Protection des données: le préposé fédéral aura-t-il les moyens d'accomplir sa mission?
Une nouvelle loi sur la protection des données personnelles est entrée en vigueur depuis le 1er septembre 2023. Elle renforce les pouvoirs du gendarme des données personnelles, le préposé fédéral Adrien Lobsiger. A quel point cela va-t-il changer la donne? Nous lui avons demandé.
Tous les regards sont tournés vers lui avec l’entrée en vigueur au 1er septembre 2023 de la nouvelle loi fédérale sur la protection des données (nLPD). Depuis 2016, Adrian Lobsiger dirige l’autorité de surveillance chargée de veiller au respect des règles en matière de collecte et d’exploitation de nos informations intimes. Une gageure, pour une institution qui souffre d’un manque chronique de moyens.
Mais les choses pourraient changer, car le préposé se voit doté de nouveaux pouvoirs par la nLPD. Comment le préposé fédéral, dont la réélection a été proposée par le Parlement pour la période 2024-2027, compte-t-il en faire usage? Nous l’avons rencontré en juin dans ses bureaux bernois du quartier des ambassades, qu’il partage avec la Chancellerie fédérale.
Heidi.news — Dans votre dernier rapport, vous précisez vouloir augmenter vos activités de surveillance, c’est-à-dire?
Adrien Lobsiger — Pour le secteur privé, la loi actuelle prévoit le seuil de l’«erreur systémique» à partir duquel un traitement de données problématique peut faire l’objet d’une enquête du Préposé fédéral. Cela ne sera plus le cas avec la nouvelle loi. Toute plainte déposée devra être traitée.
Justement, comment comptez-vous faire pour enquêter et sanctionner dans des délais rapides si des centaines de citoyens dénoncent des violations dans les prochains mois?
Dans un premier temps, chaque dénonciation doit être analysée. Dans ce cadre préliminaire et informel, nous devons vérifier que c’est bien notre autorité qui est compétente pour l’instruire, nous assurer que la violation est probable et qu’il existe des indices suffisants qui permettent de l’étayer. Si ces conditions sont réunies, nous prenons contact avec le responsable du traitement pour le confronter aux faits.
Jusqu’ici, les responsables du traitement ont adapté leurs méthodes dans 90% des cas. Nous nous attendons à ce que cette proportion augmente encore avec la nouvelle loi. Sous l’ancienne loi, lorsque nous ouvrions une enquête, elle ne pouvait qu’aboutir à une recommandation, et – en cas de contestation – à une plainte auprès du Tribunal fédéral administratif. Désormais, nous pourrons rendre des décisions contraignantes. C’est un gain de temps considérable qui va inciter les entreprises à collaborer encore plus.
Est-ce que vous pensez avoir suffisamment de ressources pour mener à bien votre mission?
Depuis la création du Préposé fédéral à la protection des données en 1993, le Conseil fédéral a toujours considéré notre autorité sous la forme d’une petite unité. L’exécutif nous a accordé 9 postes supplémentaires, qui nous permettent d’atteindre 33 emplois équivalent temps plein dévolus à la protection des données. Ces nouvelles ressources doivent être intégrées dans nos effectifs actuels, et c’est un réel défi. Nous devons dénicher les bonnes personnes, les former et surtout les garder.
Votre autorité est confrontée à un important turn-over. Pourquoi?
Nos juristes ont bonne réputation sur le marché de l’emploi. Ils connaissent bien la machine de l’intérieur, et les entreprises qui veulent se doter d’un conseiller en protection des données s’orientent naturellement vers eux. Les talents dans ce secteur sont rares, la CNIL (l’équivalent français du Préposé fédéral, ndlr.) est confrontée au même problème. Nous devons mettre en place des stratégies pour les garder plus longtemps. Nous devons également veiller à conserver suffisamment de spécialistes de l’informatique. Aujourd’hui, nous en comptons six. Ils sont essentiels pour établir les faits sur le plan technique. Malheureusement, il y a aussi une pénurie de main d’œuvre dans ce domaine. Pourtant, la complexité des systèmes ne fait qu’augmenter, et la quantité de données traitées aussi, surtout avec le développement toujours plus rapide de logiciels d’intelligence artificielle.
Est-ce que l’enthousiasme autour de l’intelligence artificielle vous préoccupe?
Nous constatons une diminution de la transparence au sein de ces nouveaux systèmes. Là aussi, nous avons un besoin accru en spécialistes, pour comprendre la manière dont les données sont traitées par ces algorithmes. Nous analysons par ailleurs les projets pilotes de la Confédération qui visent à introduire des agents conversationnels, par exemple pour répondre aux questions sur la TVA. De nombreuses questions sont encore en suspens. Ce serait problématique qu’un citoyen soit tenu de transmettre ses données à un logiciel lorsqu’il communique avec l’Etat, parce qu’il n’y a pas d’alternatives, contrairement aux applications privées dont il peut choisir librement de se passer.
De manière générale, nous observons de près ce que l’Union européenne développe sur la régulation de l’intelligence artificielle. Son projet actuel prévoit la possibilité d’interdire des logiciels qui présenteraient un risque trop élevé. Ce n'est pas encore clair si ce sont les autorités de protection des données qui devront prendre ces décisions ou si de nouveaux organes seront créés. Quoi qu’il arrive, de telles analyses nécessitent d’importantes ressources.
Pensez-vous que le législateur a été assez loin dans sa révision de la loi sur la protection des données, au regard du RGPD qui fait référence en Europe?
Il faut bien comprendre que la Suisse est un petit marché. Avec 9 millions d’habitants, elle ne pèse pas lourd face à des entreprises internationales, qui peuvent faire l’impasse sur une telle quantité d’utilisateurs. Ce serait donc difficile pour notre pays d’avoir des exigences plus élevées que le cadre de référence en la matière. Lorsque l’autorité de protection des données italienne a décidé d’interdire ChatGPT, OpenAI a accepté de modifier ses pratiques parce que l’Italie est membre de l’Union européenne, qui représente un marché de 447 millions d’habitants. Ce qui est sûr, c’est que si les entreprises suisses se conforment au Règlement général sur la protection des données (RGPD) européen, elles respecteront la nouvelle loi.
Qu’est-ce que cette loi a apporté, concrètement?
Elle a modifié les prérogatives du Préposé fédéral. Nous pouvons exiger des changements dans un traitement de données, voire l’interdire. Nous disposons également de nouveaux instruments basés sur l’approche de risques: les entreprises sont tenues d’effectuer des analyses d’impact pour les traitements de données qui présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
«Risque élevé», c’est la porte ouverte à toutes les interprétations…
La loi ne définit pas clairement cette notion. Mais elle donne des indices. Ce sont les décisions rendues par notre autorité et la jurisprudence qui permettront de la définir. Si la loi était trop technique sur ce point, les entreprises en profiteraient pour se soustraire à l’obligation d’effectuer des analyses d’impact, en argumentant qu’elles ne pratiquent aucun traitement à haut risque puisque certains critères techniques, parmi une multitude, ne seraient pas remplis.
Nous allons continuer notre collaboration avec les conseillers à la protection des données, pour les inciter à obtenir des réponses de la part de leur employeur sur les traitements qu’il effectue. Vous savez, cette collaboration est très précieuse. Ces personnes, qui ont une connaissance particulière du secteur, nous permettent d’obtenir des informations précises sur la nature et les fonctionnalités des traitements. Sans elles, nous n’aurions pas les ressources nécessaires pour surveiller la multitude de grands projets et chantiers numériques.
Lorsqu’on lit les déclarations de protection des données et les conditions générales établies par les entreprises, on ne comprend jamais vraiment quelles sont les données qui sont utilisées.
S’il devait y avoir une nouvelle révision de la loi, il faudrait qu’elle introduise la notion de «transparency by design» (transparence dès la conception, ndlr.). Les fournisseurs de logiciels devraient, dès le départ, mettre en place des mesures qui permettent d’informer les responsables de traitement ainsi que tous les utilisateurs de toutes les fonctionnalités. La transparence est indispensable, y compris s’agissant de l’interlocuteur. Ainsi, il faut préciser aux utilisateurs s’ils communiquent avec un humain ou une machine.
Les Genevois ont ajouté à leur Constitution un droit à l’intégrité numérique le 18 juin 2023. Qu’est-ce que cela vous inspire?
J’ai récemment été auditionné par les commissions du Parlement fédéral au sujet d’une initiative pour introduire l’intégrité numérique dans la Constitution fédérale. J’ai d’ailleurs rencontré son auteur, le conseiller national Samuel Bendahan. Nous avons bien entendu observé le résultat genevois. Nous nous réjouissons du taux d’acceptation, plus de 94%!
Cela montre que la sensibilité à la protection des données a beaucoup progressé, en particulier dans les régions urbaines. J’ignore si une votation fédérale obtiendrait un tel résultat. Les cantons ruraux pourraient se montrer plus réticents. En tout cas, si une telle initiative devait être acceptée au niveau fédéral, ça serait fantastique! Ce serait un signal très clair en faveur du renforcement des droits de l’individu dans le cyberespace, et ça contribuerait à valoriser notre travail en tant qu’autorité de surveillance.