28/11/2016

Le PLR (fait semblant de) s’intéresse(r) au numérique.

Quand j’ai appris que le PLR allait adopter une prise de position consacrée aux défis du numérique et de la digitalisation de l’économie, je me suis réjoui de pouvoir en débattre. En effet, il était temps que ce parti de gouvernement se penche enfin sur ces questions importantes, même si c’est un an après le PS, qui a adopté un vaste papier de position sur les questions politiques liées à internet en décembre 2015.

Mais, à la lecture de cette prise de position, quelle déception ! Non pas pour des questions de fond. Au contraire, j’aurais adoré quelques propositions bien tranchées sur lesquelles le débat aurait été possible. Et certainement passionné.

Mais ce débat n’aurait pu avoir lieu que si le papier du PLR avait eu un tant soit peu de substance. Or, le PLR a fait preuve d’un inquiétant dilettantisme : à part une resucée de ses habituels mantras bureaucratie-innovation-start-up-flexibilité-etpatatietpatata, le PLR n’apporte rien de nouveau au débat sur les enjeux du numérique. Pis, il passe totalement à côté des grands débats qui font actuellement rage dans le monde entier. Le big data ? Pas un mot. La cryptographie des courriels et l’affaire « apple vs. FBI » ? Rien. La technologie du blockchain et les crypto-monnaies comme le Bitcoin ? Une seule phrase, et encore, c’est pour dire une bêtise en parlant de « monnaie résistante à l’inflation ». La propriété des données personnelles ? Nada.

D’autres sujets qui font actuellement débat lorsque l’on parle de digitalisation ne sont abordés que brièvement, sans que l’on puisse savoir ce que le PLR en pense vraiment. La neutralité du net ? Le PLR ne veut pas de loi, mais il ne dit pas pourquoi. Est-ce parce qu’il se satisfait de la solution de branche qu’on trouvée les opérateurs de télécoms ? Est-ce parce qu’il est opposé au concept même de neutralité du net ? Et si oui, pourquoi, étant donné que d’un point de vue libéral, la neutralité du net est tout à fait défendable, comme le serait la législation contre les cartels… Plus loin, le PLR exige une introduction à l’échelle nationale du vote électronique. Mais il ne dit pas comment, ni ne prend position sur les grandes questions actuelles en matière de e-voting : transparence du système, propriété publique, logiciel suisse ou étranger… Pourtant, ces points font l’objet de vifs débats au parlement fédéral, mais impossible de savoir ce que le PLR en pense…

La prise de position est aussi remplie de contradictions. Ainsi, le PLR veut que les collectivités publiques investissent dans la formation, la recherche et l’innovation… mais, au Parlement fédéral, il coupe dans ces budgets. Il exige aussi la refonte de la loi sur la protection des données dans une loi-mammouth contenant la loi sur les télécommunications et la loi sur la radio-TV. Mais, se rappelant soudain sa haine de la « bureaucratie », il exige que cette loi mastodonte soit « svelte et libérale ». Sans expliquer comment rendre cette exigence compatible avec son autre revendication (que je partage), de faire en sorte que « la Suisse reste une place attractive pour la sauvegarde » des données personnelles. Bref, d’un côté, le PLR veut affaiblir la protection des données, tout en positionnant la Suisse comme coffre-fort numérique. Sans oublier qu’il ne pipe mot des discussions qui ont actuellement lieu dans l’UE, sur le résultat desquelles la Suisse n’aura pas d’autre choix que de se positionner.

Au final, ce papier de quatre pages (à comparer aux 21 de la prise de position du PS sur le numérique…) ne sert qu’à rappeler les revendications habituelles du PLR : plus de flexibilité, moins de protection des travailleurs, plus de libéralisme. Quant à savoir ce que veut vraiment le PLR en matière de digitalisation, ce sera peut-être pour une autre fois !

02/04/2015

Quelques préjugés sur la protection des données personnelles

Les données personnelles sont l’or du XXIème siècle dit-on. L’ancienne commissaire européenne à la protection des consommateurs Meglena Kuneva les considère à juste titre comme « le pétrole de l’Internet » et « la monnaie du monde digital ». S’il est difficile d’évaluer exactement leur valeur, il est possible de s’en faire une idée lorsqu’on constate la capitalisation boursière et le bénéfices des grandes entreprises de l’Internet, dont le capital est essentiellement composé… des données personnelles de leurs utilisateurs (obtenues souvent grâce à un « travail » gratuit de ces derniers). Par exemple, des chercheurs du McKinsey Global Institute ont évalué en 2011 que le big data générerait 300 milliards de USD de création de valeur rien qu’aux USA, un chiffre en augmentation de 40 MiaUSD par an ! En Europe, la valeur totale des données personnelles des consommateurs était évaluée à 315 milliards d’Euros en 2011 par le Boston Consulting Group, qui estimait que cette valeur pourrait atteindre 1000 milliards en 2020 !

Si les données personnelles ont autant de valeur, il est important que ceux qui les génèrent, vous, moi, tous les utilisateurs, en restent ou en (re)deviennent les maîtres. Cela passe d’abord par une prise de conscience de leur importance et de leur valeur. Or, de nombreux préjugés circulent à ce sujet. Ce billet a donc pour but d’en démystifier quelques-uns. Ce qui devrait aussi contribuer à renforcer l’évidence d’un renforcement de la loi sur la protection des données comme le préconise le groupe d’expert mandaté par le Conseil fédéral !

Mythe no 1 sur la protection des données : « Je m’en fiche qu’on collecte des données à mon sujet, car je n'ai rien à me reprocher, je n’ai rien à cacher ». Ça, c’est vous qui le dites. Ce n’est en effet pas l’avis de pas de celui dont les données sont collectées qui compte, mais c’est plutôt l’avis de celui qui les collecte. On ne sait jamais d’avance ce que ce dernier considère comme quelque chose « à cacher » ou « à se reprocher ». L’Affaire des fiches est un excellent exemple : les personnes fichées estimaient n’avoir rien à cacher ou à se reprocher (comment p. ex. se reprocher d’être de gauche quand on l’est ?), mais elles n’en ont pas moins été observées, surveillées, fichées et ont subi de nombreux désagrément, notamment professionnels. Bref, tant que vous ne savez pas ce que celui qui vous observe pourrait avoir à vous reprocher, impossible de savoir si vous n’avez vraiment « rien à cacher »…

Mythe no 2 : « Ça m'est égal qu’on collecte des données à mon sujet ». Vraiment ? Est-ce que ça m'est égal qu'on connaisse en détail ma solvabilité, mes orientations sexuelles, mon opinion politique, mon état de santé, mes liens familiaux, mes liens d’amitiés, mes loisirs (cf. mythe no 3) ? Est-ce que ça m’est égal qu’on collecte des données à mon sujet dans le but de me reprocher quelque chose que j’ignore (cf. mythe no 1) ? Et est-ce que ça m’est égal que des entreprises fassent d’énormes bénéfices avec MES données ? Moi pas.

Mythe no 3 : « Ils n'ont rien sur moi, je ne publie pas d'informations sensibles sur les réseaux sociaux ou ailleurs ». Voilà une des pires erreurs en matière de protection de la sphère privée : aujourd’hui il est possible de dresser des profils de personnalité extrêmement précis, donc contenant des informations aussi sensibles et privées que l’état de santé, l’orientation sexuelle, les opinions politiques, etc. non pas parce que les personnes en question auraient dévoilé elles-mêmes ces informations (p. ex. en le racontant sur les réseaux sociaux), mais à l’aide du « big data », c’est-à-dire l’analyse de données en très grand nombre. Mêmes inintéressantes à la base, ces données, p. ex. celles d’une carte de fidélité genre supercard ou cumulus, permettent de cerner très précisément notre personnalité, pour autant qu’elles soient disponibles en nombre suffisant (ce qui est de plus en plus souvent le cas) (cf. mythe 4). Par ailleurs on a récemment appris que Facebook collectait aussi des données… des personnes qui n’y sont pas inscrites !

Mythe no 4 : « J’ai une cumulus comme tout le monde. C'est pratique, j'aime qu'on me fasse des propositions ciblées. En outre, mes statistiques d’achat, ce ne sont pas des données sensibles ». Si seulement il ne s’agissait « que » de propositions ciblées sur les prochains achats au supermarché du coin ! Le problème, c’est que grâce au « big data », des données en soi inintéressantes comme des statistiques d’achat permettre de dresser un portrait précis des détenteurs de la carte, portrait qui peut aussi comprendre des aspects très intimes de leur personnalité n’ayant plus rien à voir avec de simples habitudes de consommation (cf. mythe no 3). Le scandale « Target » (que j’ai aussi évoqué à la tribune du Conseil national) est un exemple assez parlant des dérives auxquelles une « simple » carte-client peut mener.

Mythe no 5 : « La position de la gauche en matière de protection de la sphère privée est contradictoire, car elle est contre le secret bancaire ». Comme tous les droits fondamentaux, le droit à la sphère privée doit pouvoir être limité lorsqu’un intérêt public l’exige et que les règles strictes de l’art. 36 de la Constitution fédérale sont respectées. En matière de fraude et de soustraction fiscale, l’intérêt public à poursuivre les fraudeurs qui vivent au crochet des contribuables honnêtes est incontestable. La protection de la sphère privée (en l’espèce le secret bancaire) doit donc s’effacer devant cet intérêt public. Ce n’est donc pas contre la protection de la sphère privée bancaire que la gauche en a (au contraire, je la défends au même titre que la protection de la sphère privée en général), mais plutôt contre son usage abusif à des fins d’évasion fiscale. C’est d’ailleurs pour la même raison que je soutiens la révision de la Loi sur la Surveillance des Postes et Télécommunications (LSCPT), qui autorise des restrictions du droit à la sphère privée à des conditions strictes, en particulier un soupçon de crime grave et un contrôle judiciaire serré.

En outre, il est piquant de constater que certains élus PLR qui par ailleurs prônent la défense du secret bancaire en tant que moyen de protéger les fraudeurs… préconisent d’abaisser la protection des données en Suisse au niveau des USA (c’est par exemple le cas de mon collègue Ruedi Noser supra RTS la première ce matin). Or, la protection des données aux USA est notoirement insuffisante, à tel point que l’UE commence à remettre en cause l’accord « safe harbour » qui permet aux entreprises européenne d’échanger des données avec les USA malgré l’absence de protection légale.

Mythe no 6 : « Il faut vivre avec son temps, la fin de la sphère privée est inéluctable ». Pour ne pas s’embarrasser de protection des données, certains prédisent, voire postulent, la disparition pure et simple du concept de vie privée. C’est une grave erreur. D’une part, parce qu’il serait fatal de renoncer à un droit aussi fondamental que celui à la vie privée. Et d’autre part, parce que cela signifierait renoncer par avance à toute décision souveraine au prétexte que nous n’aurions pas les moyens de la faire appliquer (cf. mythe 7). Les pays (en particulier l’UE et espérons-le bientôt la Suisse) qui renforcent actuellement leurs lois en matière de protection des données ont au contraire bien compris que la disparition de la vie privée n’est pas inéluctable… pour autant que l’on agisse maintenant ! (Et d'ailleurs, si on n'agit pas, nos entreprises pourraient le payer cher, cf. mythe no 8.)

Mythe no 7 : « Renforcer la protection des données en Suisse ne sert à rien, les entreprises sont toutes aux USA et ne respectent pas notre droit ». Et bien non, l’arrêt du Tribunal Fédéral « Google Street View », que Google a respecté, montre qu’il est possible de faire appliquer le droit suisse à une entreprise qui n’y a pas son siège. Prétendre le contraire, c’est renoncer avance à sa souveraineté. Et même si une entreprise qui viole la protection des données en Suisse n’y a ni siège, ni succursale, il doit être possible de la sanctionner. Il suffit d’un peu de bonne volonté. Par exemple, il est toujours possible de trouver, en Suisse ou dans un pays qui accord la réciprocité du droit, un bien à saisir pour régler une amende.

Mythe no 8 : « La protection des données, ce n’est que de la bureaucratie qui entrave la bonne marche des entreprises ». Au contraire, une protection des données fortes est devenu un avantage concurrentiel pour notre pays, et le sera de plus en plus à l’avenir. Tout d’abord, parce que notre pays à tout à gagner à continuer à se positionner en pays leader en la matière. De nombreuses entreprises de stockage de données ou de cloud s’installent en effet en Suisse, car elles savent qu’ici, la protection des données est prise au sérieux et que les services secrets ne peuvent pas venir fouiner à leur guise. Par exemple, l’Association Suisse des Télécommunications (ASUT) rapporte dans son récent bulletin que la forte protection de la sphère privée est un avantage concurrentiel décisif pour notre pays. Comme de nombreux autres pays tentent de se gagner des parts de marché, il est important de continuer à renforcer notre législation pour rester dans le peloton de tête. Mais il s’agit aussi d’éviter de se retrouver dans le camp des pays considérés comme « peu sûrs » en la matière : L’UE va renforcer ses standards et si les nôtres restent en retrait, il y a un risque que l’UE ordonne à toutes les entreprises qui y sont actives (parmi lesquelles de très nombreuses entreprises helvétiques)… de stocker leurs données dans l’UE et plus en Suisse. Une catastrophe pour l’emploi. Renforcer la protection des données n’est donc pas seulement bon pour la population, mais aussi pour l’économie.