Le Conseil national s’est rallié lundi au Conseil des Etats et a accepté de ne pas prolonger à douze mois la conservation des données secondaires par les opérateurs de télécommunications comme le souhaitait pourtant le Conseil fédéral dans son projet de nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). La durée actuelle de six mois est donc maintenue. Cela peut paraître comme une victoire des défenseurs de la sphère privée, mais la conservation même de ces données est problématique du point de vue légal.

La Cour de justice de l’Union européenne (CJUE) a rendu ces dernières années quelques décisions fondamentales en matière de protection des données, comme la confirmation d’un droit au déréférencement (souvent appelé à tort droit à l’oubli), l’annulation du «Safe Harbor» et la remise en cause du transfert de données vers les U.S., ainsi que l’annulation de la directive sur la conservation des données. Cette directive a été purement et immédiatement annulée le 8 avril 2014 en raison de son atteinte grave à la sphère privée. Elle prévoyait, de manière semblable à la LSCPT, une obligation des fournisseurs de services de communications électroniques accessibles au public de conserver les données relatives au trafic, à la localisation et à l’identification des utilisateurs.

Les données accessoires ne sont pas anodines
La conservation indiscriminée et durable des données de tous les utilisateurs, dont l’essentiel n’est soupçonné d’aucun crime, constitue un traitement des données personnelles. Ces données accessoires ou métadonnées ne concernent pas le contenu des communications, mais elles permettent de tirer des conclusions très précises, telles que les habitudes de la vie quotidienne, les lieux de séjour, les déplacements, les activités exercées et les relations sociales. Ces données paraissent anodines mais elles sont extrêmement révélatrices. Il suffit de quatre points de localisation du type de ceux fournis par une antenne auquel se connecte un téléphone mobile pour identifier de manière unique 95% des individus.

La lutte contre la criminalité grave et la défense de la sécurité publique sont des intérêts légitimes qui peuvent justifier la conservation et l’analyse de certaines données, mais pas celles de tous les citoyens. La conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs pour une durée déterminée est disproportionnée selon la jurisprudence de la Cour. La conservation de ces données, indépendamment même de leur exploitation, viole déjà de manière grave la sphère privée garantie par la Constitution. Quelques pays d’Europe ont déjà renoncé à la conservation systématique et des procédures judiciaires sont en cours dans d’autres.

Les droits fondamentaux servent à protéger le citoyen contre les abus de l’Etat et sont la garantie du bon fonctionnement de l’administration et de la confiance en l’Etat. Seule une dictature peut se permettre de s’en passer. C’est surtout lorsque la tentation de les réduire est grande qu’ils sont importants et qu’il faut y être particulièrement attentif.

Le droit doit poser des limites
Depuis les attentats de Paris, il est peut être nécessaire de revoir certaines mesures de prévention, y compris de renforcer les possibilités d’action de la police. Cela peut et doit se faire dans le respect des citoyens et de la Constitution. L’émotion ne doit pas conduire le législateur à adopter des normes qu’il regrettera ou ne contrôlera plus. Tout ce qui est techniquement réalisable n’est pas justifiable. On peut certes suivre les habitants d’une ville en permanence au moyen de caméras de surveillance et de leurs abonnements de transport public, connaître leur état de santé au moyen d’applications et d’appareils connectés, etc.

D’aucuns souhaitent avoir des citoyens transparents et tout connaître de leur vie. On peut néanmoins se demander qui est réellement prêt à vivre sans rideaux et dévoiler sa vie intime, qui est prêt à être présumé coupable en tout temps et toutes circonstances, qui est prêt à ne plus pouvoir penser à haute voix sans conséquences, qui est prêt à renoncer si facilement à des droits que d’autres ont défendus au sacrifice de leur vie. La Constitution donne à chacun le droit d’avoir une sphère privée et il faut un motif suffisant à l’Etat pour justifier une intrusion. Le soupçon de commission d’une infraction grave en est un et justifie des écoutes téléphoniques ou d’autres mesures. Un tel soupçon doit sans aucun doute aussi permettre la conservation de données. Le fait qu’une personne puisse éventuellement être soupçonnée dans plusieurs mois ne justifie en revanche pas la collecte systématique des données de tous les habitants du pays.

Augmenter massivement le nombre de données collectées n’en assure pas un meilleur traitement. Ficher un grand nombre de personnes permet tout au plus a posteriori de constater que la personne était fichée, mais guère plus. Dans le cadre de la lutte contre le terrorisme par exemple, on aura ainsi beaucoup de personnes à risques, mais trop pour que des mesures puissent être prises. Le volume de données à traiter conduira également à une qualité d’information plus faible et des dérapages plus fréquents, comme ce fut le cas avec la seconde affaire des fiches.

De nombreux reproches ont été faits aux américains pour leurs réactions suite aux attentats de 2001 mais la réaction européenne depuis Paris n’en est guère différente. Il y a quelques semaines la CJUE annulait le programme Safe Harbor en raison de l’accès indiscriminé des autorités américaines aux données transmises. Le Préposé suisse à la protection des données a suivi le même raisonnement.

Tracer tous les passagers aériens
La peur du terrorisme a pourtant eu raison des parlementaires européens qui mettaient en doute l’utilité et la légalité du PNR (Passenger Name Record) européen. Ce registre d’informations sur les passagers des compagnies aériennes contiendra des données (numéro de passeport, coordonnées, trajet effectué, nombre de bagages, moyens de paiement) pour tracer les terroristes. En réalité, il tracera surtout toutes les personnes qui voyagent en avion et établir des profils et des types de comportement déviants. Il fait peu de doute que ce programme ne respecte pas la jurisprudence de la CJUE et ne résistera pas à son examen.

Les parlementaires adoptent des lois dans le cadre des pouvoirs que leur donne la Constitution. Il est important qu’ils la respectent et prennent leurs responsabilités pour adopter des lois conformes. Si l’Etat ne respecte pas sa loi fondamentale, comment peut-il ensuite être crédible et espérer obtenir que des entreprises multinationales soient sensibles à ses demandes et se restreignent dans la collecte des données de leurs utilisateurs ?

Il arrive malheureusement parfois que des lois violent les droits des citoyens et dans ce cas il n’y a plus qu’à compter sur les tribunaux pour le constater. La Suisse ne connaissant pas de cour constitutionnelle, il ne reste dans un tel cas qu’à attendre qu’un tribunal doive se prononcer dans un cas particulier et refuse d’appliquer la loi. On peut alors espérer que le parlement fasse preuve de sagesse et respecte cette décision et accepte de corriger la loi. Pendant ce temps pourtant, nos données continueront d’être conservées illégalement.

Ce billet a été publié dans l’édition de l’Agefi du 10 décembre 2015