L’autodétermination informationnelle: le nouveau défi des droits humains?

Que l’on ouvre un compte en banque, s’inscrive sur un réseau social ou réserve un vol en ligne, nous communiquons tous des informations personnelles vitales telles que notre nom, adresse ou numéro de carte de crédit, sans parler de nos goûts et opinions. Mais où ces données vont-elles? Dans les mains de qui peuvent-elle tomber et à quelles fins? Autant de questions qui restent sans réponses pour l’immense majorité des utilisateurs du web.

Pourtant, la maîtrise des internautes de leurs propres données est un enjeu majeur de nos sociétés à l’ère du numérique ainsi qu’un vrai défi en matière de droits humains. Une réalité qui, sans être neuve, prend de l’ampleur en Europe et en Suisse autour du concept d’autodétermination informationnelle.

Qu’est-ce l’autodétermination informationnelle?

Bien que l’autodétermination informationnelle ne soit pas nommée telle quelle dans les textes, elle est de fait protégée sous le sceau de la protection des données. Pour beaucoup de spécialistes, le pas qui distancie la protection contre les abus de la libre utilisation des données personnelles devrait absolument être comblé dans un futur proche afin de garantir une réelle protection des données. Le droit de maîtriser l'ensemble des informations qui nous concernent sur le net va en effet plus loin que celui d'être protégé contre d'éventuels abus.

En attendant, l’on considère que l’autodétermination informationelle fait partie de la protection de la sphère privée, telle qu’elle est garantie par plusieurs textes nationaux et internationaux. La Constitution fédérale précise ainsi dans l’article 13 al.2 que «toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent». La Convention européenne des droits de l’homme protège également la sphère privée à son article 8 et la Déclaration universelle des droits de l’homme à l’article 12. 

Concrètement, il s’agit pour tout à chacun d’être maître des informations qui le concernent. Comme l’avait déjà résumé en 2013 pour la RTS la professeure de droit européen à Fribourg, Astrid Epiney, il s’agit de pouvoir «déterminer qui utilise des informations nous concernant, qui les propage et à quelles fins.» «Les gens n’ont, pour la plupart, pas la moindre idée de comment sont utilisées leurs données et, étant donné le nombre de données qui circulent et la taille des opérateurs, il est pour ainsi dire impossible de suivre cela réellement aujourd’hui», ajoutait la professeure, interviewée par humanrights.ch en mars 2015. 

L’autodétermination informationnelle est donc un droit qui concerne autant les relations entre l’Etat et les privés, notamment pour ce qui touche à la police et aux renseignements (voir notre article sur la protection des données digitales en Suisse) que les rapports entre privés, y compris avec les entreprises. L’Etat a, par ailleurs, l’obligation de protéger les privés contre une utilisation abusive de leurs données par des tiers. Cette protection passe par un cadre juridique, au niveau international et national. Un tel cadre reste cependant encore peu développé et laisse pour l’instant les internautes bien démunis vis-à-vis des fournisseurs de services internet. 

• L’autodétermination informationnelle
  Emission «On en parle» de la RTS, 6 juin 2013
• L'autodétermination en matière de données personnelle: un droit (plus si) fondamental à l'ère digitale ou un nouveau droit de propriété
  Article disponible en ligne rédigé par Alexandre Flueckiger dans Pratique juridique actuelle, 2013 (pdf, 29 p.)

Un enjeu de taille

Tant pour les droits humains…

Comme le souligne Astrid Epiney, «La protection des données et l’autodétermination informationnelle sont des conditions pour une démocratie libre, le maintien de l’état de droit et de la liberté d’expression». Le fait de ne pas savoir ce que deviennent les données qui nous concernent, y compris nos goûts, opinions et éléments du quotidien, amènent inquiétude et méfiance. D’après la Commission européenne, deux tiers (67 %) des Européens sont préoccupés de ne pas avoir l’entière maîtrise des informations qu’ils fournissent en ligne et sept Européens sur dix s’inquiètent de l’utilisation que les entreprises pourraient faire des informations qu'ils ont divulguées. Le risque est effectivement une forme d’autocensure et la disparition progressive de la pluralité nécessaire à toute société démocratique qui est dénoncé depuis plusieurs années déjà.

En effet, avec la numérisation, le volume des données en circulation ne cesse de croître. De plus, dans notre société de l’information mondialisée, il n’est plus guère possible de distinguer les communications au niveau national de celles au niveau international. Dans une étude publiée en octobre 2016, le Centre suisse de compétence pour les droits humains (CSDH) fait le point sur les obligations que les principes des droits humains imposent à la Suisse en ce qui concerne le droit au respect de la sphère privée à l’ère numérique.

• Le droit à l'autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l'importance de la vie privée pour la démocratie
  Article de Yves Poullet et Antoinette Rouvroy, octobre 2007
• Freiheit Gleichheit Datenschutz
  Contribution en allemand de Martin Schulz dans Die Zeit, 27 novembre 2015
• Droit à la sphère privée à l’ère numérique
  Article du CSDH, 18 octobre 2016

…Que pour l’économie

Sans oublier que cette situation s’inscrit aussi dans un contexte économique. A l’heure de l’économie numérique, les données numériques sont la source d’immenses revenus. Les pronostics annoncent qu’en 2020, la valeur produite par les données en Europe devrait atteindre 1000 milliards d’euros, soit 8% du PIB de l’UE. 

C’est donc sans surprise que la réforme, par ailleurs très attendue, de l’Union européenne pour la protection des données dans l’UE met en avant ces deux aspects, à savoir celui du droit fondamental de disposer librement de ses propres informations et celui de l’économie. Dans son communiqué de presse du 15 décembre 2015 annonçant l’adoption de cette fameuse réforme, la Commission européenne évoque son objectif sans ambiguïté: «construire dans l’UE une économie fondée sur les données, ouverte et prospère, qui respecte les normes de protection des données les plus strictes et ne comporte pas d’entraves injustifiées».

Le défi est donc de maintenir le droit fondamental des citoyen-ne-s à la protection des données alors même que celles-ci sont l’enjeu d’un juteux marché économique, dont les intervenants, autrement dit les prestataires, ne sont autres que des géants tels que Google, Facebook ou Twitter. Un défi de taille qui explique en partie le long processus d’adoption de la réforme, qui dure depuis des années et s’est terminé fin 2015 avec un accord politique entre la Commission, le Parlement et le Conseil. Elle s’accompagne au final d’avantages pour les grandes et les petites entreprises. 

• A qui profitent les clics?
  Le Temps, 24 août 2015
• Protection des données dans l’UE: l'accord sur la réforme proposée par la Commission va booster le marché unique numérique
  Communiqué de presse de la Commission européenne, 15 décembre 2015

Nouvelle réglementation au sein de l’Union européenne

La réforme, qui entrera en vigueur d’ici 2018, est composée de deux instruments. Un règlement général sur la protection des données et  une directive sur la protection des données.
La seconde vaut pour le secteur de la police et de la justice pénale. La directive garantira que les données des victimes, des témoins et des suspects soient dûment protégées dans le cadre d'enquêtes criminelles et d'autres actions des pouvoirs publics.
 
Le premier outil concerne en plus particulièrement l’autodétermination. Il permettra aux personnes physiques de mieux contrôler leurs données personnelles. Il s’agit notamment d’assurer un accès plus simple aux données personnelles, donnant davantage d’informations aux internautes sur la manière dont leurs données sont traitées et obligeant les prestataires à formuler ces informations de façon claire et compréhensible. Le droit à l’oubli devra lui aussi être plus clair. Les internautes devront également bénéficier du droit d’être informés en cas d’accès non autorisé à leurs données personnelles. Par exemple, les entreprises et organisations devront notifier rapidement à l’autorité nationale de contrôle les violations des données graves, afin que les utilisateurs/utilisatrices puissent prendre les mesures appropriées. 
Il s’agit dans tous les cas de mesures qui viennent renforcer les droits existants et les exigences vis-à-vis des entreprises web. 

• Réforme de la réglementation européenne en matière de protection des données
  Informations et suivi sur le site de la Commission européenne (en anglais)

Le Conseil de l’Europe au travail

Du côté du Conseil de l’Europe aussi, on travaille depuis des années sur le sujet. Les efforts se concentrent ici sur la modernisation de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Cette convention, ratifiée par la Suisse en 1997, est à ce jour le seul instrument juridique international contraignant qui existe en la matière. Créée en 1981, elle est cependant dépassée en bien des points, notamment concernant l’autodétermination informationnelle. Un des objectifs de la modernisation est en particulier de permettre aux personnes de mieux maîtriser les données qui les concernent et de garantir le respect de la dignité humaine lors du traitement de données personnelles. 
 
Le Bureau du Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel s’est réuni pour la dernière fois du 30 novembre au 2 décembre 2016. La dernière version du texte consolidé de la Convention date du 12 septembre 2016. Une fois la convention révisée adoptée par le Comité des ministres du Conseil de l’Europe, les Etats parties disposent de deux années pour ratifier la Convention dans sa nouvelle version.

• 40ème réunion du Bureau du Comité consultatif de la Convention 108 à Strasbourg du 30 novembre au 2 décembre 2016
  Informations et documentation sur le site du Conseil de l'Europe, 5 décembre 2016
• Modernisation de la Convention 108 (CAHDATA)
  Suivi sur le site du Conseil de l'Europe
• Modernisation de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108)
  Rapport de Jean-Philippe Walter, président du Comité consultatif (Convention 108), 24 janvier 2014 (pdf, 22 p.)
• L’autodétermination informationnelle à l’ère de l’Internet
  Rapport du Comité consultatif de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, 2004

Et en Suisse?

Les changements en marche sur le plan européen ont un impact sur la législation suisse. Tout d’abord, la Confédération est partie prenante à la Convention 108 du Conseil de l’Europe évoquée plus haut. Sa modernisation trouve écho en Suisse aussi, d’autant plus que le Conseil fédéral a déjà fait savoir, dans un communiqué de presse d’avril 2015, que «renoncer à ratifier la nouvelle convention aurait (…) des conséquences fâcheuses importantes sur le trafic international de données». Par ailleurs, la règlementation actuelle de l’Union européenne sur la protection des données fait partie de l’acquis Schengen-Dublin, qui lie la Suisse. C'est donc sans surprise que ces éléments sont pris en compte dans la révision de la Loi sur la protection des données entamée par le Conseil fédéral.

Dans son communiqué de presse du 21 décembre 2016, le Conseil fédéral a annoncé que son projet de révision de la Loi sur la protection des données (LPD) crée les conditions qui permettront à la Suisse de ratifier la convention du Conseil de l’Europe sur la protection des données dans sa version révisée et de reprendre la directive de l’Union européenne sur la protection des données en matière pénale. Ces modifications sont nécessaires pour préserver la libre circulation des données entre la Suisse et l’étranger.

C’est par ailleurs un Suisse, Jean-Philippe Walter, qui préside depuis 2010 le préside le Comité consultatif de la Convention 108 du Conseil de l'Europe.

• Renforcer le contrôle sur ses propres données et rendre leur traitement plus transparent
  Communiqué de presse du Conseil fédéral, 21 décembre 2016

L'heure est à la protection des données

Le climat est donc propice à la protection des données et à l'avènement de l'autodétermination informationnelle. Un constat que faisait déjà Hanspeter Thür, ancien préposé fédéral à la protection des données, lors de sa dernière année d’exercice en 2015. Dans plusieurs interviews, il rappelait que l’utilisation des grands moteurs de recherche et des réseaux sociaux n’est pas réellement gratuite. Les internautes échangent en réalité leurs informations personnelles contre l’utilisation des services internet des grands prestataires. Le problème est que cet échange manque de clarté pour les internautes et que le déséquilibre entre le fournisseur de service et l’individu est majeur. D’après l’ancien préposé à la protection des données, une des améliorations concrètes que devrait comporter la révision de la LPD pour garantir l’autodétermination serait d’obliger légalement les prestataires de paramétrer les fonctions basiques de leur logiciel de façon à ce que celles-ci prennent en compte la protection de la sphère privée au maximum. La question reste de savoir si la LPD ira réellement aussi loin. 

• «Privatsphäre wird zu einem Privileg»
  Interview en allemand de Hanspeter Thür dans la NZZ, 6 mars 2014

Révision de la Loi sur la protection des données

La révision de la LPD formulée par le Conseil fédéral va dans le sens demandé par l’ancien préposé aux données. Elle prévoit en effet l’obligation pour les exploitant de paramétrer des systèmes techniques de façon à garantir que, par défaut, seules les données personnelles nécessaires à la finalité du traitement sont traitées. Il renforce par ailleurs la transparence du traitement de données, en durcissant le devoir d’information des exploitants internet. Les utilisateurs devront notamment être informés dans certains cas lorsque le système d’exploitation va procéder à une récolte automatique de leurs données.
L'avant-projet élargit ainsi l'obligation d'informer des organes responsables du traitement des données, tout en précisant le droit à l'information des personnes concernées. Il renforce par ailleurs ponctuellement les compétences du Préposé fédéral à la protection des données en matière de surveillance. Ce dernier sera par exemple habilité à enquêter et à rendre une décision en cas de violation de la protection des données. Le volet pénal de la loi sera lui aussi renforcé. L’amende maximale en cas d’infraction sera relevée de 10'000 à 50'000 francs. Autre amélioration notable: le droit à l’oubli sera renforcé puisque la nouvelle loi devrait comporter de façon explicite le droits des individus à faire disparaître des données personnelles indésirables du net.

La révision totale de la LPD est en consultation depuis décembre 2016 et court jusqu'en avril 2017.

Activités parlementaires

Sur le plan parlementaire également, plusieurs objets ont été déposés. Une initiative parlementaire déposée par Fathi Derder (PLR/GE) en 2014, «Protéger l’identité numérique des citoyens», vise à inscrire à l’art. 13, al. 2, Cst. que les données numériques personnelles sont la propriété de la personne. Une autre initiative parlementaire encore plus explicite fait également son chemin sous la coupole. C’est celle de l’ancien député au National Daniel Vischer (PES/ZH): «Droit fondamental à l'autodétermination en matière d’information». Les deux initiatives ont rencontré l’aval des Commissions des institutions politiques du Conseil national et du Conseil des Etats et devraient donc passer devant les Chambres fédérales.

L'on aurait pu espérer voir ces deux objets se réaliser tout ou en partie dans la révision de la LPD, mais ce n'est pas le cas. Bien qu'il augmente la transparence en matière d'utilisation des données et le devoir d'information auprès des utilisateurs, le projet du Conseil fédéral ne codifie pas le droit à l'autodétermination informationnelle. Autrement dit, le changement de paradigme du droit des utilisateurs à se défendre contre d'éventuels abus au droit à maîtriser ses données n'est pas accompli. L'on ne voit de fait pas comment le Conseil fédéral peut affirmer dans son message sur la révision que la nouvelle LPD concrétise le droit à l'autodétermination informationnelle de l'art. 13 al. 2 Cst.

• Vers un renforcement de la protection des données
  Communiqué de presse de l'Office fédéral de la justice, 1er avril 2015
• Droit fondamental à l'autodétermination en matière d'information
  Initiative parlementaire 14.413, déposée par Daniel Vischer (ex PES/ZH) le 21 mars 2014 
• Protéger l'identité numérique des citoyens
  Initiative parlementaire 14.434, déposée par Fathi Derder (PLR/GE) le 20 juin 2014
• Daten sind Gold wert - doch für wen?
  Article en allemand de la NZZ, 1er février 2016 (pdf, 3 p.)
• Esquisse d’acte normatif relative à la révision de la loi sur la protection des données
  Rapport du groupe d’accompagnement Révision LPD (voir p. 27 tout en bas)