la présence de lois6 ; elles sont à chercher du côté des difficultés des entreprises suisses et européennes à percer sur un marché européen fragmenté (juridiquement, économiquement, politiquement) et à lever des fonds. Ces entreprises doivent souvent se tourner vers le marché américain pour croitre, puis elles se font racheter par des acteurs américains.

D’ailleurs, si ces règles étaient un frein évident à l’innovation, le Congrès américain ne serait pas en train de discuter d’une législation fédérale sur la protection des données (American Data Privacy and Protection Act), reprenant notamment des principes du RGPD et créant des droits pour les individus. Historiquement, la Federal Trade Commission (FTC) a été le fer de lance de la protection des données des consommateurs américains, au moyen de nombreuses policies. Par ailleurs, dix-neuf états américains ont adopté des lois sur la protection des données, à ce jour.

Conclusion

Votre postulat ne s’appuie sur aucun élément factuel démontrant un impact négatif significatif de la LPD sur l’économie suisse. Les récentes statistiques du PFPDT indiquent d’ailleurs que la protection des données est loin d’être le souci principal des entreprises.

Ce que vous qualifiez de tyrannie est en réalité une opportunité stratégique pour la Suisse. Notre pays, avec son approche pragmatique de la protection des données, a trouvé un équilibre intéressant : moins restrictif que le RGPD, mais suffisamment protecteur pour garantir la confiance des consommateurs et de nos partenaires internationaux. Cette voie médiane, typiquement helvétique, pourrait inspirer d’autres nations cherchant à conjuguer innovation et respect des droits individuels.

Les vrais enjeux ne se trouvent pas dans l’allègement de notre législation, mais dans notre capacité à l’adapter aux révolutions technologiques en cours : intelligence artificielle, internet des objets, biométrie, etc. La Suisse a l’opportunité de démontrer qu’une protection des données intelligente n’est pas un frein, mais un catalyseur d’innovation responsable.

Plutôt que d’affaiblir notre cadre légal, concentrons nos efforts sur son application pragmatique et l’accompagnement des entreprises dans cette transition. Car la véritable tyrannie ne vient pas de la protection des données, mais de l’exploitation sans limite des données personnelles par ceux qui refusent toute régulation. La Suisse a choisi une voie différente : celle de l’équilibre, de l’innovation responsable et de l’intégrité numérique. C’est ce modèle qu’il nous faut désormais faire rayonner.

Les opinions exprimées dans ce texte sont celles de l’auteur et ne reflètent pas nécessairement celles d’autres personnes, notamment de ses employeurs ou mandants.

  1. Un postulat charge le Conseil fédéral d’examiner l’opportunité, soit de déposer un projet d’acte de l’Assemblée fédérale, soit de prendre une mesure et de présenter un rapport à ce sujet. Il peut être déposé par un député, par un groupe parlementaire ou par la majorité d’une commission. (Source↩︎

  2. La LPD en énumère trois : la loi, le consentement, l’intérêt privé ou public prépondérant. ↩︎

  3. Art. 58 al. 1 let. c LPD. ↩︎

  4. Par exemple : Advanced Data Protection Control (ADPC). ↩︎

  5. Il s’agit en l’occurrence du Digital Market Act (DMA). ↩︎

  6. Voir p. ex. Anu Bradford, Digital Empires: The Global Battle to Regulate Technology, 2023. ↩︎

Protection des données
© 2008 - 2024 François Charlet
This work is licensed under a Creative Commons Attribution 4.0 International License