02/04/2015

Quelques préjugés sur la protection des données personnelles

Les données personnelles sont l’or du XXIème siècle dit-on. L’ancienne commissaire européenne à la protection des consommateurs Meglena Kuneva les considère à juste titre comme « le pétrole de l’Internet » et « la monnaie du monde digital ». S’il est difficile d’évaluer exactement leur valeur, il est possible de s’en faire une idée lorsqu’on constate la capitalisation boursière et le bénéfices des grandes entreprises de l’Internet, dont le capital est essentiellement composé… des données personnelles de leurs utilisateurs (obtenues souvent grâce à un « travail » gratuit de ces derniers). Par exemple, des chercheurs du McKinsey Global Institute ont évalué en 2011 que le big data générerait 300 milliards de USD de création de valeur rien qu’aux USA, un chiffre en augmentation de 40 MiaUSD par an ! En Europe, la valeur totale des données personnelles des consommateurs était évaluée à 315 milliards d’Euros en 2011 par le Boston Consulting Group, qui estimait que cette valeur pourrait atteindre 1000 milliards en 2020 !

Si les données personnelles ont autant de valeur, il est important que ceux qui les génèrent, vous, moi, tous les utilisateurs, en restent ou en (re)deviennent les maîtres. Cela passe d’abord par une prise de conscience de leur importance et de leur valeur. Or, de nombreux préjugés circulent à ce sujet. Ce billet a donc pour but d’en démystifier quelques-uns. Ce qui devrait aussi contribuer à renforcer l’évidence d’un renforcement de la loi sur la protection des données comme le préconise le groupe d’expert mandaté par le Conseil fédéral !

Mythe no 1 sur la protection des données : « Je m’en fiche qu’on collecte des données à mon sujet, car je n'ai rien à me reprocher, je n’ai rien à cacher ». Ça, c’est vous qui le dites. Ce n’est en effet pas l’avis de pas de celui dont les données sont collectées qui compte, mais c’est plutôt l’avis de celui qui les collecte. On ne sait jamais d’avance ce que ce dernier considère comme quelque chose « à cacher » ou « à se reprocher ». L’Affaire des fiches est un excellent exemple : les personnes fichées estimaient n’avoir rien à cacher ou à se reprocher (comment p. ex. se reprocher d’être de gauche quand on l’est ?), mais elles n’en ont pas moins été observées, surveillées, fichées et ont subi de nombreux désagrément, notamment professionnels. Bref, tant que vous ne savez pas ce que celui qui vous observe pourrait avoir à vous reprocher, impossible de savoir si vous n’avez vraiment « rien à cacher »…

Mythe no 2 : « Ça m'est égal qu’on collecte des données à mon sujet ». Vraiment ? Est-ce que ça m'est égal qu'on connaisse en détail ma solvabilité, mes orientations sexuelles, mon opinion politique, mon état de santé, mes liens familiaux, mes liens d’amitiés, mes loisirs (cf. mythe no 3) ? Est-ce que ça m’est égal qu’on collecte des données à mon sujet dans le but de me reprocher quelque chose que j’ignore (cf. mythe no 1) ? Et est-ce que ça m’est égal que des entreprises fassent d’énormes bénéfices avec MES données ? Moi pas.

Mythe no 3 : « Ils n'ont rien sur moi, je ne publie pas d'informations sensibles sur les réseaux sociaux ou ailleurs ». Voilà une des pires erreurs en matière de protection de la sphère privée : aujourd’hui il est possible de dresser des profils de personnalité extrêmement précis, donc contenant des informations aussi sensibles et privées que l’état de santé, l’orientation sexuelle, les opinions politiques, etc. non pas parce que les personnes en question auraient dévoilé elles-mêmes ces informations (p. ex. en le racontant sur les réseaux sociaux), mais à l’aide du « big data », c’est-à-dire l’analyse de données en très grand nombre. Mêmes inintéressantes à la base, ces données, p. ex. celles d’une carte de fidélité genre supercard ou cumulus, permettent de cerner très précisément notre personnalité, pour autant qu’elles soient disponibles en nombre suffisant (ce qui est de plus en plus souvent le cas) (cf. mythe 4). Par ailleurs on a récemment appris que Facebook collectait aussi des données… des personnes qui n’y sont pas inscrites !

Mythe no 4 : « J’ai une cumulus comme tout le monde. C'est pratique, j'aime qu'on me fasse des propositions ciblées. En outre, mes statistiques d’achat, ce ne sont pas des données sensibles ». Si seulement il ne s’agissait « que » de propositions ciblées sur les prochains achats au supermarché du coin ! Le problème, c’est que grâce au « big data », des données en soi inintéressantes comme des statistiques d’achat permettre de dresser un portrait précis des détenteurs de la carte, portrait qui peut aussi comprendre des aspects très intimes de leur personnalité n’ayant plus rien à voir avec de simples habitudes de consommation (cf. mythe no 3). Le scandale « Target » (que j’ai aussi évoqué à la tribune du Conseil national) est un exemple assez parlant des dérives auxquelles une « simple » carte-client peut mener.

Mythe no 5 : « La position de la gauche en matière de protection de la sphère privée est contradictoire, car elle est contre le secret bancaire ». Comme tous les droits fondamentaux, le droit à la sphère privée doit pouvoir être limité lorsqu’un intérêt public l’exige et que les règles strictes de l’art. 36 de la Constitution fédérale sont respectées. En matière de fraude et de soustraction fiscale, l’intérêt public à poursuivre les fraudeurs qui vivent au crochet des contribuables honnêtes est incontestable. La protection de la sphère privée (en l’espèce le secret bancaire) doit donc s’effacer devant cet intérêt public. Ce n’est donc pas contre la protection de la sphère privée bancaire que la gauche en a (au contraire, je la défends au même titre que la protection de la sphère privée en général), mais plutôt contre son usage abusif à des fins d’évasion fiscale. C’est d’ailleurs pour la même raison que je soutiens la révision de la Loi sur la Surveillance des Postes et Télécommunications (LSCPT), qui autorise des restrictions du droit à la sphère privée à des conditions strictes, en particulier un soupçon de crime grave et un contrôle judiciaire serré.

En outre, il est piquant de constater que certains élus PLR qui par ailleurs prônent la défense du secret bancaire en tant que moyen de protéger les fraudeurs… préconisent d’abaisser la protection des données en Suisse au niveau des USA (c’est par exemple le cas de mon collègue Ruedi Noser supra RTS la première ce matin). Or, la protection des données aux USA est notoirement insuffisante, à tel point que l’UE commence à remettre en cause l’accord « safe harbour » qui permet aux entreprises européenne d’échanger des données avec les USA malgré l’absence de protection légale.

Mythe no 6 : « Il faut vivre avec son temps, la fin de la sphère privée est inéluctable ». Pour ne pas s’embarrasser de protection des données, certains prédisent, voire postulent, la disparition pure et simple du concept de vie privée. C’est une grave erreur. D’une part, parce qu’il serait fatal de renoncer à un droit aussi fondamental que celui à la vie privée. Et d’autre part, parce que cela signifierait renoncer par avance à toute décision souveraine au prétexte que nous n’aurions pas les moyens de la faire appliquer (cf. mythe 7). Les pays (en particulier l’UE et espérons-le bientôt la Suisse) qui renforcent actuellement leurs lois en matière de protection des données ont au contraire bien compris que la disparition de la vie privée n’est pas inéluctable… pour autant que l’on agisse maintenant ! (Et d'ailleurs, si on n'agit pas, nos entreprises pourraient le payer cher, cf. mythe no 8.)

Mythe no 7 : « Renforcer la protection des données en Suisse ne sert à rien, les entreprises sont toutes aux USA et ne respectent pas notre droit ». Et bien non, l’arrêt du Tribunal Fédéral « Google Street View », que Google a respecté, montre qu’il est possible de faire appliquer le droit suisse à une entreprise qui n’y a pas son siège. Prétendre le contraire, c’est renoncer avance à sa souveraineté. Et même si une entreprise qui viole la protection des données en Suisse n’y a ni siège, ni succursale, il doit être possible de la sanctionner. Il suffit d’un peu de bonne volonté. Par exemple, il est toujours possible de trouver, en Suisse ou dans un pays qui accord la réciprocité du droit, un bien à saisir pour régler une amende.

Mythe no 8 : « La protection des données, ce n’est que de la bureaucratie qui entrave la bonne marche des entreprises ». Au contraire, une protection des données fortes est devenu un avantage concurrentiel pour notre pays, et le sera de plus en plus à l’avenir. Tout d’abord, parce que notre pays à tout à gagner à continuer à se positionner en pays leader en la matière. De nombreuses entreprises de stockage de données ou de cloud s’installent en effet en Suisse, car elles savent qu’ici, la protection des données est prise au sérieux et que les services secrets ne peuvent pas venir fouiner à leur guise. Par exemple, l’Association Suisse des Télécommunications (ASUT) rapporte dans son récent bulletin que la forte protection de la sphère privée est un avantage concurrentiel décisif pour notre pays. Comme de nombreux autres pays tentent de se gagner des parts de marché, il est important de continuer à renforcer notre législation pour rester dans le peloton de tête. Mais il s’agit aussi d’éviter de se retrouver dans le camp des pays considérés comme « peu sûrs » en la matière : L’UE va renforcer ses standards et si les nôtres restent en retrait, il y a un risque que l’UE ordonne à toutes les entreprises qui y sont actives (parmi lesquelles de très nombreuses entreprises helvétiques)… de stocker leurs données dans l’UE et plus en Suisse. Une catastrophe pour l’emploi. Renforcer la protection des données n’est donc pas seulement bon pour la population, mais aussi pour l’économie.

17/09/2014

"Control by design": Renforcer les droits de propriété pour empêcher les connexions indésirables.

Les objets connectés – l’«internet des objets» – connaissent un essor sans précédent. De nombreux objets de la vie quotidienne peuvent ainsi être connectés à internet, aux réseaux de téléphonie ou à d’autres réseaux. Parfois, ils le sont par défaut, sans que leur propriétaire n’en sache rien, voire, en ayant été informé, ne puisse supprimer une connexion indésirable. Les objets connectés sont très divers: Outre les téléphones intelligents, on trouve par exemple des ustensiles électroménagers (sèche-cheveux, frigo), des véhicules, des bâtiments ainsi que des lunettes multifonctions (p. ex. Google Glasses). Les dérives potentielles de cette connectivité permanente sautent aux yeux: les appareils connectés peuvent échanger des données à l’insu de leur propriétaire, indiquer leurs positions, et renseigner sur la façon dont ceux-ci s’en servent, renseignements qui permettent alors à celui qui traite les données d’établir des profils de personnalité extrêmement précis. Par exemple, un scandale a éclaté lorsqu’il a été rendu public que l’entreprise Apple récoltait les données concernant tous les déplacements des propriétaires d’iPhones, fonction qu’il n’est possible de supprimer qu’après de longs et fastidieux réglages de l’appareil. Plus récemment deux chercheurs en sécurité de la société Qualys ont, lors de la conférence spécialisée dans le piratage informatique Hack in the Box qui s’est déroulée à Amsterdam les 10 et 11 avril derniers, démontré que la sécurité de la plupart des caméras de surveillance est très lacunaire et qu’il est facile, pour un pirate informatique, de prendre le contrôle des réseaux des bâtiments où elles sont installées, et par conséquent des bâtiments eux-mêmes.

Dans bien des cas, la connexion des objets est utile et souhaitée par les utilisateurs. Il peut toutefois arriver qu’ils ne souhaitent pas que l’objet dont ils sont propriétaire puisse échanger des données ou signaler sa position. Ils peuvent aussi souhaiter interrompre temporairement ou définitivement toute connexion. S’il est en général possible d’empêcher toute connexion indésirable, cela peut être au prix de nombreux efforts, car les fabricants ont tendance à camoufler les connexions par défaut et à soumettre toute tentative de déconnexion à des démarches techniques aussi ardues qu’opaques. Parfois, il n’est carrément pas possible d’empêcher que l’objet soit connecté. L’acheteur n’a en général pas de pouvoir sur le marché suffisant pour s’opposer à cette connectivité permanente, qui a tendance à devenir la norme pour tous les objets connectés. A terme, elle pourrait même devenir la norme pour tous les objets.

C’est une atteinte grave aux droits de propriété, qui donnent pourtant au propriétaire «le droit d'en disposer librement, dans les limites de la loi» (art. 641 al. 1 CC) et de «la revendiquer contre quiconque la détient sans droit et repousser toute usurpation» (art. 641 al. 2 CC).

Toutefois, la doctrine considère que la connectivité des objets ne fait pas partie des droits de propriété, mais sont plutôt une question de propriété intellectuelle, de protection des données et de protection de la personnalité.

Je propose donc de préciser les droits des propriétaires en leur conférant, au moment où ils en acquièrent la propriété, un droit inaliénable de pouvoir déconnecter les choses qui leur appartiennent et, au cas où ils acceptent la connexion, de pouvoir déterminer quelles données sont transmises à des tiers. Ce droit de refuser toute connexion doit aussi pouvoir être exercé après le transfert de la propriété. En conséquences, toute chose devra désormais être conçue de telle manière que la déconnexion soit possible en tout temps (contrôle dès la conception, control by design).

Le concept de contrôle dès la conception doit également bénéficier au possesseur, afin d’éviter que ceux qui souhaitent contourner le renforcement des droits du propriétaire ne transmettent les objets connectés non pas par contrat de vente, mais p. ex. par location ou leasing. Cela n'exclut cependant pas de permettre de sauvegarder les droits du propriétaire s’il a un intérêt prépondérant à ce que l’objet dont il accorde la possession à quelqu’un d’autre reste connecté.

J'ai donc déposé aujourd'hui un postulat demandant au conseil fédéral d'évaluer l’introduction du «contrôle dès la conception» (control by design) dans la législation, afin que le propriétaire ou possesseur d’une chose bénéficie du droit de s’opposer à la connexion de ladite chose à un quelconque réseau. Cela pourrait notamment passer par une adaptation du droit du transfert de la propriété et de la possession et/ou de la protection des données.

27/05/2014

La loi sur la surveillance des télécommunications (LSCPT) n'est pas le prélude à l'Etat founieur

Les quasi-totalité des jeunesses de partis ont annoncé leur intention de combattre «par tous les moyens» la révision de la Loi sur la surveillance des télécommunications (Loi sur la surveillance des communications par poste et télécommunication LSCPT; BÜPF en allemand). Elles craignent «un Etat fouineur» doté de moyens démesurés. Il faut dire que dans le contexte du scandale des révélations de M. Snowden à propos de la NSA, il y a de quoi s’alarmer. Lors de la consultation et au moment où le message du Conseil fédéral a été publié, j’étais plus ou moins du même avis. Mais je me suis penché en détails sur le dossier, que ma commission s’apprête à traiter, et suis parvenu à la conclusion que cette nouvelle loi n’est pas un premier pas vers une surveillance généralisée par l’Etat, ni le prélude à l’espionnage politique à grande échelle, détestable spécialité suisse connue depuis l’affaire «des fiches». Au contraire, cette nouvelle loi ne fait qu’adapter aux évolutions technologiques les instruments des autorités de poursuite pénale, tout en respectant strictement les droits fondamentaux et la protection des données. Il ne faut en outre pas confondre cette loi avec la révision de la loi sur le renseignement (LRens), qui, elle, vise à doter une poignée de barbouzes mal contrôlables et mal contrôlés de possibilités de surveillances trop étendues, utilisables en Suisse et à l’Etranger. J’enterai donc en matière sur la révision de la LSCPT et devrais en principe l’accepter en vote final.

Objectifs de la révision de la LSCPT

La loi sur la surveillance des télécommunications date de l’époque où celles-ci ne se faisaient que par poste ou par téléphone. Elle n’est donc pas adaptée aux nouvelle technologies, ni actuelles, ni futures. La révision a donc pour objectif de permettre la surveillance indépendamment de la technologie utilisée, tout en garantissant à chaque fois un respect optimal des droits de la défense ainsi que la protection des données.

La nouvelle LSCPT permet ainsi aux autorités de poursuite pénales d’avoir accès à certaines communications aujourd’hui cryptées, comme la téléphonie par internet de type skype. Les criminels savent qu’actuellement, ces communications ne peuvent être surveillées, et exploitent cette faille.

Mais il ne s’agit pas d’utiliser ces nouveaux instruments de surveillance pour n’importe quoi ni à n’importe quelle condition. L’art. 1er al. 1 du projet de nouvelle LSCPT est d’ailleurs clair et net:

La présente loi s'applique à la surveillance […] qui est ordonnée et mise en œuvre:
a. dans le cadre d'une procédure pénale;
b. lors de l'exécution d'une demande d'entraide judiciaire;
c. dans le cadre de la recherche de personnes disparues;
d. dans le cadre de la recherche de personnes condamnées à une peine privative de liberté ou qui font l'objet d'une mesure entraînant une privation de liberté.

On le constate, il n’est ici pas question de surveillance de masse ou de soupçons généralisés à l’encontre de la totalité de la population.

Droits fondamentaux et protection des données garantis

Le projet garantit que les droits de la défense soient respectés et que l’utilisation de méthodes de surveillance électronique invasives, actuellement utilisées sans base légale, comme les «chevaux de Troie» (GovWare) ou les dispositifs spéciaux de surveillance (IMSI-Catcher) ne se fassent qu’au cas où d’autres méthodes seraient inutiles ou n’auraient rien donné (respect du principe de la proportionnalité). Dans tous les cas, c’est un tribunal qui autorisera ou non le procureur à mener ce genre d’investigation. Il ne pourra le faire que pour une liste de délits graves bien définis (cf. art. 269, 269bis et 269ter P-CPP) et ce dans un but non préventif, mais bien répressif (l’infraction a été commise et il s’agit d’en découvrir l’auteur). Impossible donc de recourir à la surveillance électronique de masse pour des délits bénins, d’aller à la pêche aux informations sur des simples citoyens ou pour mener du profilage politique comme pour les fiches. Enfin, c’est important, une information qui n’aurait pas été obtenue dans les règles ne serait pas utilisable dans une procédure pénale. Ainsi, même s’il venait à l’idée d’un procureur de demander une surveillance non ciblée et sans nécessité impérieuse (et à un juge de l’autoriser), les informations obtenues ne pourraient être utilisées contre les victimes de la surveillance abusive, ni conservée, même en vue d’autres procédure (même non abusives). Les garanties minimales contre les abus de pouvoir que la loi doit, au sens de l’art. 8 CEDH (respect de la vie privée), prévoir sont les suivantes: la nature des infractions susceptibles de donner lieu à un mandat d’interception, la définition des catégories de personnes susceptibles d’être mises sur écoute, la fixation d’une limite à la durée de l’exécution de la mesure, la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies, les précautions à prendre pour la communication des données à d’autres parties et les circonstances dans lesquelles peut ou doit s’opérer l’effacement ou la destruction des enregistrements (Cf. les arrêts de la CEDH Kopp c. Suisse du 25 mars 1998, § 64, Liberty et autres c. Royaume-Uni du 1er octobre 2008 cités en p. 2482 du message sur la LSCPT). Ces conditions sont satisfaites par la nouvelle LSCPT.

La protection des données serait en outre garantie tout au long de la procédure de surveillance; Le Préposé fédéral à la protection des données et à la transparence, qui a assisté aux travaux de la commission des Etats n’a rien trouvé à redire au niveau de la protection des données, qui a été nettement améliorée depuis l’avant-projet de LSCPT, à juste titre très critiqué lors de la consultation.

En outre, le service en charge de la surveillance des télécommunications sera mieux encadré et contrôlé, et il sera possible de faire recours contre ses décisions. Le service aura d’ailleurs la possibilité d’examiner lui-même au plan matériel la validité des ordres de surveillance qui lui seront donnés.

Améliorations possibles

Mon soutien de principe à la nouvelle LSCPT ne signifie cependant pas le projet soit parfait. A mon avis, deux améliorations à la mouture acceptée par le Conseil des Etats sont nécessaires: 1. diminution de la durée de conservation des données dites secondaires (qui a contacté qui quand et comment) de 12 à 6 mois (notamment en lien avec cet arrêt de la Cour de Justice de l’Union Européenne, commenté ici et ) et 2. report des frais (en tout cas en partie) sur les opérateurs de télécoms, afin d’éviter que les autorités de poursuite pénale doivent renoncer à des investigations pour cause de budget épuisé. Enfin, la version actuelle de la loi constitue un standard minimum en-dessous duquel je refuserai d’aller. Si le Conseil national affaiblit les droits de la défense et la protection des données, je passerai dans le camp du refus.

Ne pas se tromper de combat!

Cela dit, une vigilance face aux velléités ultra-sécuritaires et bigbrotheresques reste de mise. Le scandale de la NSA le rappelle. Cette vigilance est de mise en ce qui concerne la LSCPT, mais force est de constater que cette loi respecte les droits fondamentaux et ne conduit en aucun cas à une surveillance généralisée ni n’encourage un Etat founieur. C’est plutôt contre la LRens qu’il faut cristalliser la contestation. En effet, si les règles de la procédure pénale qui régissent une surveillance policière permettent en général d’éviter les abus, il est en revanche douteux, voire dangereux, de confier autant de pouvoir à un service de renseignement qu’on sait mal contrôlé et qui a pour vocation d’agir dans l’ombre, si ce n’est en dehors des procédures de l’Etat de droit.

 

 *   *   * 

Sur le même sujet, cet excellent billet de François Charlet.