Protection des données: Nos autorités sont-elles indépendantes?


Hier, mardi 28 janvier 2020, s’est déroulée la Journée mondiale de la protection des données. A cette occasion, la Faculté de droit, des sciences criminelles et d’administration publique de l’Université de Lausanne organisait en collaboration avec le Préposé fédéral à la protection des données, le Centre Universitaire d’informatique de l’Université de Genève et ThinkServices (ça y est je suis arrivé au bout de mes peines avec ces noms à rallonge) la journée de protection des données.

Des intervenants de qualité étaient invités à l’image de Marc Buntschu, Préposé fédéral suppléant, Bertil Cottier, Professeur associé à l’UNIL, ou encore Robin Eymann, Responsable politique à la Fédération Romande des Consommateurs (FRC). Le fil de cette journée est d’ailleurs disponible sur Twitter avec le #JPD_FDCA.

Cette journée s’est focalisée en grande partie sur l’indépendance des autorités de protection des données. Il va sans dire que sur le plan organisationnel et budgétaire, les autorités suisses (fédérales et cantonales) n’ont guère l’indépendance nécessaire pour mener à bien leurs missions, pourtant requise par la Convention 108 modernisée et par la loi applicable. Le Prof. Cottier a pu expliquer les différents critères permettant de qualifier une autorité d’indépendante. Ces critères sont nés des principes de Paris sur les compétences des organes de protection et de promotion des droits de l’homme qui visaient à établir les modalités de fonctionnement des organes de contrôle. Pour être indépendante, une autorité de contrôle devrait :

  1. Être structurellement positionnée à l’extérieur de l’administration ;
  2. Se doter de règles sur l’incompatibilité (p.ex. avec l’exercice d’activités accessoires) ;
  3. Bénéficier d’une certaine stabilité (p.ex. en limitant les motifs de révocation aux seules fautes graves) ;
  4. Ne pas recevoir d’instructions de la part de l’administration ou de tiers ;
  5. Avoir des ressources suffisantes (en argent et en personnel) ;
  6. Obtenir une autonomie budgétaire.

Il faut relever ici que la plupart de ces critères s’appliquent aussi pour mesurer l’indépendance d’un délégué à la protection des données (data protection officer), à savoir la personne qui, au sein d’une entreprise ou d’une unité étatique, se charge de la conformité de l’organisation en matière de protection des données.

Ce constat, qui remet en cause l’indépendance de nos autorités, s’explique à mon avis par deux facteurs principaux. La Suisse est tout d’abord un pays libéral, en ce sens que l’on se méfie davantage du contrôle de l’Etat que de l’influence des acteurs économiques. En d’autres termes, l’on ne souhaite pas mettre des contraintes trop importantes aux acteurs économiques, par crainte de brider la croissance économique. A vrai dire, je suis d’avis que sur certains aspects, l’on oublie assez facilement les intérêts des PMEs et que l’on réfléchit plutôt sur une base abstraite par rapport aux menaces qu’une minorité d’acteurs (certes parfois très puissants) laissent peser sur le système. Dans la règlementation européenne par exemple, certaines obligations vont sans doute trop loin. Toutefois, une idéologie qui voudrait revenir aux racines libérales devrait doter l’Etat des ressources suffisantes pour mener des contrôles et des mesures de police. Or, en Suisse, et dans bien des domaines, les contrôles sont particulièrement insuffisants voire superficiels. En protection des données, beaucoup d’organisations peuvent ainsi agir en toute impunité.

Ensuite, second critère, la Suisse est un pays de démocratie directe. Les pouvoirs des groupes d’intérêt, des lobbyistes, mais aussi l’avis du peuple, peuvent avoir une grande influence sur les parlementaires miliciens. De même, une démocratie directe ne peut fonctionner que si la solution définitive est une solution de compromis. Dans d’autres contrées, les technocrates et autres représentants du pouvoir ont justement plus d’influence et les décisions finales sont prises d’après une approche descendante (top-down).

Pour terminer, je ne pense pas qu’il faille absolument s’aligner sur les règlementations européennes et que la situation actuelle reflète ce qu’est la Suisse . En revanche, la question de l’indépendance des autorités de protection des données est primordiale, car les contrôles actuels sont limités, peu dissuasifs, et parfois superficiels.

Valentin Conrad

Valentin Conrad

Né en 1988 à Genève, Valentin Conrad a étudié le droit aux Universités de Genève et de Neuchâtel. Après de brèves expériences dans l'industrie horlogère et pharmaceutique, il rejoint l'EPFL en 2016 en tant que juriste. Il se spécialise notamment en protection des données. Politiquement, il défend des idées humanistes et souverainistes.

2 réponses à “Protection des données: Nos autorités sont-elles indépendantes?

  1. Soyez courageux, dites-nous ce que vous pensez de l’indépendance du préposé valaisan… sans salaire mais avec tant d’idées….

    D’ailleurs, comment qualifiez-vous les idées de cet atypique préposé à la protection des données ?

    1. Avec un peu de retard… S’il est atypique, c’est avant tout par sa franchise et par son hyperactivité. A mon sens, c’est un type brillant, probablement mal aimé par une certaine clique d’intellectuels qui n’aiment pas les personnalités expansives et indépendantes. Ses idées sont souvent intéressantes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *