Lexipedia

Comment protéger les données personnelles des citoyens suisses détenues par des entreprises américaines?

13.3033 · Interpellation · 2013-03-06

Département de justice et police

Liquidé

Wortlaut

Aux États-Unis, la loi "Foreign Intelligence and Surveillance Act" (FISA) permet aux autorités de ce pays d'exiger des entreprises américaines qu'elles leur livrent des données personnelles de ressortissants de pays tiers stockées dans leurs "nuages" ("cloud"). Parmi les données qui peuvent être surveillées, on compte celles qui ont un lien avec des organisations politiques. Or, parmi elles se trouvent des entreprises qui, comme Google, Facebook ou Twitter, détiennent un nombre très important de données personnelles de citoyens suisses. La quasi-totalité des personnes vivant en Suisse pourraient donc voir leurs données personnelles transmises à des autorités étrangères et traitées par elles au mépris de la LPD et/ou des garanties procédurales (surtout pénales). Cette législation inquiète l'UE, laquelle admet l'avoir "négligée en dépit des problèmes de souveraineté des données et de protection des droits des citoyens" (cf. rapport du Parlement européen "Fighting cyber crime and protecting privacy in the cloud", 2012).

Je pose donc au Conseil fédéral les questions suivantes :

1. Le Conseil fédéral est-il informé des conséquences de la loi FISA ? Quelle en est son appréciation et quelles démarches a-t-il entamé dans ce contexte ?

2. Que compte faire le Conseil fédéral pour empêcher des violations de la LPD par des entreprises étrangères traitant des données personnelles de citoyens suisses ?

3. Que compte-t-il faire pour garantir l'application du droit suisse de la protection des données aux données collectées en Suisse par des entreprises étrangères, même si elles n'ont pas de filiale en Suisse ?

4. Compte-t-il intervenir auprès des États-Unis (ou d'autres pays disposant de législations similaires à FISA) afin que l'application de ce type de législations ne soit pas contraire à notre législation sur la protection des données ?

5. Comment compte-t-il garantir que les droits de procédure (pénale ou civile, selon le droit suisse ou étranger) des citoyens dont les données seront transmises ou surveillées sur la base de FISA seront respectés ?

6. Comment compte-t-il garantir que les données surveillées ne seront pas utilisées pour des procédures au sujet d'actes qui ne relèvent pas du droit pénal suisse (par ex. "délit" d'opinion)?

7. La législation actuelle est-elle suffisante pour empêcher ces pratiques ? Si non, quand le Conseil fédéral va-t-il en proposer le renforcement ?

Stellungnahme des Bundesrates

Se procurer des données à l'insu des personnes concernées dans le cadre des activités de renseignement constitue le modus operandi des services de renseignements. Les moyens offerts par les nouvelles technologies - et en particulier le fait d'enregistrer et de traiter de nombreuses données de manière décentralisée et délocalisée ("cloud computing") - rendent toutefois possible une surveillance à large échelle des citoyens par des puissances étrangères qui n'ont pas nécessairement les mêmes conceptions que les autorités suisses en matière de protection des données et de service de renseignement. Ce risque a été mis en évidence à propos du "Foreign Intelligence Surveillance Amendment Act" des États-Unis (FISA) dans une étude du Parlement européen, mais ne concerne pas que les États-Unis.

Le Conseil fédéral répond aux questions posées de la manière suivante :

1. Le Conseil fédéral est conscient des risques évoqués par l'interpellation, mais n'a pas connaissance de violations des droits de la personnalité de citoyens suisses sur la base de la FISA dans un cas concret. Pour l'instant, il n'a pas entamé de démarches à ce sujet auprès des autorités américaines. Celui qui utilise les réseaux sociaux doit compter avec le risque que les informations qu'il divulgue puissent échapper à son contrôle ainsi qu'au champ d'influence des autorités suisses. Il lui incombe d'apprécier ce risque et de rester vigilant. Il convient de renvoyer ici au programme Jeunes et médias, dont le but est de sensibiliser les enfants et les adolescents, les parents, les enseignants et les autres personnes assumant le rôle d'éducateurs aux opportunités et aux dangers des nouveaux médias (http ://www.bsv.admin.ch/themen/kinder_jugend_alter/00071/03045/index.html ?lang=fr).

2. Le Conseil fédéral estime qu'il incombe principalement au PFPDT, dans le cadre de ses tâches de conseil, de prendre des mesures visant à sensibiliser les utilisateurs d'Internet et à responsabiliser les maîtres de fichier. Le PFPDT a d'ailleurs publié des explications au sujet de l'utilisation de services en nuage. Le PFPDT a également la compétence, dans les limites du principe de territorialité, d'effectuer des enquêtes et d'émettre des recommandations à l'égard des maîtres de fichiers qui ne respecteraient pas la législation suisse. Pour citer un exemple, c'est ainsi que le PFPDT a agi dans l'affaire Google Street View (voir également l'ATF 138 II 346).

3. La marge de manoeuvre de la Suisse est limitée face à des violations du droit de la protection des données par des entreprises étrangères n'ayant pas de siège dans notre pays. En raison du principe de territorialité, des violations de la LPD ne peuvent être sanctionnées qu'en présence d'un rattachement suffisant avec la Suisse. Un tel rattachement était donné dans l'affaire Google Street View (ATF 138 II 346, cons. 3). C'est dans un cas d'espèce que les réelles possibilités d'intervention de la Suisse dans l'application de la FISA pourront être mesurées.

4. Le Conseil fédéral est disposé à aborder le sujet auprès des autorités étrangères concernées s'il devait avoir connaissance d'atteintes répétées aux droits de la personnalité des citoyens suisses suite à l'utilisation d'Internet. Il va également suivre avec attention les mesures prises au niveau européen. Il n'exclut pas la possibilité de conclure avec certains États des accords bilatéraux ou multilatéraux ; ces accords viseraient à empêcher, en grande partie, ce genre de violations de la protection des données (par ex. le Safe Harbor Framework avec les États-Unis).

5./6. La question de savoir dans quelle mesure des fournisseurs tels que Google, Facebook ou Twitter peuvent transmettre les données d'un utilisateur résidant en Suisse à des tiers dépend du contrat conclu entre le fournisseur et l'utilisateur en question. Le contenu de ce contrat se limite essentiellement aux conditions générales du fournisseur. La doctrine tend à qualifier de tels contrats de contrats de consommation au sens de l'article 120 LDIP et de la CL. Ils seraient ainsi impérativement soumis au droit suisse. Cela n'exclut cependant pas que le fournisseur se réserve le droit de transmettre des données à des tiers de manière appropriée. En cas de violation du contrat, l'utilisateur dispose d'un for en Suisse (art. 114 LDIP et 15 CL). La question de savoir dans quelle mesure un jugement suisse est exécutoire pour un fournisseur étranger dépend de nombreux facteurs - sur lesquels la Suisse n'a que peu d'influence - tels que le droit de l'État dans lesquel le fournisseur a son siège. Cette problématique sera traitée dans le rapport exécutant le postulat Amherd 11.3912, "Donnons un cadre juridique aux médias sociaux", du 29 septembre 2011.

7. Comme l'a démontré l'arrêt Google Street View déjà cité, la législation suisse n'est pas inopérante vis-à-vis de sociétés étrangères qui publient des données personnelles collectées en Suisse sur Internet. Le Conseil fédéral examinera toutefois dans le cadre des travaux de révision de la LPD en cours si la législation est suffisante ou non dans ce domaine.

Réponse du Conseil fédéral.

Comment protéger les données personnelles des citoyens suisses détenues par des entreprises américaines? | Lexipedia | Lexipedia