Lexipedia

Le lancement par Swisscom de l'aspirateur à données Beem est-il conciliable avec la stratégie de propriétaire de la Confédération?

19.3659 · Interpellation · 2019-06-19

Département de l'environnement, des transports, de l'énergie et de la communication

Liquidé

Wortlaut

Le public a été informé ces dernières semaines d'une révolution technologique sur le marché de la publicité. Swisscom lance ainsi la plateforme Beem, qui "rend les campagnes publicitaires classiques interactives et compatibles avec les smartphones", comme le dit le communiqué de presse. Le système Aymo, proposé par l'entreprise APG/SGA, fonctionne de manière comparable : au moyen de signaux de haute fréquence, elle permet d'afficher des publicités ciblées, en fonction du contenu consulté de l'application concernée (20 minutes, Watson, Bluewin). Si le lancement de Beem a été reporté suite au dépôt de nombreuses plaintes, Aymo est d'ores et déjà en service et enregistre notamment l'emplacement des utilisateurs si ceux-ci ont activé le partage de position dans l'application. APG/SGA affirme ne pouvoir accéder ni à l'adresse IP, ni au numéro de portable, ni au nom ou à l'adresse électronique, mais n'en admet pas moins elle-même établir des profils de groupes cibles.

Aussi prié-je le Conseil fédéral de bien vouloir répondre aux questions suivantes :

1. Comment se fait-il que le préposé fédéral à la protection des données et à la transparence ne se soit pas penché à ce jour sur Beem ?

2. La Confédération, propriétaire de Swisscom, approuve-t-elle ce type de stratégies commerciales ? Dans l'affirmative comme dans la négative : pourquoi ?

3. Combien d'offres comparables, basées sur GPS ou Bluetooth, sont-elles proposées en Suisse ?

4. Est-il certain que ces systèmes envoient uniquement des données vers le téléphone, sans amener celui-ci à renvoyer des données en retour ?

5. Est-il possible de contraindre les fournisseurs à proposer un système d'"opt-in" ou d'"opt-out" (même en cas d'utilisation récurrente)?

6. La politique de confidentialité de Beem n'interdit pas expressément la réutilisation des données par des tiers et rejette toute responsabilité sur les utilisateurs. Qu'en pense le Conseil fédéral ?

7. Que se passe-t-il lorsque l'on croise entre elles des banques de données ainsi constituées (par ex. emplacements avec appartenances associatives)?

8. Combien de personnes ou d'espèces animales sont-elles gênées par les signaux de haute fréquence ?

9. Est-il prévu de diffuser de tels signaux de haute fréquence par la télévision de service public ?

10. Le Conseil fédéral prévoit-il d'allouer des fonds de recherche à la cybersécurité des consommateurs (et non plus seulement des autorités et des entreprises)?

Stellungnahme des Bundesrates

1. Afin d'améliorer la protection et la sécurité des données, les fabricants de systèmes ou de programmes de traitement de données ainsi que les particuliers ou les organes fédéraux qui traitent des données personnelles peuvent soumettre leurs systèmes, leurs procédures et leur organisation à une évaluation par des organismes de certification agréés et indépendants. Le préposé fédéral à la protection des données et à la transparence (PFPDT) ne peut effectuer lui-même des évaluations en vue de certifier des systèmes informatiques.

Toutefois, le PFPDT conseille et surveille les particuliers et les organes fédéraux pour ce qui est du respect des dispositions légales en matière de protection des données. Il contribue donc à sensibiliser et à informer non seulement les personnes qui traitent des données à caractère personnel (à savoir les responsables du traitement des fichiers ou maîtres de fichiers), mais aussi les personnes dont les données sont traitées (à savoir les personnes concernées).

Par ailleurs, le préposé peut intervenir si les responsables du traitement des fichiers ne respectent pas les principes de la protection des données. Il suit donc également de près la situation concernant la plateforme Beem et se réserve le droit de prendre des mesures appropriées s'il y a des raisons de penser que la plateforme pourrait être utilisée dans le but de porter une atteinte illicite aux droits de la personnalité des personnes concernées.

2. Le Conseil fédéral dirige Swisscom en fixant des objectifs stratégiques. Il attend de l'entreprise qu'elle soit gérée de manière rentable, concurrentielle et orientée vers la clientèle. Il attend également d'elle qu'elle propose sur les marchés convergents (télécommunications, technologies de l'information, radiodiffusion, médias et divertissement) des infrastructures et des services de qualité, et qu'elle contribue ainsi à la numérisation de toutes les régions de Suisse. En revanche, le Conseil fédéral n'exerce aucune influence sur les activités opérationnelles.

3. Avec Bluetooth, les signaux sont transmis directement entre l'affichage publicitaire et le téléphone portable. Les coordonnées GPS sont traitées dans le téléphone mobile. Les deux processus se déroulent sans l'intervention de fournisseurs de services de télécommunication qui, selon la loi sur les télécommunications (LTC ; RS 784.10), sont soumis à la surveillance de l'Office fédéral de la communication (OFCOM), et sans l'intervention d'autres entreprises soumises à une surveillance spécifique exercée par une autorité. Le Conseil fédéral ne dispose donc pas d'informations sur le nombre d'offres comparables en Suisse.

4. Comme il ne s'agit pas d'une transmission électromagnétique au sens de la LTC qui serait soumise à la surveillance de l'OFCOM, mais d'une transmission de son, le Conseil fédéral ne dispose d'aucune information sur cette question.

5. La publicité qui apparaît sur les applications en question via les signaux Bluetooth peut constituer une publicité de masse conformément à l'art. 3, al. 1, let. o, LCD. L'annonceur doit donc décliner son identité et obtenir le consentement du destinataire avant de diffuser la publicité ("opt-in"). De plus, il doit veiller à ce que la publicité récurrente contienne une possibilité de refus simple et gratuite qui permette au destinataire d'arrêter à nouveau la publicité ("opt-out"). À cet égard, les fournisseurs sont déjà obligés de proposer l'"opt-in" et l'"opt-out" actifs.

En outre, le principe de clarté et de vérité en matière de concurrence devrait impliquer que l'utilisateur soit informé du fait que la publicité est spécifique à l'utilisateur.

6. La communication de données personnelles à des tiers et leur utilisation ultérieure doivent respecter les dispositions relatives à la protection des données. Une transmission peut être justifiée notamment par le consentement des personnes concernées. Selon les informations de Swisscom, les données ne seraient transmises qu'avec l'accord explicite du client. Et ceci uniquement si les clients acceptent les directives des annonceurs concernant la protection des données.

7. Tout détenteur de données a le devoir de séparer clairement les différentes collectes de données et d'assurer la sécurité de ces dernières au moyen de mesures techniques et organisationnelles appropriées. Du point de vue des dispositions régissant la protection des données, les mises en lien ou combinaisons de données provenant de différentes sources portent généralement atteinte à la personnalité des personnes concernées. Conformément au principe de finalité, le traitement des données à caractère personnel peut être effectué uniquement dans le but indiqué lors de la collecte des données, prévu par une loi ou ressortant des circonstances. Avant toute mise en lien avec d'autres données, les personnes concernées doivent donc être informées en détail du traitement ultérieur des données et avoir la possibilité d'y donner leur consentement. Sans ce dernier, les combinaisons de données ne sont possibles que si elles sont prévues par une loi ou s'il existe des intérêts publics ou privés prépondérants.

8. Comme nous l'avons déjà expliqué dans le cadre de l'heure des questions à propos de la plateforme Beem (Masshardt 19.5370), la perception des perturbations par les hommes et les animaux dépend fortement de la fréquence et du volume des sons. Les seuils de perceptibilité et de perturbation majeure sont très proches pour ces sons. Si ceux-ci sont audibles, ils sont généralement déjà dérangeants. Les signaux à haute fréquence peuvent également avoir un effet perturbateur ou effrayant sur les animaux, ce qui est utilisé, par exemple, dans les dispositifs destinés à faire fuir les chats et les martres.

Les offices fédéraux compétents du Département fédéral de l'environnement, des transports, de l'énergie et de la communication Département fédéral de l'environnement, des transports, de l'énergie et de la communication s'emploient actuellement à déterminer si de telles perturbations gênantes ou nuisibles peuvent se produire avec cette nouvelle technologie publicitaire. En plus de l'évaluation de sa conception technique, les investigations comprennent également des mesures portant sur les sons émis par les appareils. Les résultats devraient être disponibles dans le courant de cette année et seront publiés sur les sites Internet des offices fédéraux de l'environnement et de la communication.

9. Le Conseil fédéral n'a pas connaissance de projets concrets visant à diffuser les sons des campagnes publicitaires interactives sur les chaînes de télévision de la SSR.

10. Selon la Stratégie nationale de protection de la Suisse contre les cyberrisques 2018-2022, aucun financement spécifique de recherche sur la cybersécurité n'est prévu à ce jour pour les autorités et les entreprises. Les fonds de recherche sont mis à disposition, au travers des canaux et des processus existants (par exemple, le Fonds national), pour les propositions provenant de tous les domaines, y compris les projets liés à la cybersécurité des consommateurs.

Réponse du Conseil fédéral.