Scandale Facebook: «La Suisse n’est pas prête!»

EclairageRédigé par Philippe Kottelat

  • Le scandale Facebook-Cambridge Analytica a mis une nouvelle fois en exergue la fragilité des réseaux sociaux en matière de confidentialité des données.
  • Alors que l’Europe va se doter d’un arsenal juridique pour encadrer les activités d’entreprises qui brassent des millions de données chaque jour, la Suisse est à la traîne.
  • Spécialiste de la protection des données et du droit de l’informatique, avocat et professeur à l’Université de Lausanne, Sylvain Métille nous explique pourquoi.

  • dr

    dr

«La Suisse doit se doter immédiatement

d’un cadre légal»

Avec une vingtaine de personnalités, vous venez de publier une lettre ouverte qui exhorte les parlementaires suisses à mettre à jour la loi sur la protection des données (LPD). Car la Suisse est clairement à la traîne dans ce domaine. Pourquoi?

La loi actuelle est faite pour l’entreprise modèle qui cherche des recommandations sur la manière de traiter les données, mais pas pas pour celle qui veut éviter de respecter la loi et à qui il faut pouvoir l’imposer. Comme pour tout ce qui a trait au numérique, l’administration et l’économie privée fonctionnant plutôt bien, il n’y a pas un grand besoin de rupture et on attend de voir ce qui se passe ailleurs alors que tout va très vite. Aujourd’hui, certains parlementaires refusent un texte d’inspiration européenne, d’autres des obligations pour les entreprises, alors qu’il faudrait plutôt prendre en compte les risques pour les individus, comme pour la place économique suisse, si la révision totale de la LPD était repoussée ou qu’il y soit simplement renoncé. Il ne s’agit pas d’une situation où l’absence d’obligations claires profite aux entreprises.

D’où, dès l’entrée en vigueur de la nouvelle réglementation européenne, le 25 mai prochain, un risque évident pour notre pays...

Oui, la Suisse risque d’accueillir des entreprises qui ne pourraient pas opérer en Europe. L’absence de sanction, qui demeure malheureusement en grande partie dans le projet, et qui je l’espère sera corrigé par le parlement, signifie que l’on aura d’un côté un règlement européen qui fait peur et que l’on aura envie de respecter, et de l’autre la LPD qui donne des recommandations dont on a fortement envie de s’affranchir.

En l’absence de révision, la Suisse pourrait perdre son statut de pays adéquat et voir le transfert de données de l’UE vers la Suisse fortement compliqué, ce qui serait préjudiciable à tous les sous-traitants suisses. Si la Suisse veut combler son retard en matière de numérique, elle doit se doter immédiatement d’un cadre légal favorisant un traitement respectueux des données qui ne soit pas inférieur aux standards internationaux.

Cela dit, n’existe-t-il pas aussi une responsabilité individuelle en la matière?

Les individus ne sont pas sur un pied d’égalité avec les responsables de traitement et il est rare de pouvoir négocier les conditions d’utilisation d’un réseau social ou d’un moteur de recherche. On ne peut pas parler d’un consentement libre et une approche paternaliste est nécessaire: le Préposé à la Protection des données doit avoir de vrais pouvoirs et être en mesure de s’opposer même aux plus grandes sociétés, comme la commission de la concurrence par exemple. Une plus grande sensibilisation aux risques des nouvelles technologies est aussi essentielle, mais elle ne comblera pas le manque de choix réels proposés à l’utilisateur.

En Suisse, quelques 30’000 personnes sont concernées par le scandale Facebook-Cambridge Analytica. En portant plainte, ont-elles une chance, ne serait-ce qu’infime, d’arriver à leurs fins?

Cela va dépendre de chaque cas en particulier. Les personnes concernées pourraient obtenir l’effacement des données obtenues illégalement ainsi qu’une indemnisation mais il ne faut pas s’attendre à des montants substantiels. Ce n’est pas très satisfaisant, d’autant que la procédure risque d’être longue, et on préférerait pouvoir envisager une amende, pénale ou administrative, pour frapper ces sociétés.

Mark Zuckerberg, sommé de s’expliquer devant une commission du Sénat: un tournant dans ce domaine?

Pour une raison que j’ignore, peut-être à cause des élections de mi-mandats, on parle beaucoup de Facebook et Cambridge Analytica, alors que ce ne sont pas les premières violations de la sphère privée. L’information par le bais des réseaux sociaux n’est traditionnellement pas objective, mais elle est ciblée comme la publicité. Le grand public, et les politiciens, semblent le découvrir, mais cela n’est pas non plus nouveau. Quoiqu’il en soit tant mieux s’il y a enfin une prise de conscience, mais ce ne sont pas quelques promesses et critiques devant le Congrès américain qui suffiront à rétablir la confiance et respecter l’individu. Des mesures plus profondes sont nécessaires au niveau législatif.

Une loi de 1992

En Suisse, la dernière loi en la matière de protection des données date de 1992. En 2016, suite à la révision de la législation y relative au sein de l’Union européenne, le Conseil fédéral a envoyé en procédure de consultation un avant-projet consacré à la révision totale de cette loi et, en automne 2017, il adoptait le projet et le message relatifs à sa révision. Mais en janvier dernier, la Commission des institutions politiques du Conseil national décidait pour sa part de scinder le projet de révision en deux projets distincts: d’abord la protection des données sous l’angle policier et sécuritaire, ensuite seulement le contrôle des plateformes et la protection des utilisateurs, au mieux l’an prochain. Ce qui fait bondir certains qui estiment que cette approche fera de la Suisse un refuge pour les responsables de traitements douteux qui ne pourraient plus opérer en Europe et les droits des citoyens ne seront pas plus protégés qu’ils ne le sont aujourd’hui.

La Suisse peu touchée

Par rapport au nombre total d’utilisateurs touchés dans le monde, relativement peu de Suisses sont concernés par le scandale Facebook. Ils ne seraient ainsi que 30’000 environ alors qu’au total les informations de 87 millions d’utilisateurs auraient été exploitées par Cambridge Analytica. Le pays le plus touché est les Etats-Unis avec plus de 70 millions de personnes atteintes, suivi des Philippines, de l’Indonésie et du Royaume-Uni. Ces trois derniers comptent chacun plus d’un million d’internautes impactés.

Une lettre ouverte aux parlementaires

La semaine dernière, une vingtaine de personnalités du monde académique et des avocats, parmi lesquels Sylvain Métille qui s’exprime aujourd’hui dans nos colonnes, des responsables de l’économie et des préposés à la protection des données ont tiré la sonnette d’alarme: si la loi actuelle sur les données n’est pas révisée rapidement, notre pays est en danger. «En conservant une loi qui a plus de 25 ans, la Suisse risque de devenir un refuge pour les responsables de traitements douteux qui ne pourraient plus opérer en Europe», notent-ils entre autres.