Le Préposé fédéral s’inquiète du peu de cas que l’on fait de la sphère privée (mais un peu moins pour le certificat Covid)

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié son rapport d’activité couvrant la période d’avril 2021 à mars 2022. Il y dit s’inquiéter de l’indifférence à l’égard de la protection des données et du peu de valeur accordé à la notion de sphère privée.

Dans le communiqué qui accompagne la publication, le préposé pointe deux développements récents témoignant de cette indifférence. D’abord les défaillances en série dans le traitement des données de santé révélées par la presse et par les enquêtes de ses propres services. Il mentionne notamment les faiblesses sécuritaires de la plateforme alémanique d’implants mammaires «Mammoregister» et celles du site Mesvaccins.ch dont il a ordonné la fermeture au printemps 2021.

Second motif d’inquiétude, la volonté des gouvernements européens de disposer d’un accès préventif aux communications individuelles. Pour rappel, L’UE compte obliger les fournisseurs de services d’e-mails et de messagerie instantanée à scanner les messages et à signaler celles contenant du matériel pédopornographique. Un projet de loi controversé qui mettrait à mal le chiffrement et qui suscite de nombreuses critiques, y compris récemment de la part du Conseil fédéral. A ce sujet, le proposé rappelle que la criminalité est inhérente à la société et affirme que «les citoyens qui s’opposent aux intérêts d’auto-incrimination des autorités en utilisant, pour quelque raison que ce soit, un logiciel de chiffrement, ne sauraient se voir reprocher par l’État de droit d’abuser de leur liberté».

Le préposé se félicite en revanche des dispositifs numériques mis en place par la Confédération durant la pandémie. «Sous l’angle de la protection des données, la Suisse numérique a enregistré de forts succès d’estime grâce à l’application SwissCovid et au certificat Covid, y compris dans sa version light. La conception décentralisée et économe en données de ces outils a permis d’éviter que des données de citoyens soient transmises à l’administration fédérale», explique-t-il au début de son communiqué. Un constat pour le moins étonnant, quand on sait les errements du certificat Covid en matière de sphère privée.

Les errements sur le certificat Covid

Pour y voir plus clair, il faut se plonger dans le rapport du PFPDT. Il y est dit que le préposé a été consulté pour le projet de certificat Covid de la Confédération et qu’il a veillé à ce que ce pass soit conforme à la protection des données. En exigeant notamment que le certificat introduit en juin 2021 puisse être employé sous forme papier et surtout que l’app soit assortie d’un certificat light. Le Préposé se félicite d’avoir imposé cette alternative plus respectueuse de la sphère privée, empêchant typiquement les établissements de connaître les conditions d’obtention du certificat (guérison, test, vaccin) de leurs clients.

Sauf qu’en décembre 2021, le passage de la règle des 3G à celle des 2G a fait sauter ce certificat light. Désormais, les établissements devaient pouvoir distinguer les personnes guéries ou vaccinées, de celles seulement testées. L’application de certificat Covid a ainsi été mise à jour est le certificat light a disparu. Dans son rapport d’activité, le préposé simplement qu’en l’absence de solution compatible, il a dès lors exigé «que le certificat light puisse à nouveau être pleinement utilisé en cas de retour à la règle des 3G». Un pragmatisme qui détone par rapport à l’intransigeance du même préposé à l’égard d’une suppression du chiffrement des apps de messagerie au motif de la lutte contre la criminalité.

Plus généralement, on peut s’interroger sur la capacité de challenger les choix et projets de l’OFSP. Dans son rapport, le PFPDT indique ainsi avoir souligné que «les restrictions d’accès sur la base d’un certificat, et donc le traitement des données de santé qui y sont liées, pouvaient être considérées comme proportionnées sur le plan de la protection des données, uniquement si ces mesures étaient nécessaires et appropriées d’un point de vue épidémiologique pour lutter contre la pandémie». Et d’ajouter: «Il incombe à l’OFSP, en tant qu’office compétent, d’en apporter la preuve, raison pour laquelle le PFPDT s’est toujours appuyé sur ses constatations et ses évaluations pour émettre ses avis». En résumé, une incartade à la sphère privée occasionnée par un projet de l’OFSP est proportionnée si le projet est prouvé nécessaire et approprié par ce même OFSP. On a fait mieux comme arbitrage…