La Poste veut protéger nos données, mais pas toutes

C’est une entreprise qui est au cœur de nos échanges physiques depuis 1849, et qui aimerait aussi occuper ce rôle dans le monde numérique. La Poste ne cache pas ses grandes ambitions et a multiplié les rachats d’entreprises ces dernières années pour s’en donner les moyens. Du vote électronique à l’identité numérique, en passant par le dossier électronique du patient et les communications entre citoyens et autorités, l’incursion du géant jaune interpelle. Se transforme-t-il en ogre de données?

Pour répondre à cette question, je me suis plongé dans le dédale de ces développements effrénés. Et il y a beaucoup à dire.

A la recherche des pièces du puzzle

La Poste a pris le contrôle d’une dizaine d’entreprises actives dans le numérique ces dernières années. Rien qu’en 2022, elle a investi 61 millions de francs dans différentes prises de participation. Cette frénésie d’acquisitions lui a d’ailleurs valu une dénonciation de l’Union suisse des arts et métiers (USAM) auprès du Contrôle fédéral des finances fin 2022. L’organisation faîtière estime que le géant jaune étend ses activités au-delà du cadre de son mandat de prestation. Par ailleurs, le Conseil fédéral veut renforcer les règles pour maintenir une concurrence équitable entre le secteur public et les acteurs privés.

Dans un entretien au Temps en date de juin 2023, le président de l’ex-régie fédérale, Christian Levrat, affirmait à propos des rachats: «On assemble les pièces d’un puzzle pour devenir un vecteur d’informations fiables et sécurisées en Suisse, pour la Suisse». Pour atteindre cet objectif, la Poste a acquis des participations majoritaires dans des sociétés de cybersécurité (TerraActive, Hacknowledge), des éditeurs de logiciels (Groupe T2i, Unblu, Klara, Dialog Verwaltungs-Data), des prestataires de services de confiance (SwissSign, Tresorit, SpotMe) et Xsana, une entreprise qui exploite le dossier électronique du patient. Elle a aussi racheté le code source de la plateforme de vote électronique développée par l’entreprise espagnole Scytl en 2020.

Autant d’acquisitions qui ont du sens dans la stratégie présentée par le géant jaune, qui a inauguré un centre de développement informatique à Lisbonne en juin 2023 pour faire face à la pénurie de main-d’œuvre en Suisse. Mais si ces pièces semblent parfaitement s’emboîter dans le puzzle présenté par la Poste, ce n’est pas le cas de toutes. Elle a aussi repris Bring! Lab, une entreprise allemande qui commercialise une application de partage de listes de courses incluant des offres publicitaires personnalisées, et Livesystems, l’un des leaders suisses de la publicité numérique en extérieur.

Certaines de ces sociétés avaient d’abord fait l’objet d’une prise de participation minoritaire à travers le fonds de capital risque Swiss Post Ventures. «Certaines entreprises se développeront avec succès dans notre cœur de métier et nous envisagerons alors d’acquérir la totalité de leurs parts», précise le site web de la structure. Ce qui ressort donc, c’est que la Poste veut se positionner à la fois sur le segment de la confiance, et sur celui de la publicité. Mais ces deux ambitions sont-elles compatibles?

Le numérique, une opportunité économique stratégique

Le modèle d’affaires traditionnel de la Poste est sous pression. L’entreprise, entièrement détenue par la Confédération, est tenue d’assurer le service universel, dont les modalités sont fixées dans la loi sur la poste et l’ordonnance sur la poste. Une contrainte qui lui garantit toutefois un monopole sur les lettres de moins de 50 grammes – le marché ayant été libéralisé pour les colis dès 2004. Mais le géant jaune ne cesse de rappeler que l’envoi de lettres et les versements au guichet sont en recul constant, et qu’il doit financer ces prestations de manière autonome – il ne reçoit pas de subvention.

La Poste affirme que le monopole des lettres lui permet de dégager 60 millions de francs par an, mais que les «coûts non couverts» du service universel représentent environ 250 millions de francs. A cela s’ajoute l’obligation de verser un dividende à la Confédération. Il est actuellement de 50 millions de francs par an, mais devrait vraisemblablement retrouver son niveau d’avant 2020 à partir de 2026, soit 200 millions de francs. L’entreprise développe donc de nouvelles prestations, et cherche à leur donner une dimension de service public, pour s’assurer d’indispensables revenus complémentaires. Le numérique est un terreau parfait pour expérimenter cette approche.

«L’un de nos objectifs, c’est de permettre l’application du secret postal qui prévaut dans les échanges physiques au sein des communications numériques», explique Wolfgang Eger, chef de l’informatique de la Poste, interrogé par Heidi.news début septembre. Une métaphore choisie avec soin pour justifier l’ensemble des incursions de l’ex-régie fédérale dans le domaine du numérique.

L’art de se rendre indispensable pour les autorités

«A la croisée des chemins balisés et des voies inédites, nous créons un pont entre l’homme et l’information», affirme une vidéo diffusée sur le site de la Poste. Son ambition? Se positionner en tant que prestataire incontournable de services numériques sécurisés et fiables pour les entreprises, et peut-être plus encore pour les autorités.

En 2021, le géant jaune faisait part de son projet en la matière, lors de l’annonce du rachat de Dialog Verwaltungs-Data: «La Poste dispose déjà de produits qui ont fait leurs preuves, tels que l’extrait du casier judiciaire et l’extrait du registre des poursuites. Elle œuvre à en établir d’autres, en proposant des offres comme l’application ePost, IncaMail, l’identité et la signature numériques ou encore le vote électronique». Avec Dialog Verwaltungs-Data, la Poste pourrait à l’avenir fournir un écosystème numérique sécurisé et facile d’accès pour les administrations publiques.

La Poste n’a pas encore réussi son pari, certaines tentatives s’étant pour l’heure avérées infructueuses. Alors qu’elle figurait au sein du consortium d’entreprises derrière SwissSign, un prestataire pressenti pour fournir une solution d’identité électronique à l’échelle du pays, les Suisses ont rejeté le projet du Conseil fédéral en mars 2021 à une nette majorité. Pas de quoi freiner les ardeurs de la Poste, qui a décidé de racheter SwissSign et d’imposer sa solution d’identification SwissID à ses clients particuliers et commerciaux depuis l’automne 2022.

Les autorités ont quant à elles revu leurs ambitions en matière d’e-ID à la baisse, en tenant compte du message envoyé par la population. L’objectif est désormais de proposer une identité électronique gérée par l’Etat. Et la Poste espère bien être de la partie, comme l’indique son président Christian Levrat au Temps: «Il faudra voir si le Conseil fédéral veut se baser sur une solution existante ou développer une solution propre. Notre solution répond en grande partie aux exigences pour cette e-ID, et nous pourrons nous adapter à des exigences plus strictes».

La volonté de précipiter l’adoption de SwissID au sein de la population et de l’économie a-t-elle pour objectif de forcer la main de la Confédération? La Poste réfute, affirmant qu’il s’agit avant tout de fournir un moyen d’identification sécurisé pour sa clientèle. Toujours dans cette optique de numériser les prestations publiques, le géant jaune a aussi lancé ePost, une application pour appareil mobile qui se présente comme la «boîte aux lettres numérique officielle de la Suisse», permettant à la fois de recevoir son courrier de manière dématérialisée et de signer des contrats avec son smartphone.

En plus du vote électronique, la Poste a renforcé sa position sur le dossier électronique du patient (DEP): elle a repris 75% des parts d’Axsana, une entreprise qui gère l’une des infrastructures du DEP, Swisscom ayant décidé de se retirer. Le géant jaune occupe désormais un rôle majeur dans ce projet qui vise à faciliter l’accès aux données de santé.

La Poste cherche donc par tous les moyens à proposer des prestations numériques pour séduire les administrations, dont les propres efforts de numérisation sont loin d’être couronnés de succès.

Pas vocation à recueillir des données

La politique de protection des données du fournisseur de SwissID, SwissSign, est limpide: «Les données recueillies dans le cadre de la fourniture des prestations, notamment les données personnelles, ne peuvent être utilisées que dans le but de et dans la mesure nécessaire à l'accomplissement et au déroulement du service de certificats. Une utilisation à d'autres fins ou leur transmission à des tiers est strictement exclue».

Dans les faits, tous les services de la Poste qui proposent des communications sécurisées ont une politique de protection des données similaire. Cette question est prise très au sérieux par l’entreprise, selon Wolfgang Eger. «Les prescriptions légales relatives à la gestion des données s’appliquent également au sein du groupe Poste. Par exemple, nous ne transmettons des données au sein de la Poste que si celles-ci sont indispensables pour fournir une prestation. Il va de soi que les finalités de traitement définies à l’origine doivent aussi être respectées. Nous appliquons des règles strictes de confidentialité pour nos services, parce que la confiance et la sécurité numériques sont des enjeux majeurs qui sont au cœur de notre ADN.»

Le responsable de l’informatique du géant jaune est affirmatif: «Notre modèle commercial, c’est le transport sécurisé et en toute confidentialité d’informations de A à B. Nous avons fait nos preuves avec le secret postal depuis 175 ans et nous voulons le transposer à l’ère numérique. La gestion des données de nos clients ne représente pas un modèle commercial pour la Poste». Une déclaration qui mérite toutefois d’être nuancée, dans la mesure où la Poste participe malgré tout au marché de la publicité en ligne dans certaines circonstances, ce qui implique de satisfaire aux exigences fixées par les acteurs dominants du secteur, à l’image de Google et Facebook.

L’attrait de la publicité en ligne

Dans son rapport annuel 2022, l’entreprise indique: «La Poste a enregistré une croissance organique dans le secteur en ligne. Elle ouvre à l’adresse poste.ch des pages très fréquentées, comme “Mes envois”, pour ce que l’on appelle la publicité programmatique, c’est-à-dire une publicité adaptée aux centres d’intérêt des utilisatrices et des utilisateurs». Le document précise en outre que l’entreprise entend «renforcer [sa] position sur le marché publicitaire afin de réaliser plus de bénéfices».

Les clients qui utilisent le portail «Ma Poste» voient donc leurs données personnelles traitées de manière automatisée à des fins de profilage. «Nous voulons ainsi mieux comprendre les aspects personnels importants, tels que les centres d’intérêts ou les comportements des visiteurs. L’objectif consiste en premier lieu à créer des profils de clients et des groupes cibles, afin de personnaliser la communication avec vous ou les annonces publicitaires et d’identifier les tendances», écrit le géant jaune dans sa déclaration de protection des données.

La Poste a mis en place sur son site web une bannière de consentement pour les cookies, mais celle-ci est conçue de manière à influencer le comportement des utilisateurs pour les pousser à les accepter afin de gagner du temps – il suffit d’une opération pour consentir à l’utilisation des cookies, contre quatre pour les désactiver. Ces pièges à utilisateurs (dark patterns en anglais) sont très courants, mais qu’une entreprise qui se profile sur la sécurité des données en fasse l’usage interpelle.

N’est-ce pas contradictoire de se profiler en tant qu’intermédiaire de confiance dans le cyberespace tout en s’adonnant à la publicité en ligne? Interrogée, la Poste balaie tout paradoxe, et précise qu’elle n’a en tout cas pas recours à des données sensibles, comme des informations de santé ou financières, ou des éléments qui relèvent du secret postal - c’est-à-dire le contenu des envois.

Le conseiller national Gerhard Andrey, lui-même co-fondateur d’une entreprise active dans le numérique, se montre pour sa part sceptique. Il s’explique: «C’est très bien que la Poste cherche à fournir des prestations pour lesquelles il y a une demande à laquelle le secteur privé ne répond pas. En revanche, je ne crois pas que son rôle consiste à se développer dans des marchés concurrentiels, ce d’autant plus que la publicité en ligne soulève des questions en matière de protection des données. Sa raison d’être en tant qu'entreprise semi-privée serait plutôt de proposer des approches décentralisées, économes en données, sécurisés par design et avec des logiciels open source».

Pour la Poste, qui tente par tous les moyens d’inciter les particuliers à retirer les autocollants «Non à la publicité» sur leurs boîtes aux lettres, le marché publicitaire fait partie de son «cœur de métier», comme elle l’explique dans son rapport annuel. C’est en effet à travers ses services que les entreprises peuvent diffuser des annonces par voie postale.

A l’heure où les annonceurs veulent disposer d’offres cross-media (sur différents supports), le développement de la publicité en ligne paraît inévitable. Mais le géant jaune pourrait bien être confronté aux limites d’une stratégie pour le moins ambivalente. Qui fera confiance à une entreprise qui d’un côté sécurise certaines de nos données mais en utilise d’autres pour satisfaire aux exigences des géants publicitaires?