Retour à l'aperçu

8. Regard externe

Le rapport d’activités comprend également un regard externe sur le champ d’activités de l’AS-Rens. Dans le cadre du thème principal du rapport d’activités de cette année, à savoir les systèmes d’information, Adrian Lobsiger présente son point de vue sur la question.

Chances et risques de « l’évolution des mentalités » dus à la transformation numérique

Suite au « scandale des fiches » en 1989, la population suisse a brusquement perdu confiance dans la protection de l’État. Après avoir fait toute la lumière sur le traitement des données, appelé « fichage », par la police fédérale (alors connue sous l’acronyme allemand « Bupo » pour Bundespolizei), les politiques ont exigé une séparation des multiples tâches de cette autorité de sécurité. Le Conseil fédéral et le Parlement, en conflit avec les partisans d’une initiative visant à supprimer complètement la protection de l’État, qui n’était jusqu’alors réglementée que de manière rudimentaire, ont mis en route un processus de codification de celle-là. Une première votation populaire en 1998 a tout d’abord permis la poursuite de l’activité de protection de l’État, désormais formellement réglementée par la loi. En 2016, un deuxième référendum ouvre la voie à l’adoption de l’actuelle loi fédérale sur le renseignement (LRens) et autorise désormais le Service de renseignement de la Confédération (SRC) à recourir à des moyens coercitifs pour collecter des données personnelles, mesure généralement exécutée secrètement et à l’insu des personnes concernées. Cet abandon de l’interdiction initiale de recourir à la contrainte a notamment incité le législateur à créer une autorité de surveillance spécialisée indépendante qui se consacre exclusivement au SRC.

Même si les avis divergent toujours quant à la surveillance par le SRC, les opposants doivent aussi admettre que, depuis l’entrée en vigueur de la LRens, le traitement des données par la protection de l’Etat s’appuie sur une base légale suffisamment déterminée et claire du point de vue de la systématique juridique. En revanche, par rapport au traitement de données personnelles également très sensible qui émane d’autres autorités de sécurité de la Confédération, le but d’une codification compréhensible par les citoyens est encore loin d’être réalisée. Ainsi, le traitement des données par fedpol et le Corps des gardes-frontière découle d’une multitude de dispositions spéciales mal coordonnées du point de vue de la systématique juridique, en constante augmentation.

La représentation du traitement des données personnelles dans la loi, intelligible pour les citoyens, est encore compliquée par les vastes projets de transformation numérique qui ont été entrepris entre-temps au sein des autorités de sécurité de la Confédération. Comme ces projets peuvent entraîner des modifications importantes des processus de traitement des données personnelles, la surveillance fédérale de la protection des données veille à ce que ces processus soient entièrement recensés dès le stade de la planification au moyen d’analyses d’impact sur la protection des données, et à ce que leurs conséquences sur la sphère privée de la population soient analysées.

Dans sa stratégie de transformation numérique de l’administration, le Conseil fédéral revendique une « évolution des mentalités » qui remet en question les formes traditionnelles de cohabitation et de gestion. Une évolution qui développe des compétences numériques permettant la mise en réseau ainsi que le partage de données entre tous les acteurs. Les mots suscitent des images. C’est pourquoi certains promoteurs du changement numérique voient dans leur esprit un cloud dont les corps de police, les gardes-frontière et les services de renseignement se serviraient pour le bien de celles et ceux qui respectent la loi et n’ont rien à cacher.

Pour les partisans de cette vision, aux antipodes figure le maintien réprouvé des données dans ce qu’ils appellent des « silos », qui représentent les vestiges d’une pensée dépassée et que certains d’entre eux attribuent volontiers au stéréotype d’une protection des données qui favorise les auteurs de crimes au lieu de protéger les citoyens. Ces visionnaires désapprouvent également le fait que les cantons entretiennent des corps de police qui traitent les données personnelles qui y sont produites sous leur propre responsabilité et ne les partagent en général avec d’autres autorités de sécurité que sur demande. Ils reprochent aussi à la Confédération de répartir ses forces de police entre trois offices. En tant que détracteurs jurés des silos de données, ils voient dans cette réalité un problème qu’ils encouragent à éliminer, en mettant en réseau toutes les autorités de sécurité dans la mesure de ce qui est techniquement possible.

Quiconque fait abstraction des faits historiques qui ont incité les constituants à organiser les collectivités publiques de manière fédérale et à répartir le pouvoir de l’État central peut, en effet, avoir du mal à interpréter rationnellement la complexité des flux de données des autorités de sécurité. Une réflexion historique permet en revanche de comprendre que le système de sécurité intérieure de la Suisse est issu d’une succession de décisions de ses institutions politiques, que le peuple a l’habitude d’influencer directement par des référendums. C’est ce qui s’est passé, par exemple, en 1978 avec le succès du référendum contre la création d’une police fédérale de sécurité, qui peut être compris encore aujourd’hui comme un veto jamais révoqué contre une autorité centrale de sécurité au niveau de la Confédération.

Une « nouvelle mentalité et manière de penser », qui considère la mise à disposition numérique des données personnelles comme la mesure de toute chose et qui occulte les concepts politiques de limitation du pouvoir de l’État, n’est pas progressiste, mais rétrograde. Elle ramène à l’État policier qui a été aboli avec le dépassement des aristocraties absolutistes par les mouvements révolutionnaires des 18e et 19e siècles. La division de l’appareil de pouvoir omnicompétent de l’Ancien Régime en offices spécialisés a largement contribué à transformer l’État policier en service public et les sujets en citoyennes et citoyens conscients de leur valeur, qui exigent des offices spécialisés des prestations professionnelles et discrètes en échange des taxes versées.

Le professionnalisme exigé de l’administration en tant que fournisseur de prestations implique depuis lors que ses services spécialisés ne partagent les données des citoyens qu’ils produisent avec d’autres services que dans le cadre de procédures légales. Le fait que l’administration fédérale traite aujourd’hui les données de manière à les rendre lisibles par machine et à en permettre une utilisation interdisciplinaire peut également être considéré comme une expression de professionnalisme. Il en va de même lorsqu’elle saisit des données de base et des attributs personnels selon le principe « once only » et qu’elle les gère en utilisant des identifiants uniformes tels que le numéro AVS. La protection des données ne s’oppose pas à de telles étapes de numérisation visant à accroître l’efficacité du service public, d’autant plus qu’elles peuvent également contribuer à améliorer la qualité des données.

En revanche, quiconque chercherait à créer, par le biais d’interconnexions non transparentes, une sorte de cloud dans lequel les autorités de sécurité, l’inspection des impôts et d’autres services de l’administration restrictive pourraient puiser toutes les données générées par les échanges entre la population et l’administration en tant que fournisseur de prestations naviguerait sur une trajectoire conflictuelle avec la protection des données. Une telle pêche aux données ébranlerait rapidement la confiance des citoyennes et des citoyens dans le rôle de l’Etat en tant que service public et garant de l’État de droit. Pour éviter cela, la surveillance fédérale de la protection des données exige des responsables de projets de transformation numérique qu’ils déclarent dans les analyses d’impact sur la protection des données l’étendue et l’intensité d’un futur traitement de données ainsi que le cercle des services autorisés à y accéder, et qu’ils les comparent avec le statu quo. Si des extensions et des intensifications du traitement actuel des données personnelles sont envisagées, elles doivent être justifiées.

Les offices fédéraux rétorquent parfois au préposé que les projets de transformation numérique doivent être planifiés de manière « agile » en raison de la rapidité des progrès techniques et qu’il ne serait donc pas possible de délimiter définitivement les traitements futurs ni de les comparer à un statu quo. De tels raisonnements sont intenables. Ils reviennent à donner une autorisation générale à l’administration, car ni les organes politiques, qui doivent assumer la responsabilité politique des interventions des autorités dans la sphère privée de la population, ni le grand public ne peuvent évaluer les risques « agiles ». Dans sa pratique, le préposé est régulièrement amené à faire en sorte que les analyses d’impact relatives à la protection des données soient précisées et complétées avant que leurs résultats ne soient intégrés dans les messages par lesquels le Conseil fédéral propose au législateur d’adapter les actes législatifs relatifs à la sécurité.

Au vu de ces défis, le préposé s’estime heureux que son travail dans le domaine du renseignement soit complété par l’autorité indépendante de surveillance du SRC.

Adrian Lobsiger(*1959)

Après ses études à Berne et Bâle, Adrian Lobsiger, né le 27.12.1959, a obtenu un master en droit européen à Exeter (GB). En 1992, titulaire d’un doctorat en droit, il a commencé à travailler à l’Office fédéral de la justice dans le domaine du droit privé international. En 1995, il est entré à l’Office fédéral de la police (fedpol), où il devient directeur suppléant.

Adrian Lobsiger a été élu par le Conseil fédéral au poste de Préposé fédéral à la protection des données et à la transparence (PFPDT) en novembre 2015 et confirmé par le Parlement en mars 2016. Il est en fonction depuis juin 2016. Lors de sa séance du 10 avril 2019, le Conseil fédéral a confirmé la réélection d’Adrian Lobsiger au poste de PFPDT pour un second mandat arrivant à terme à fin 2023.

 

Retour à l'aperçu

Chapitre suivant

Chiffres clés au 31 décembre 2021

Plus d'info