Protection des données: le casse-tête de l’exportation des données

Disons-le d’emblée: la surveillance fédérale de la protection des données a pour objet de protéger non pas les données, mais la sphère privée et l’autodétermination informationnelle des personnes.

Les informations qui ne présentent pas de lien direct avec une personne identifiée ou identi­fiable ne relèvent ni de la loi fédérale sur la protection des données (LPD) ni de la surveil­lance du Préposé fédéral à la protection des données et à la transparence (PFPDT). La re­fonte de la LPD, qui devrait entrer en vigueur le 1er septembre 2023, limitera son champ d’application au traitement des données qui se rapportent à des personnes physiques. Si étroit que puisse être le lien entre la confidentialité des plans de construction d’un système d’armes ou le calcul du prix d’un médicament, d’une part, et certains intérêts publics ou privés majeurs d’une personne morale, d’autre part, tant qu’il n’y a pas de lien avec une personne physique identifiée ou identifiable, la protection de ces informations ne se fondera plus sur la LPD, mais s’appuiera sur d’autres normes juridiques, telles que les dispositions pénales visant à préserver les secrets de fonction ou professionnels ou encore les secrets d’affaires ou de fabrication.

Sont également considérées comme des données non personnelles les données person­nelles qui ont été complètement anonymisées, de sorte qu’elles ne permettent plus d’identi­fier aucune personne physique. De même, les données cryptées ne permettent pas à ceux qui ne peuvent pas les décrypter de se référer à des personnes physiques. C’est pourquoi ces données ne constituent pas des données personnelles pour les personnes concernées.

Les défis de l’anonymisation et du chiffrement des données

La distinction entre données personnelles et données non personnelles se heurte quelque peu à la réalité. D’une part, les informations à caractère personnel et à caractère non personnel sont généralement traitées ensemble. D’autre part, l’anonymisation des données personnelles a ses limites: une fois supprimés les attributs personnels tels que le nom, la date de naissance ou l’adresse, il est encore possible de croiser les données avec d’autres bases de données, par exemple sur Internet, ce qui peut conduire à l’identification de certaines personnes. Enfin, il n’existe pas, ou du moins pas encore, sur le marché une technologie qui permette de traiter des données complexes à l’état chiffré. Bref, il n’est pas possible à ce jour de résoudre ce problème en lui apportant une solution technique.

Tant que les défis de l’anonymisation et du chiffrement des données personnelles n’auront pas été pleinement relevés dans la réalité numérique d’aujourd’hui, la surveillance de la pro­tection des données exercée par la Confédération devra se confronter à une multitude de projets et de technologies qui, loin d’exclure avec une certitude absolue de pouvoir remonter à certaines personnes en particulier, rendent seulement cette identification plus difficile. C’est pourquoi la surveillance fédérale de la protection des données s’attache au quotidien aux conséquences incertaines que l’utilisation de ces technologies pourrait avoir sur la vie privée et autonome des personnes concernées.

Le casse-tête de l’exportation de données

Prenons l’exemple des exportations de données personnelles vers les nombreux États qui, comme les États-Unis, ne se sont pas dotés d’une législation sur la protection des données comparable à celles de la Suisse ou des États membres de l’UE ou de l’EEE. Ces exporta­tions constituent aujourd’hui un casse-tête: d’un côté, les groupes technologiques américains tels que Microsoft, Google ou Amazon disposent, en raison de leur capacité tech­nologique et de leur puissance financière, d’une position dominante sur le marché en tant que fournisseurs de services en nuage, ce qui a de facto placé leurs clients privés et publics européens dans une situation de dépendance.

D’un autre côté, il existe une jurisprudence de la Cour de justice de l’Union européenne (CJUE), même si elle n’est pas contraignante pour la Suisse. Cette jurisprudence prévoit que les données personnelles des résidents de l’UE ou de l’EEE ne peuvent être traitées sans précautions dans un centre de calcul exploité par un groupe américain. La CJUE a justifié cette jurisprudence par le fait que le droit des États-Unis n’offrait pas aux citoyens des pays tiers une protection contre les ingérences des autorités américaines dans la sphère privée comparable à celle que le droit européen a mise en place. Compte tenu des effets extraterritoriaux du droit américain, cette jurisprudence devrait également s’appliquer au traitement de données personnelles dans les centres de calcul exploités par un groupe américain sur le territoire d’un État membre de l’UE ou de l’EEE. En effet, si des données personnelles chiffrées sont rendues lisibles en vue de leur traitement (voir ci-dessus), les exploitants de ces centres de calcul peuvent être amenés, sous la pression de leurs sociétés mères aux États-Unis, à fournir ces informations aux autorités américaines dans leur état lisible.

Protéger les données dans un environnement dynamique

Faut-il en conclure que les transferts de données personnelles dans de tels centres de calcul sont interdits, ou au contraire qu’ils sont tolérés en raison de la dépendance de fait vis-à-vis des fournisseurs américains de services informatiques en nuage ? Dans l’UE comme dans l’EEE, la pratique de mise en œuvre de la jurisprudence de la CJUE développée par les autorités de protection des données n’en est qu’à ses balbutiements, tandis qu’en Suisse, une pratique juridique sur cette question doit encore se faire jour.

Mais peut-être le dilemme trouvera-t-il sa solution plus rapidement que prévu, les États-Unis et l’Europe harmonisant leurs législations en matière de protection des données, ne serait-ce que dans le droit fil de leur rapprochement politique dans le cadre du conflit ukrainien. Il est possible d’autre part que le progrès technique joue un rôle décisif. On peut raisonnablement espérer en effet que seront un jour proposés sur le marché des environnements d’exécution sécurisés permettant aux clients des fournisseurs d’informatique en nuage de faire en sorte que les données complexes restent chiffrées non seulement pendant les phases de stockage et de transport, mais aussi pendant le traitement qu’elles subissent, rendant impossible tout accès par un tiers non autorisé. Une telle avancée permettrait de désamorcer en grande partie la problématique de l’exportation des données. Les fournisseurs étrangers de services en nuage qui accepteraient de travailler avec ces techniques nouvelles se priveraient en effet eux-mêmes de la possibilité de lire le contenu des données de leurs clients européens et de les rendre accessibles à un tiers.

Cet exemple illustre le principal défi auquel est confrontée la surveillance fédérale de la pro­tection des données: elle doit protéger le droit de la population suisse à une vie privée et autonome dans le contexte dynamique d’une économie, d’une technologie et d’une politique mondialisées.