Protection des données

Déposer ses contacts ou ses photos dans le cloud (nuage), autoriser des applications à géolocaliser son smartphone, accepter que ses données soient utilisées pour entraîner des intelligences artificielles, faire don de son sang à la recherche: vos données sont précieuses et contribuent à alimenter d’immenses banques de données. C'est tout sauf anodin, puisqu’il peut arriver que ces données soient ensuite utilisées à d’autres fins, par exemple par des annonceurs pour envoyer des publicités ciblées ou par des sociétés de renseignements économiques qui notent la santé financière des consommateurs. 

La FRC enquête régulièrement sur l'univers opaque des publicitaires et des data brokers. Chaque individu doit pouvoir exiger des entreprises une totale transparence et une honnêteté absolue concernant la collecte et l’usage de ses données personnelles, et ce à tous les niveaux de la chaîne, même en l’absence de relation directe avec les consommateurs.

Loi sur la protection des données

Le droit de la protection des données vise à protéger les individus, et non les données elles-mêmes. Il établit des règles juridiques qui encadrent le traitement des données personnelles, de manière à garantir la protection de la personnalité. L'idée de base est que chacun a le droit de maîtriser les données qui le concernent.

Les données personnelles sont toutes les informations qui se rapportent à une personne et qui permettent de l'identifier directement ou indirectement : nom, prénom, adresse physique ou de courriel, date de naissance, numéro AVS, etc., mais aussi d'autres données qui peuvent révéler l'identité d'une personne lorsqu'elles sont croisées entre elles (par exemple, numéros de compte bancaires, plaques d'immatriculation, carte SIM ou adresses IP). 

La Loi sur la protection des données (LPD) révisée est entrée en vigueur en septembre 2023. La révision visait notamment à rapprocher la législation suisse des exigences du règlement européen sur la protection des données (RGPD).

Quels droits cette loi donne-t-elle aux consommateurs ?

• le droit de savoir quelles sont leurs données personnelles qui sont traitées (lettre-type "droit d'accès")
• le droit de recevoir copie de ces données
• le droit de savoir dans quel but les données sont traitées
• le droit de savoir combien de temps les données sont conservées
• le droit de savoir si ces données sont transmises à des tiers et, le cas échéant, dans quel but et éventuellement dans quel Etat étranger
• le droit de connaître l’identité et les coordonnées de la personne responsable du traitement de données
• le droit de s’opposer au traitement et d'en demander la suppression (lettre-type "droit à la suppression")
• le droit de rectifier des données erronées (lettre-type "droit à la rectification")
• le droit de faire transférer ses données
• etc.

Attention, ces droits ne sont pas absolus : cela signifie qu’il peut y avoir certaines exceptions, autrement dit des cas où un responsable de traitement pourra par exemple refuser de donner une partie des informations requises ou de renoncer au traitement des données. Cependant, dans ce cas, il doit justifier sa position.

La loi impose également de nombreuses obligations aux personnes et entreprises qui traitent des données. L’un des devoirs les plus importants est celui d’informer les personnes concernées par un traitement de données, de manière active et complète. Les entreprises qui traitent des données doivent par ailleurs en garantir la sécurité et éviter d’en collecter plus que ce dont elles ont besoin pour fournir leurs services. Par principe, les données ne peuvent être utilisées que dans le but pour lequel elles ont été collectées.

Les responsables de traitement de données doivent aussi mettre en place des mesures techniques et de sécurité afin de protéger les données traitées et de respecter les droits découlant de la LPD. Ils doivent se conformer à ces obligations dès la conception, c’est-à-dire dès qu’ils envisagent un traitement de données. 

Combats liés

Swisspass, Swisscom-Admeira, Postfinance, autant de cas criants d’usage abusif de données par des sociétés. Transmission à des tiers, sauvegarde pendant des années: voilà les problèmes soulevés par les modifications des conditions générales de ces sociétés.

La FRC se bat pour que ces conditions soient changées ou, qu’à tout le moins, l’on puisse sortir de cet engrenage en refusant la transmission à des tiers.

Récemment, elle a interpellé l'entreprise Meta pour dénoncer l'utilisation par celle-ci des données des utilisateurs de Facebook et Instagram qui ne s'y sont pas expressément opposés. Meta a répondu qu'elle respectait le cadre légal en vigueur. Une réponse du Préposé fédéral à la protection des données est encore attendue. 

Lexique

PERSONNE CONCERNEE | C'est la personne physique dont les données personnelles sont traitées. 

TRAITEMENT DE DONNEES | Il s'agit de toute opération impliquant l'usage des données personnelles : collecte, tri, transmission, archivage, suppression...

RESPONSABLE DU TRAITEMENT (ou maitre du fichier) | C'est la personne (individu ou entreprise) qui traite les données, et donc qui décide du but et des moyens du traitement.

DONNÉE PERSONNELLE SENSIBLE | C'est une catégorie spéciale de données personnelles, qui portent sur l'origine raciale, les opinions politiques, la confession religieuse, les données génétiques, les données de santé ou encore l'orientation sexuelle, et qui bénéficient à ce titre de protections supplémentaires. 

CLOUD | Le «nuage» (en français) est un service de stockage à distance qui permet de sauvegarder les données personnelles sur un serveur externe: Dropbox, iCloud, Google Drive, etc. Grâce à ces services, l’internaute y a accès partout et non plus uniquement depuis son ordinateur personnel. Toutes ces données sont conservées dans des data centers répartis aux quatre coins du monde.

COOKIES | Ce sont de petits fichiers texte que le site web visité stocke sur l’ordinateur de l’internaute lors de la première visite. Ils permettent aux sites de conserver des données afin de faciliter la navigation, certes, mais aussi de cibler le comportement, de connaître la fréquentation. L’usage des cookies par les sites est d’ailleurs critiqué du fait des informations personnelles potentiellement exploitables.

BIG DATA | Souvent traduit par «données massives» ou mégadonnées, le Big Data correspond à cet énorme volume de données numériques (textes, photos, vidéos, capteurs, signaux GPS, enregistrements transactionnels) qui sont produites chaque jour et qui circulent sur le web. La définition même du Big Data répond à trois caractéristiques principales: volume, vélocité et variété.

HACKER | C’est un pirate informatique, un fouineur, un bidouilleur qui contourne et détourne des logiciels, des réseaux et des systèmes informatiques pour les adapter à ses propres besoins ou ceux des autres; détecter des failles de sécurité pour la renforcer, offrir l’accès à un produit à un plus grand nombre… ou récupérer des données sensibles pour les revendre.