FF 2012 Volume 3 P. 255

Rapport du Conseil fédéral sur l'évaluation de la loi fédérale sur la protection des données du 9 décembre 2011

Messieurs les Présidents, Mesdames, Messieurs, Nous soumettons à votre attention le présent rapport sur l'évaluation de la loi fédérale sur la protection des données.

Nous vous prions d'agréer, Messieurs les Présidents, Mesdames, Messieurs, l'assurance de notre haute considération.

9 décembre 2011

Au nom du Conseil fédéral suisse: La présidente de la Confédération, Micheline Calmy-Rey La chancelière de la Confédération, Corina Casanova

2011-1952

255

Condensé En vigueur depuis bientôt 20 ans, la loi fédérale du 19 juin 1992 sur la protection des données (LPD) a pour la première fois été soumise à une évaluation approfondie. Dans ce rapport, le Conseil fédéral présente les résultats de l'évaluation et, à partir de là, esquisse la voie à suivre.

L'évaluation avait pour objet de contrôler l'efficacité de la LPD. Pour ce faire, elle s'est concentrée d'une part sur son degré de notoriété et ses mécanismes de mise en oeuvre, d'autre part sur le rôle du Préposé fédéral à la protection des données et à la transparence (PFPDT).

L'évaluation a montré que la loi permettait d'atteindre un niveau de protection appréciable dans les domaines où les défis étaient déjà connus au moment de son entrée en vigueur. Ses conclusions suggèrent toutefois que les développements technologiques et sociétaux intervenus depuis quelques années ont engendré de nouvelles menaces pour la protection des données. Si l'évolution technologique constitue un défi pour le législateur, c'est qu'elle entraîne une multiplication des traitements de données et notamment des traitements de données peu transparents ou transfrontaliers. Une fois des données divulguées, il devient toujours plus difficile d'en conserver le contrôle. La grande majorité des organismes publics et privés traitant des données est néanmoins assez bien sensibilisée à la problématique de la protection des données et applique de façon pragmatique les dispositions de la loi.

Le grand public accorde lui aussi une grande importance à la protection des données à caractère personnel, mais certains particuliers ne prennent pas toujours les précautions nécessaires, se sentant dépassés ou méconnaissant les possibilités d'utilisation de leurs données et les risques qui en découlent. Si le PFPDT s'est avéré un instrument efficace pour améliorer la protection offerte par la loi, ses possibilités d'intervention se heurtent à diverses limites. Les droits de recours des personnes concernées n'ont pour leur part qu'une efficacité restreinte, car celles-ci n'en font que rarement usage.

Se fondant sur les conclusions de l'évaluation, le Conseil fédéral est d'avis qu'il faut examiner dans quelle mesure et de quelle manière la législation en matière de protection des données doit être adaptée, afin de tenir compte des importants
développements tant technologiques que sociétaux intervenus. En prenant en considération lesdites conclusions ainsi que les développements soutenus par l'Union européenne et le Conseil de l'Europe, ainsi que des intérêts concrètement touchés, il examinera les mesures législatives à prendre. En ce qui concerne les mesures d'exécution de la loi, le PFPDT étudie les possibilités d'améliorer la documentation de ses activités et prévoit d'élargir le champ de son rapport d'activité.

Depuis le début des travaux d'évaluation, deux postulats ont été transmis au Conseil fédéral: celui déposé par Antonio Hodgers le 8 juin 2010 (10.3383 «Adapter la loi sur la protection des données aux nouvelles technologies») et celui de Jean-Pierre Graber, du 14 septembre 2010 (10.3651 «Atteintes à la sphère privée et menaces indirectes sur les libertés individuelles»). Le présent rapport répond déjà en partie aux préoccupations exprimées par leurs auteurs.

256

Rapport 1

Situation de départ

1.1

Loi fédérale sur la protection des données

La loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1, ci-après loi sur la protection des données), régit le traitement de données concernant des personnes physiques et morales effectué par des particuliers ou des organes fédéraux. Le traitement de données par les autorités cantonales ne fait en principe pas l'objet de la loi sur la protection des données (à l'exception de l'art. 37 LPD) et obéit à la législation cantonale.

La loi sur la protection des données a été motivée par le fait que le recours aux technologies modernes d'information et de communication, dans presque tous les domaines de la vie courante, et l'intensification massive du traitement et de la diffusion des données dans la société, l'économie et l'administration étatique ont fortement accru les risques d'atteinte à la personnalité. Elle vise à protéger la personnalité des individus qui font l'objet d'un traitement de données (art. 1 LPD) et donc à garantir à chacun son droit fondamental à un libre choix quant à l'information (art. 13, al. 2, de la Constitution, Cst.; RS 101). Dans son message du 23 mars 1988 relatif à la loi sur la protection des données1, le Conseil fédéral a formulé trois objectifs principaux de la loi: 1. protéger la vie privée et familiale contre les atteintes; 2. protéger de façon spécifique les informations concernant l'exercice des droits fondamentaux; 3. empêcher que l'individu ne soit réduit à l'état de simple objet d'information; l'individu doit pouvoir déterminer l'image et les informations que son environnement aura de lui. La loi contient une partie générale définissant les principes directeurs régissant le traitement de données et devant être respectés tant par les organes de la Confédération que par les personnes ou organismes traitant des données à titre privé. Elle contient par ailleurs des dispositions spécifiques applicables au traitement de données par des personnes privées (à titre de complément et de concrétisation de la protection de la personnalité ancrée dans le code civil; RS 210) et par les organes de la Confédération. De par son caractère général, la LPD couvre une part aussi large que possible des technologies utilisées. A ce titre, elle définit avant tout des principes directeurs applicables à tout traitement de données à caractère personnel, principes qui se
trouvent concrétisés pour certains secteurs spécifiques dans une réglementation ad hoc2.

La loi sur la protection des données a subi plusieurs révisions partielles depuis son entrée en vigueur le 1er juillet 1993. Les plus importantes sont devenues effectives le 1er janvier 2008 et le 1er décembre 2010. La révision entrée en vigueur le 1er décembre 2010 portait sur la mise en oeuvre de la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière

1 2

FF 1988 II 421 426 Par exemple dans la loi fédérale du 20 juin 2003 sur le système d'information commun aux domaines des étrangers et de l'asile (LDEA; RS 142.51) et dans la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP; RS 361).

257

pénale3. Celle du 1er janvier 2008 visait en premier lieu à améliorer l'information des personnes sur lesquelles des données sont collectées, à fixer un niveau de protection minimum lorsque les autorités cantonales traitent des données en exécution du droit fédéral et à transposer dans le droit suisse les principes prévus dans le protocole additionnel du 8 novembre 20014 à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données.

1.2

Objet et organisation de l'évaluation

Etant donné le grand nombre de personnes concernées par la loi sur la protection des données, la rapidité du progrès technologique, les recommandations émises par les experts de l'UE dans le cadre de l'association à Schengen, ainsi qu'en vertu de l'art. 170 Cst., l'Office fédéral de la justice (OFJ) a décidé de faire évaluer la loi sur la protection des données.

L'évaluation avait pour objet d'examiner la LPD sous l'angle de son efficacité. Les nouvelles dispositions introduites dans le sillage des réformes de la LPD au 1er janvier 2008 et au 1er décembre 2010 ont été exclues du champ de l'évaluation, étant donné qu'on ne dispose pas encore d'un recul suffisant à leur propos.

Au vu du vaste champ d'application de la LPD et du caractère limité des ressources financières et en personnel à disposition, il a fallu axer l'évaluation sur certains aspects de la loi. Les évaluateurs se sont tout d'abord concentrés sur la notoriété de la loi et la connaissance de ses dispositions, ainsi que sur ses mécanismes de mise en oeuvre. A cet égard, ils désiraient en particulier savoir lesquels parmi les droits et les procédures que la LPD met à disposition se sont avérés efficaces et de nature à assurer une protection adéquate de la personnalité et des droits fondamentaux. Ils se sont ensuite intéressés au Préposé fédéral à la protection des données et à la transparence (PFPDT), afin de déterminer son rôle dans la protection de la personnalité et des droits fondamentaux des personnes, notamment pour ce qui touche à sa position institutionnelle et à son indépendance, à son organisation et à l'efficacité de ses actions. L'évaluation s'est déroulée dans le contexte des développements technologiques et sociétaux intervenus depuis l'entrée en vigueur de la LPD et des défis qui en découlent en matière de protection des données. Elle est en accord avec les objectifs que le Conseil fédéral a définis dans le cadre de sa stratégie pour une société de l'information en Suisse5.

3 4 5

258

JO L 350 du 30.12.2008, pp. 6071.

RS 0.235.11 Dans sa «Stratégie pour une société de l'information en Suisse» de janvier 2006, le Conseil fédéral a notamment conclu que la Confédération devait veiller à ce que la législation sur la protection des données soit conçue selon des critères d'efficacité, tout en respectant le principe de proportionnalité, notamment par la définition d'instruments aptes à instaurer une confiance fondée dans les TIC et leur utilisation. La stratégie du Conseil fédéral peut être consultée à l'adresse: www.bakom.admin.ch > Thèmes > Société de l'information > Stratégie du Conseil fédéral.

L'évaluation a été dirigée par l'OFJ et accompagnée par un groupe de travail élargi6, représentatif des connaissances et des intérêts des divers groupes de personnes concernés. Chargé d'assurer une bonne acceptation des travaux ainsi qu'un contrôle de qualité en continu, le groupe de travail a également participé à l'élaboration du concept d'évaluation et de son cahier des charges, ainsi qu'au choix des experts externes. Il a par ailleurs pris position sur le rapport intermédiaire et le rapport final des experts externes, ainsi que sur une version préliminaire du présent rapport.

1.3

Postulats Hodgers et Graber

Après le début des travaux d'évaluation de la loi sur la protection des données, les postulats Hodgers du 8 juin 2010 (10.3383 «Adapter la loi sur la protection des données aux nouvelles technologies») et Graber du 14 septembre 2010 (10.3651 «Atteintes à la sphère privée et menaces indirectes sur les libertés individuelles») ont été transmis au Conseil fédéral. Le postulat d'Antonio Hodgers chargeait le Conseil fédéral d'étudier la possibilité de renforcer le droit à la protection des données et à la vie privée en modifiant la LPD pour l'adapter aux nouvelles technologies.

Dans son postulat, Jean-Pierre Graber priait quant à lui le Conseil fédéral, à propos de l'extension incessante des nouvelles technologies de surveillance et de collecte de renseignements et à la multiplication des dispositions légales introduisant un surcroît de transparence dans tous les domaines de la vie, de dire: a.

son appréciation des risques qu'ils font peser sur la vie privée;

b.

les limites qu'il entend leur assigner pour protéger la sphère privée;

c.

s'il estime opportun de définir, au-delà de la disposition de l'art. 36, al. 4, Cst., un noyau dur de la sphère privée inviolable et intangible;

d.

s'il juge opportun de proposer un renforcement de la législation protectrice de la sphère privée et des données personnelles.

Le présent rapport répond déjà en partie aux préoccupations exprimées dans les deux postulats.

2

Mandat d'évaluation et procédure

En étroite collaboration avec le groupe de travail, l'OFJ a élaboré un concept d'évaluation et un cahier des charges pour l'exécution des travaux de relevé proprement dits. Au printemps 2010, après un examen approfondi des propositions de projet par le groupe de travail, l'OFJ a confié la réalisation de l'évaluation à une équipe de recherche interdisciplinaire composée du bureau Vatter AG, Berne (Christian Bolliger, chef de projet, et Marius Féraud), de l'Institut de droit européen de 6

Le groupe de travail était constitué des membres suivants: Martin Hilti (présidence, OFJ), Werner Bussmann (OFJ), Rolf Reinhard (SG DFJP), Jean-Philippe Walter (suppl.

PFPDT), Nadja Braun (Chancellerie fédérale), Ulysse Tscherrig (Chancellerie fédérale), Jacques Vifian (Bureau fédéral de la consommation), Thomas Pletscher (economiesuisse), Jacques Beglinger (Verein Unternehmensdatenschutz), Bruno Baeriswyl (Préposé à la protection des données du canton de Zurich, président de l'association «Privatim»), Prof. Bertil Cottier (universitä della Svizzera italiana) et Me Sébastien Fanti.

259

l'Université de Fribourg (Prof. Astrid Epiney et Julia Hänni) et de DemoSCOPE AG (Eva Tschurenev).

Sur la base des questions définies dans le cahier des charges, l'équipe de chercheurs a mené 28 entretiens semi-structurés avec des experts en droit et en technologie, des représentants de divers groupes d'intérêts, des responsables de la protection des données et des représentants du PFPDT. Puis elle est passée à l'analyse et à l'évaluation du matériel statistique, des documents de travail et des publications du PFPDT, réalisant dix études de cas concernant ses différents domaines d'activité.

Elle a par ailleurs mené une enquête représentative auprès de 1014 personnes, les interrogeant sur leur attitude face à la protection des données, leurs connaissances et leur comportement en la matière. Sur la base de 269 décisions judiciaires cantonales ou nationales, elle a analysé la jurisprudence relative aux actions en recours intentées dans le domaine de la protection des données. Et pour achever d'étayer son analyse, elle a passé en revue l'étude comparative réalisée par l'Institut suisse de droit comparé (ISDC) concernant divers aspects de la protection des données dans dix pays7.

L'étude a duré de mai 2010 à février 2011 et a débouché sur un rapport final paru le 10 mars 20118, qui a servi de base au présent rapport.

3

Résultats de l'évaluation

3.1

Loi sur la protection des données: technologies, responsables du traitement des données, personnes concernées

L'évaluation révèle que les développements technologiques intervenus depuis l'entrée en vigueur de la LPD en 1993 constituent un défi en termes de sécurité. Ces développements ont en effet abouti à une augmentation massive du volume d'informations et du nombre d'équipements et d'applications générant des données, ainsi que des possibilités de collecter, de stocker et d'exploiter ces données. De manière plus ou moins consciente, nous laissons quotidiennement des traces dans les domaines les plus divers de nos vies, et surtout sur Internet, alors que les entités traitant ces données tendent à s'internationaliser. Cette évolution constitue un défi tant pour les individus que pour les responsables du traitement des données ou le PFPDT, car elle peut induire des situations hautement complexes et d'une grande opacité: le nombre des participants augmente, la finalité et le contexte des opérations se diversifient, alors que les données sont en partie traitées par des systèmes automatisés ne s'arrêtant pas aux frontières nationales. Il devient toujours plus difficile d'évaluer l'impact d'un traitement de données, et les personnes concernées peinent à garder une vue d'ensemble de leurs données personnelles traitées par des tiers. Le PFPDT éprouve pour sa part des difficultés croissantes à exercer son mandat de surveillance étant donné l'accroissement constant de la fréquence, de l'opacité et de l'internationalisation du traitement des données.

7

8

260

L'expertise comparative du 19 novembre 2010 peut être téléchargée à l'adresse: http://www.bj.admin.ch > Thèmes > Etat et Citoyen > Evaluation > Office fédéral de la justice: évaluation Le rapport final peut être téléchargé à l'adresse: http://www.bj.admin.ch > Thèmes > Etat et Citoyen > Evaluation > Office fédéral de la justice: évaluation

Si le progrès technologique a également donné naissance à des techniques favorisant la protection des données, leur diffusion est trop lente par rapport à l'accroissement des volumes traités. Il faut par ailleurs noter que ces nouveaux types de traitements peu transparents coexistent avec d'autres, également en augmentation, dont une partie sont parfaitement transparents et sont effectués par des responsables clairement identifiés, tandis que les autres se situent entre-deux.

La grande majorité des responsables du traitement publics ou privés sont quelque peu sensibilisés à la problématique de la protection des données et appliquent les dispositions de la LPD, quand bien même ils le font de manière pragmatique. Cette application peu rigoureuse des dispositions de la LPD pourrait s'expliquer par le caractère relativement improbable d'une sanction. On constate dans la pratique que ce sont avant tout la crainte d'une atteinte à l'image (pour les responsables du traitement privés) et d'une perte de confiance (pour les organes de la Confédération) qui peuvent inciter les responsables du traitement à davantage de rigueur. En ce qui concerne le traitement des données par les organes de la Confédération, l'exigence d'une base légale, synonyme d'une plus grande transparence des processus décisionnels, contribue à renforcer la protection des données.

La pratique montre que le problème vient également de ce que les utilisateurs d'Internet sont parfois imprudents ou dépassés par la technologie. Comme le révèle l'enquête citée plus haut, la grande majorité des gens souhaitent profiter des nouvelles possibilités qu'offrent les technologies de communication, mais accordent par ailleurs une grande importance à la protection de leurs données personnelles, même lorsqu'ils accèdent à de nouveaux environnements sur Internet qui se caractérisent par leur manque de transparence. S'ils ne prennent pas toujours toutes les précautions requises, cela peut être parce qu'ils se sentent dépassés, ou parce qu'ils sousestiment les possibilités d'exploitation de leurs données et les risques qui en découlent. L'imprudence dont certains font preuve sur les sites sociaux, par exemple, pourrait aussi tenir au fait qu'ils perçoivent le risque d'une utilisation abusive de leurs données et ses conséquences comme relativement diffus et improbables par rapport aux bénéfices immédiats qu'ils retirent de telle ou telle offre sur la Toile.

3.2

Notoriété de la loi sur la protection des données, connaissance de ses dispositions et droits de recours

L'examen de la jurisprudence révèle qu'il est rare que les personnes lésées engagent une procédure judiciaire, bien que la fréquence varie selon le droit invoqué. L'application des nouvelles technologies ne fait pour sa part quasi jamais l'objet d'une procédure judiciaire. La plupart des personnes qui intentent un recours contre des traitements de données effectués par des organes fédéraux le font en vertu de l'art. 8 LPD, qui régit le droit d'accès. Le plus souvent, ces personnes ont déjà été sensibilisées à la thématique du traitement des données dans le cadre d'une précédente procédure. Le traitement de données par les organes de la Confédération a fait l'objet de plusieurs arrêts d'instances supérieures (art. 25 LPD). La plupart des demandes concernent toutefois la rectification de données (supposées) inexactes dans quelques secteurs bien définis. Les personnes qui remettent en question la légitimité d'un traitemet de données invoquent la plupart du temps l'absence d'une base légale suffisante. L'évaluation a par ailleurs montré qu'il est rare que les personnes concernées fassent valoir leurs prétentions à l'égard de responsables du 261

traitement privés (rectification, destruction, interdiction de la communication et mention du caractère litigieux, conformément à l'art. 15 LPD) et que ces prétentions ne sont effectives qu'en lien avec l'art. 28 du code civil.

Parmi les raisons pouvant expliquer la faible propension des personnes concernées à faire usage du droit de recours, on trouve une relative méconnaissance de ce droit et des voies de droit applicables, ainsi qu'une certaine méconnaissance des procédures.

Il est également possible que les personnes concernées considèrent que l'effort à fournir pour intenter action est trop important par rapport au bénéfice diffus et incertain d'une victoire judiciaire. Selon les cas, un recours peut aussi présenter certains risques pour la personne concernée (risque de licenciement, p. ex.).

3.3

Le PFPDT

L'évaluation a montré que le PFPDT remplissait son mandat légal et que, dans le cadre de ses possibilités, il atteignait un haut degré d'efficacité. Il est difficile d'influer sur les limites imposées à son efficacité, étant donné qu'elles sont en partie d'ordre légal ou politique et en partie dues à la généralisation des traitements de données globalisés et peu transparents. De plus, les documents à disposition ne permettent pas de dresser un bilan exhaustif des activités du PFPDT et de ses résultats. Ceux-ci n'ont en effet pas fait l'objet d'une documentation systématique ni entièrement transparente. L'évaluation a toutefois livré les résultats suivants: Le PFPDT exerce ses fonctions de manière indépendante et sans recevoir d'instructions de la part d'une autorité (art. 26, al. 3, LPD). Cette indépendance n'a jamais été remise en question dans la pratique. La dernière révision de la loi (en vigueur depuis le 1er déc. 2010) a même offert l'occasion de la renforcer quelque peu sur le plan formel, vis-à-vis du gouvernement et de l'administration, puisque la nomination du PFPDT par le Conseil fédéral est désormais soumise à l'approbation du Parlement. Et selon les déclarations des personnes interrogées, aucun doute n'a encore jamais été émis dans la pratique quant à l'indépendance du PFPDT à l'égard des responsables du traitement de données étatiques ou privés.

Si le PFPDT est tenu d'axer en grande partie ses interventions sur les demandes et les déclarations qui lui sont adressées, il s'efforce néanmoins d'organiser ses activités en fonction d'objectifs définis à l'avance. Des critères de décision clairs, déduits de la loi sur la protection des données, facilitent le tri et la priorisation des affaires à traiter au quotidien. Le PFPDT répartit les ressources dont il dispose de manière à peu près équilibrée entre les trois secteurs prioritaires que sont la surveillance, le conseil et l'information/sensibilisation de l'opinion.

L'activité de surveillance du PFPDT s'avère aussi efficace dans le traitement des cas individuels. Le PFPDT mène des enquêtes pour s'assurer que les traitements de données sont conformes à la LPD. Dans la majorité des cas, il ne rencontre que des problèmes d'ordre mineur, que les responsables du traitement s'empressent de corriger. En cas de manquement plus grave, lorsqu'il
adresse des recommandations à un responsable du traitement de données, celles-ci sont généralement mises en oeuvre soit directement, soit après décision d'une instance judiciaire. C'est sur le terrain des traitements peu transparents et effectués à l'étranger que le PFPDT se heurte à ses limites, car ce type de situation tend à rendre les abus plus difficile à déceler et à compliquer la recherche de leurs auteurs. Mais le simple fait que le 262

nombre de traitements augmente complique déjà la tâche du PFPDT. Enfin, la portée de son mandat de contrôle reste limitée. Lorsque le PFPDT constate un manquement dans le cadre d'une enquête, les ressources à sa disposition ne lui permettent pas d'effectuer des contrôles aléatoires auprès de responsables du traitement menant des activités similaires. Pour que l'effet préventif soit le plus large possible et qu'une sensibilisation ait lieu, il faut que le manquement constaté concerne un domaine intéressant un large public. Ces limites de l'action du PFPDT réduisent le risque que les responsables du traitement qui ne respectent pas la loi se voient remis à l'ordre.

L'activité de conseil et d'information du PFPDT est elle aussi considérée efficace dans la pratique. Les conseils qu'il prodigue sur demande sont en général considérés comme utiles, pertinents et constructifs par les responsables du traitement de données, à quelques réserves près (de la part d'organes de la Confédération). Tant les responsables du traitement que les experts interrogés jugent bonne à très bonne la qualité de ses publications, qui ont, pour certaines, acquis le statut de «lois informelles». Souvent sollicité pour des questions qui échappent à son mandat de surveillance, le PFPDT y répond par des conseils et astuces incitant notamment les personnes concernées à se protéger elles-mêmes. Une partie des responsables du traitement de données évite cependant de faire appel au PFPDT, du fait de son double mandat d'organe de surveillance et d'organe de conseil, ce qui limite sans doute la portée de son activité de conseil.

Bien que les statistiques d'utilisation démontrent une fréquentation appréciable de son site Internet, les informations qui y sont proposées n'ont pas toujours l'effet de sensibilisation recherché. Et si le PFPDT jouit d'une présence assez forte dans les médias, il ne parvient pas à éveiller l'intérêt des journalistes pour tous les thèmes en lien avec la protection des données. Divers indices montrent par exemple que de nombreux fichiers de données soumis à enregistrement ne figurent pas dans le registre ad hoc, et que nombre de réglementations concernant le traitement des données sont lacunaires, voir inexistantes. Les buts visés par la mise en place de ces instruments ne sont sans doute pas pleinement atteints
(davantage de transparence pour la population, sensibilisation des responsables du traitement de données). Et si le PFPDT prend systématiquement position sur les projets législatifs quand il constate des problèmes liés à la protection des données, ses propositions ne sont pas toujours prises en compte par les décideurs politiques.

3.4

Bilan global

Les résultats de l'évaluation ont été obtenus sur la base des critères suivants: 1.

9

Attentes à l'égard de la LPD au moment de son entrée en vigueur: l'évaluation confirme que la loi sur la protection des données exerce un effet de sensibilisation et de protection. La loi atteint donc un degré d'efficacité appréciable et, lorsqu'il est possible de le mesurer, les attentes initiales à son égard ont été au moins partiellement satisfaites9. Dans le même temps, on constate que les instruments originellement définis perdent de leur efficacité face à l'augmentation du volume des données traitées et à l'évolution technologique, si bien que son effet protecteur tend à s'estomper. L'institutionnalisation du PFPDT s'avère toutefois un instrument approprié pour amélio-

Concernant les objectifs fondamentaux de la LDP, cf. plus haut, ch. 1.1.

263

rer l'efficacité de la loi, même si ses possibilités d'action se heurtent à des limites dans divers domaines. Les droits accordés aux personnes concernées n'exercent en revanche qu'un effet limité en termes de protection de la personnalité.

2.

Attentes des personnes concernées et des responsables du traitement de données: la loi sur la protection des données a pour vocation de répondre aussi bien aux attentes de la population qu'à celles des responsables du traitement.

La population souhaite faire partie de la société de l'information, mais aussi qu'une entité indépendante la protège des abus. Alors que la population attend du PFPDT qu'il assume sa fonction de contrôle, les responsables du traitement de données attendent de lui en premier lieu un soutien technique pour la mise en oeuvre des prescriptions légales.

3.

La LPD en comparaison internationale: si les droits dont jouissent les personnes concernées sont relativement bien développés, les compétences du PFPDT ne sont en revanche pas particulièrement étendues.

On retiendra globalement que la LPD protège efficacement des problèmes qui existaient au moment de son entrée en vigueur, en 1993. L'évaluation montre toutefois que l'évolution des technologies et de la société notamment ont renforcé ces dernières années les menaces qui pèsent sur la protection des données.

3.5

Possibilités d'intervention

Sur la base de leur analyse des activités du PFPDT, les chercheurs chargés de l'évaluation adressent à celui-ci une série de recommandations pratiques concernant notamment la documentation de ses activités.

Sans vouloir prétendre à l'exhaustivité de leur analyse et sans avoir effectué un examen approfondi, les chercheurs esquissent quelques idées d'interventions plus poussées, qui ne reposent cependant que partiellement sur les résultats de l'évaluation, mais sont en grande partie inspirées des efforts entrepris au niveau européen en matière de protection des données. Les actions possibles visent tout d'abord à renforcer la position des personnes concernées dans les négociations menées avec les responsables du traitement de données, notamment par l'intermédiaire d'un élargissement du devoir d'information pour les responsables privés concernant la collecte et le traitement de données, ainsi que de l'introduction d'un droit d'action des organisations. Les chercheurs évoquent également un renforcement des compétences de contrôle du PFPDT, par le biais d'une extension des sanctions à sa disposition et de ses compétences en matière de collecte d'informations ou d'un accroissement de ses ressources par exemple. Pour ce qui est des défis posés par les nouvelles technologies, l'équipe d'évaluation envisage les mesures suivantes: promouvoir le principe d'«opt in»10, revoir les notions juridiques de «données à caractère personnel» et de «données particulièrement dignes de protection» et renforcer le principe

10

264

Selon le principe d'«opt in», les applications Internet notamment sont configurées par défaut pour une utilisation minimale des données mises à disposition par l'usager, qui doit approuver de façon explicite chaque extension de cette utilisation.

de «privacy by design» (protection intégrée de la vie privée, PIVP)11, notamment par l'introduction d'un contrôle préalable obligatoire pour tout nouveau traitement de données tel que le prévoit déjà la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données12. La mise en oeuvre de la plupart de ces compétences étendues exigerait une révision de la LPD. C'est pourquoi l'équipe d'évaluation recommande d'intégrer dans la réflexion sur la réforme de la LPD les développements en cours au sein de l'UE et du Conseil de l'Europe, sur les plans tant du contenu que du calendrier.

4

Etat des travaux au sein de l'UE et du Conseil de l'Europe

L'état des travaux au sein de l'UE et du Conseil de l'Europe peut être résumé comme suit: du côté de l'UE, suite à une première consultation publique et audition des groupes d'intérêt en novembre 2010, la Commission européenne a publié sa communication intitulée «Une approche globale de la protection des données à caractère personnel dans l'Union européenne»13. En février et en juillet 2011, le Conseil de l'Union européenne et le Parlement européen ont accepté les propositions de la Commission14. La Commission européenne se fondera sur ces propositions pour élaborer d'ici au début de 2012 une proposition législative qui visera principalement les buts suivants: un engagement ferme pour une approche globale de la protection des données au sein de l'UE, un renforcement des droits des personnes concernées, une meilleure mise en oeuvre des règles de protection des données, et un renforcement de la dimension «marché intérieur» et de la dimension mondiale de la protection des données. L'objectif est notamment de généraliser l'application des principes de transparence, d'utilisation économe des données, de respect de la finalité des traitements, ainsi que d'obtention préalable du consentement éclairé des intéressés.

Il s'agira également de renforcer les droits d'accès, de rectification, de suppression et de verrouillage des données, ainsi que de clarifier le «droit à l'oubli». Il est par ailleurs prévu d'étayer la mise en oeuvre du principe de «privacy by design» (luimême fondé sur le principe de l'utilisation économe des données) par des critères et définitions concrets et solides, d'encourager les initiatives en matière d'autoréglementation, d'assurer des formes de protection spécifiques pour les personnes exposées à des risques particuliers, notamment les enfants, ainsi que de définir des sanc11

12 13

14

Selon le principe de la protection intégrée de la vie privée (privacy by design), tous les éventuels problèmes relatifs à la protection des données doivent être repérés et contrôlés dès la phase de conception d'un nouvel outil ou système. Le but est d'éviter que des problèmes en lien avec la protection des données ne soient corrigés qu'ultérieurement, par le biais de programmes de correction.

JO L 281 du 23.11.1995, p. 31; cf. art. 20 de la directive 95/46/CE.

Communication de la Commission du 4 novembre 2010 au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», COM (2010) 609 final.

Cf. conclusions du Conseil «Justice et affaires intérieures» des 24 et 25 février 2011 (à télécharger sous: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/fr/jha/119462.pdf).

Cf. résolution du Parlement européen du 6 juillet 2011 sur une approche globale de la protection des données à caractère personnel dans l'Union européenne, P7_TA-PROV(2011)0323.

265

tions sévères et dissuasives en cas d'abus. Enfin, il s'agira de renforcer et d'harmoniser le statut et les pouvoirs des autorités nationales de protection des données, ainsi que d'étendre le champ d'application des dispositions générales de protection des données aux domaines de la coopération policière et judiciaire.

Du côté du Conseil de l'Europe, le 10 mars 2010, le Comité des Ministres a donné son aval15 aux travaux de modernisation de la Convention du 28 juin 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention no 108)16. Début 2011, le Conseil de l'Europe lançait une consultation publique concernant cette révision. Sur la base de ses résultats, le comité consultatif de la convention prépare des propositions qui devraient être soumises au Comité des Ministres d'ici à fin 2012. Ces travaux se font en coordination avec ceux en cours au sein de l'Union européenne, afin de garantir la cohérence entre les différents instruments juridiques. La révision de la Convention no 108 vise donc aussi à renforcer les droits des personnes concernées, en adaptant le texte aux développements technologiques et à la mondialisation des traitements de données.

Ce cadre devrait permettre d'intégrer dans la convention de nouveaux principes tels que celui de l'utilisation économe des données et celui de la protection intégrée de la vie privée (privacy by design), ainsi qu'un devoir de notification en cas d'abus. Il serait également possible d'étendre le devoir fait aux responsables du traitement d'informer les personnes concernées et les sanctions imposables en cas d'abus.

Enfin, il serait judicieux de repenser le régime des flux transfrontières, ainsi que les compétences des autorités de contrôle et du comité consultatif.

5

Conclusions et perspectives

5.1

Appréciation générale

L'évaluation montre que la LPD permet d'une manière générale d'atteindre les objectifs visés. Dans le cadre de ses possibilités, le PFPDT assure une protection efficace des personnes dont les données sont traitées, aussi bien pour ses activités de surveillance que par ses conseils et ses informations. Il suffit pour se rendre compte de l'efficacité des instruments à sa disposition d'examiner ses vérifications et ses recommandations relatives aux photographies de la voie publique publiées sur Internet17. Le constat fait par les auteurs de l'évaluation que les intéressés souhaiteraient certes protéger leur personnalité mais font trop souvent preuve de négligence ou se trouvent dépassés par les nouvelles possibilités d'échange d'informations devrait encore accentuer l'importance du PFPDT à l'avenir. Il ne faudrait par ailleurs pas sous-estimer l'importance des droits dont peuvent faire usage les personnes concernées, même si l'évaluation a montré que ces dernières ne recouraient que

15

16 17

266

Cf. décision du Comité des Ministres du Conseil de l'Europe du 10 mars 2010 «Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (STE no 108)».

RS 0.235.1 Après que la société Google n'eût pas suivi ses recommandations quant à une configuration de Street View conforme aux impératifs de protection des données, le PFPDT a porté le cas devant le Tribunal administratif fédéral, qui devait lui donner raison sur tous les points essentiels (cf. décision du Tribunal administratif fédéral du 30 mars 2011, TAF A-7040/2009). La société Google a fait appel devant le Tribunal fédéral, qui doit encore rendre son jugement.

rarement contre une décision. Dans certaines situations18, ces droits peuvent représenter un instrument précieux pour les personnes concernées et les aider à se prémunir efficacement des atteintes à leur personnalité. Dans la mesure où l'évaluation avait pour but d'examiner la neutralité technologique de la LPD et son organisation en tant que loi transversale, la validité des deux approches a été confirmée.

Si la LPD exerce un effet protecteur tangible, les menaces qui pèsent sur la protection des données se sont renforcées ces dernières années. Première raison à cela: l'évolution technologique et sociétale, qui s'est encore accélérée depuis l'entrée en vigueur de la loi il y a 20 ans. Ces changements ont multiplié les possibilités de collecter, de relier, de transmettre et d'exploiter des données à caractère personnel, aggravant d'autant les risques d'utilisation abusive. Il devient ainsi toujours plus difficile à chacun de garder le contrôle des traces qu'il laisse derrière lui, plus ou moins consciemment, dans les domaines les plus divers de la vie courante. Aux côtés de ces nouveaux risques pour la protection des données à caractère personnel, l'évolution technologique a toutefois aussi conduit à une augmentation massive de l'utilisation des technologies de l'information pour un usage quotidien, ne posant le plus souvent pas de problèmes particuliers.

Au vu de ces développements, le Conseil fédéral est d'avis qu'il faut examiner de manière approfondie dans quelle mesure il existe un besoin d'agir, et de quelle manière. Il convient selon lui de renforcer la protection des données, sans remettre en question pour autant ni la participation de la population, de l'économie et de la société aux nouvelles technologies de la communication, ni les progrès technologiques futurs. Si une meilleure mise en oeuvre de la loi suffit parfois à améliorer le niveau de protection (cf. ch. 5.3 ci-après), d'autres types de mesures nécessitent une adaptation de la LPD (cf. ch. 5.2 ci-après).

5.2

Mesures d'ordre législatif

5.2.1

Mesures à prendre au plan législatif et procédure à suivre

De l'avis du Conseil fédéral, il convient d'adapter la loi sur la protection des données aux rapides développements technologiques et sociétaux intervenus depuis son entrée en vigueur. Si l'évaluation montre que la loi permet en général d'atteindre les objectifs visés, elle ne suffit plus dans certains contextes à assurer une protection adéquate de la personnalité. Les changements intervenus sont de quatre ordres: 1. Le volume des données traitées a fortement augmenté, ce qui accroît d'autant le potentiel d'abus. 2. Aux traitements de données facilement identifiables s'en sont ajoutés d'autres, difficilement repérables tant par les personnes concernées que par le PFPDT; le caractère opaque de ces traitements empêche les intéressés de prendre les précautions nécessaires et l'organe de contrôle de remplir sa mission. 3. Avec la généralisation d'Internet entrent en scène de nombreux opérateurs privés agissant depuis l'étranger, ce qui leur permet de se soustraire aux interventions des intéressés comme du PFPDT. 4. A l'ère d'Internet, il est souvent impossible de garder le contrôle de ses données une fois qu'elles ont été rendues publiques, ce qui met à mal le droit à l'oubli et le droit à la rectification des données. Se fondant sur ces résul18

Pour des exemples concrets de recours introduits par les personnes concernées, cf. ch. 3.2.

267

tats, le Conseil fédéral examinera de manière approfondie les mesures législatives qui permettraient de contrer les nouvelles menaces qui pèsent sur la protection des données.

A cet égard, il tiendra compte des travaux en cours aussi bien au sein de l'UE que du Conseil de l'Europe concernant une révision des conventions relatives à la protection des données, qui devraient aboutir dans les deux à quatre ans. Alors que le Conseil de l'Europe travaille principalement au remaniement de la Convention no 108, que la Suisse a ratifiée, l'UE se penche actuellement sur la directive 95/46/CE. Une révision de cette dernière pourrait obliger la Suisse à intégrer rapidement les dispositions modifiées dans sa propre législation, en vertu de l'accord d'association à Schengen/Dublin. A l'instar des évaluateurs, le Conseil fédéral estime donc nécessaire de tenir compte des développements en cours au sein de l'UE et du Conseil de l'Europe dans la réflexion menée au plan national.

5.2.2

Objectifs des travaux de révision

De l'avis du Conseil fédéral, la révision de la LPD devrait avoir pour objectif principal d'adapter la loi aux développements technologiques et sociétaux intervenus depuis son entrée en vigueur. C'est pourquoi il entend axer sa réflexion sur les quatre problématiques centrales liées aux évolutions technologiques et sociétales en cours, soit 1. l'accroissement du volume des données traitées; 2. les traitements de données difficiles à reconnaître comme tels, aussi bien pour les intéressés que pour le PFPDT; 3. l'internationalisation croissante des traitements de données; 4. la difficulté toujours plus marquée à garder le contrôle de données une fois qu'elles ont été rendues publiques. Dans ce contexte, le Conseil fédéral souhaite examiner quelles mesures lui permettraient d'atteindre en particulier les objectifs suivants:

Assurer la protection des données plus en amont: une réflexion globale doit permettre de détecter les éventuels problèmes et d'y remédier dès la phase de conception des nouvelles technologies. L'idée est d'éviter que l'on se contente de corriger des problèmes après coup, avec des programmes de correction (approfondissement de la notion de protection intégrée de la vie privée). Il importe également de favoriser les technologies respectueuses de la protection des données.

Sensibiliser davantage les personnes concernées: les personnes concernées doivent être plus au fait des risques que représentent les nouvelles technologies pour la protection de la personnalité.

Améliorer la transparence: il convient d'améliorer la transparence des traitements de données, notamment dans les nouveaux contextes complexes dans lesquels ni les personnes concernées ni le PFPDT ne peuvent les identifier facilement. On veillera ce faisant à ne pas submerger les personnes concernées d'informations.

Améliorer le contrôle et la maîtrise des données: le contrôle et la maîtrise des données après leur divulgation est un aspect primordial. Ainsi, la possibilité de renforcer les mécanismes de contrôle à disposition du PFPDT et d'adapter aux développements technologiques les droits des personnes concernées devrait être analysée. On examinera par exemple dans ce cadre

268

un renforcement des voies de droit collectives ainsi qu'une précision du droit à l'oubli.

Protéger les mineurs: il faut tenir compte du fait que les mineurs ont une conscience moindre des risques et conséquences inhérents au traitement de données à caractère personnel.

Le Conseil fédéral veillera à englober dans sa réflexion les possibilités d'intervention qui n'auront pas été abordées durant l'évaluation, ou seulement de façon marginale. Il examinera notamment la répartition des compétences entre Confédération et cantons en matière de législation et de mise en oeuvre, thème sur lequel divers ouvrages scientifiques récents apportent un nouvel éclairage19. Il étudiera par ailleurs si et dans quelle mesure il est souhaitable de renforcer encore l'indépendance du PFPDT. Enfin, il s'intéressera à la possibilité d'étendre l'instrument de l'autoréglementation, en incitant les organisations sectorielles à élaborer des «règles de bonne pratique» qui seraient visées et approuvées par le PFPDT.

Ces objectifs coïncident dans une large mesure avec ceux des réformes en cours au sein de l'UE et du Conseil de l'Europe20. Par ailleurs, le Conseil fédéral veillera, en examinant les mesures législatives souhaitables, à tenir compte du fait que les mesures prises au titre de la protection des données peuvent entrer en conflit avec d'autres intérêts. C'est pourquoi il s'efforcera d'intégrer dans sa réflexion, aux côtés des impératifs de la protection de la personnalité, tous les autres intérêts touchés, dont ceux de l'économie, la liberté d'opinion et d'information, ainsi que d'autres intérêts publics et privés. Dans sa stratégie pour une société de l'information en Suisse, le Conseil fédéral évoquait déjà la nécessité de viser un maximum d'efficacité de la loi sur la protection des données, tout en respectant le principe de proportionnalité21.

5.3

Elargissement du rapport d'activité du PFPDT

Dans son rapport final daté du 10 mars 2011, l'équipe d'évaluation propose différentes améliorations à apporter à la documentation des activités du PFPDT22. Le PFPDT précise qu'il accorde une grande importance à la transparence de ses activités et que, conformément à l'art. 30 LPD, il informe régulièrement l'Assemblée fédérale et le public de ses constatations et recommandations. Il tirera parti de l'introduction du nouveau système de gestion des données GEVER23 pour étudier les moyens de mieux documenter ses différentes interventions dans le sens des recommandations émises par les experts. Les évaluateurs recommandent également au PFPDT de faire un pas de plus en dressant un bilan de ses activités et de ses 19

20 21

22 23

Cf. Stephan C. Brunner, Mit rostiger Flinte unterwegs in virtuellen Welten?, Leitgedanken zur künftigen Entwicklung des schweizerischen Datenschutzrechts, in: Jusletter 4 avril 2011, ch. 23 ss; Beat Rudin, Ein Datenschutzgesetz eine neue Aufsicht, Wege zur Verbesserung der Effizienz und Efffektivität des Persönlichkeits- und Grundrechtsschutzes, in: digma, cahier no 1, mars 2011, p. 18 ss.

Concernant l'état d'avancement des réformes au sein de l'UE et du Conseil de l'Europe, cf. ch. 4.

Stratégie du Conseil fédéral pour une société de l'information en Suisse, janvier 2006, p. 5; à télécharger sous: www.bakom.admin.ch > Thèmes > Société de l'information > Stratégie du Conseil fédéral.

Cf. rapport final d'évaluation de la loi fédérale sur la protection des données, p. 216 ss.

Le programme GEVER vise à moderniser l'activité de documentation et la gestion des informations au sein de l'Administration fédérale.

269

réussites, et en analysant les principaux développements et défis en matière de protection des données. Là aussi, le PFPDT estime tenir déjà largement compte de cette recommandation. Il est cependant disposé à compléter son rapport d'activité en conséquence.

6

Réponse partielle aux postulats Hodgers et Graber

L'évaluation visait entre autres à examiner les conséquences de l'évolution technologique pour la protection des données. Elle a conclu que les développements technologiques constituaient un défi pour la protection de la personnalité et des droits fondamentaux. Au ch. 5, le Conseil fédéral explique dans quelle mesure il considère que ces développements ont aggravé les risques de violation de la sphère privée. Il souligne ensuite la nécessité de réviser la LPD pour prendre en compte les nouvelles menaces, et esquisse la procédure à suivre. Par le présent rapport, il répond aux questions a) et d) du postulat Graber du 14 septembre 2010 (10.3651 «Atteintes à la sphère privée et menaces indirectes sur les libertés individuelles»).

L'évaluation et le présent rapport constituent par ailleurs une première base pour l'adaptation de la LPD, au sens du postulat Hodgers du 8 juin 2010 (10.3383 «Adapter la loi sur la protection des données aux nouvelles technologies») et de la question b) du postulat Graber. Comme précisé au ch. 5, le Conseil fédéral examinera de manière approfondie les mesures législatives qui permettraient d'adapter la LPD aux nouvelles menaces, en tenant compte des conclusions de l'évaluation, des intérêts qui vont à l'encontre de la protection des données ainsi que des développements au sein de l'UE et du Conseil de l'Europe. Les objectifs qui devraient à son sens guider les travaux de révision sont esquissés au ch. 5.2.2.

Concernant la question c) du postulat Graber, le Conseil fédéral retient ceci: conformément à l'art. 36, al. 1 à 3, Cst., une restriction des droits fondamentaux est admissible dès lors qu'elle est fondée sur une base légale, qu'elle est justifiée par un intérêt public reconnu et qu'elle est proportionnée au but visé. Toutefois, comme le précise l'art. 36, al. 4, Cst., l'essence des droits fondamentaux est inviolable. La reconnaissance de ce noyau dur d'un droit fondamental signifie que l'évaluation du caractère proportionné d'une intervention doit connaître des limites clairement définies et que toute restriction supplémentaire doit être évitée, indépendamment de la qualification de l'intérêt public et du caractère proportionné de l'intervention24.

La teneur du noyau dur ne découle toutefois pas de l'art. 36, al. 4, Cst., mais de l'analyse des droits fondamentaux,
même si l'on n'est pas sûr aujourd'hui que tous les droits fondamentaux aient un noyau dur25. Le droit à la protection des données est pour sa part garanti par l'art. 13, al. 2, Cst. comme relevant de la protection de la sphère privée. Malgré sa formulation étroite, l'al. 2 ne protège pas uniquement d'un emploi abusif des données, mais de toute restriction découlant du traitement de

24

25

270

Jörg Paul Müller, Allgemeine Bemerkungen zu den Grundrechten, in: Daniel Thürer/Jean-François Aubert/Jörg Paul Müller (éd.), Verfassungsrecht der Schweiz, Zurich 2001, p. 643.

Giovanni Biaggini, Commentaire de la Constitution, Bundesverfassung der Schweizerischen Eidgenossenschaft, Zurich 2007, p. 264.

données à caractère personnel par un organe étatique26. Il n'est pas possible de déduire de cette disposition constitutionnelle l'existence d'un noyau dur pour ce droit fondamental. D'ailleurs, ni la doctrine ni la jurisprudence ne l'ont fait jusqu'ici.

Le Conseil fédéral n'estime pas judicieux de définir dans la constitution le noyau dur du droit à la protection des données. Comme pour la plupart des autres droits fondamentaux, il vaut mieux laisser à la jurisprudence le soin de déterminer quelles sont les restrictions admissibles de ce droit.

26

Cf. ATF 128 II 259 268; Rainer J. Schweizer, art. 13, in: Die Schweizerische Bundesverfassung, Kommentar, Ed. Bernahrd Ehrenzeller et al., 2e édition, Zurich/St-Gall 2008, p. 324.

271

272