Depuis l’avènement des tech­no­lo­gies de l’information et de la commu­ni­ca­tion, nous utili­sons une grande variété de services déma­té­ria­li­sés faci­li­tant nos moindres faits et gestes. Les exemples sont nombreux : comman­der ses vête­ments en ligne, recou­rir à son e‑banking pour ses paie­ments, twin­ter, signer numé­ri­que­ment un docu­ment voire comman­der un timbre par SMS.

Ces services, indé­pen­dam­ment de la forme sous laquelle ils nous sont propo­sés (p. ex. par le biais d’un navi­ga­teur Internet ou d’une appli­ca­tion mobile), sont entrés de notre quoti­dien et nos habi­tudes. Plus personne n’imaginerait s’en passer. Alors le choc est toujours au rendez-vous lorsqu’un service de l’administration vous demande d’imprimer un formu­laire, de le signer et de l’adresser par voie postale pour obte­nir une pres­ta­tion, ou encore de vous dépla­cer en personne au guichet.

Nous avons tous rêvé de pouvoir comman­der notre permis de pêche ou de cueillette d’escargots en ligne, ou plus simple­ment de nous adres­ser à l’administration par voie numé­rique. Conscients de la néces­sité d’accélérer la tran­si­tion numé­rique des admi­nis­tra­tions, non sans ériger des garde-fous, les légis­la­teurs – fédé­ral ou canto­naux – inten­si­fient leurs efforts dans un domaine encore très morcelé.

L’exemple le plus récent est celui du canton de Berne, qui s’est doté d’une loi canto­nale sur l’administration numé­rique le 29 novembre 2021. Cette loi a pour but d’imposer le prin­cipe de la primauté du numé­rique, en parti­cu­lier en ce qui concerne les commu­ni­ca­tions entre auto­ri­tés ou entre une auto­rité et un admi­nis­tré. Elle prévoit aussi les assises néces­saires pour le déve­lop­pe­ment des services de base desti­nés à être utili­sés par un nombre indé­ter­miné d’autorités dans l’accomplissement par voie élec­tro­nique de leurs tâches, à l’instar des services d’identification, d’authentification et de signa­ture, des services de règle­ment de paie­ments ou du portail permet­tant d’accéder aux pres­ta­tions des autorités.

La loi bernoise sur l’administration numé­rique n’est pas le seul exemple de déve­lop­pe­ments dans le domaine du numé­rique, qui foisonne actuel­le­ment d’actualités. On pense par exemple aux grands axes de la trans­for­ma­tion numé­rique que la Confédération a fixé pour 2022 ou encore à l’initia­tive parle­men­taire 21.495 « Cybersécurité. Mise en place d’une infra­struc­ture numé­rique souve­raine et de stan­dards de sécu­rité de gouver­nance » ou encore à la révi­sion de la Loi fédé­rale du 18 décembre 2020 sur la sécu­rité de l’information au sein de la Confédération (cf. swiss​pri​vacy​.law/​117). La Commission de la poli­tique de sécu­rité du Conseil natio­nal a d’ailleurs donné suite le 14 février 2022 à l’initia­tive parle­men­taire 21.495.

On pour­rait – faus­se­ment – penser que l’administration et le numé­rique sont anti­no­miques. Après tout, l’Office fédé­ral de la santé publique rece­vait bien encore début 2020 les chiffres des conta­mi­na­tions liées à la mala­die de la COVID-19 par fax (cf. swiss​pri​vacy​.law/​119). Ce mythe d’une admi­nis­tra­tion perdue face au numé­rique est toute­fois incor­rect. La trans­for­ma­tion numé­rique de l’administration néces­site, contrai­re­ment au secteur privé, de nombreuses adap­ta­tions légis­la­tives ou de pratiques.

Le thème de la cybe­rad­mi­nis­tra­tion est donc parti­cu­liè­re­ment complexe, tant les problé­ma­tiques sont nombreuses. Dans le cadre d’une thèse de docto­rat dédiée à la cybe­rad­mi­nis­tra­tion et à la protec­tion des données, Michael Montavon s’est essayé à appré­hen­der cette matière en huit parties.

La première partie défi­nit ce qu’il faut entendre par cybe­rad­mi­nis­tra­tion et expose comment celle-ci est deve­nue une poli­tique publique commune à la Confédération, aux cantons et aux communes. L’auteur met en parti­cu­lier en évidence les impli­ca­tions du déve­lop­pe­ment de la cybe­rad­mi­nis­tra­tion en Suisse du point de vue du fédé­ra­lisme et les diffi­cul­tés qu’il suscite. En plus de ses impacts insti­tu­tion­nels, la cybe­rad­mi­nis­tra­tion est en train de défaire petit à petit les lois qui avaient été pensées en réfé­rence à un monde analo­gique. Ces lois doivent être repen­sées, d’une part, en tenant compte dans toute la mesure du possible du prin­cipe de neutra­lité tech­no­lo­gique et, d’autre part, en lais­sant au légis­la­teur la possi­bi­lité de tâton­ner et aussi éven­tuel­le­ment de se tromper.

La deuxième partie consa­crée aux fonde­ments et à la néces­sité du droit de la protec­tion des données montre comment celui-ci est apparu en réponse aux chan­ge­ments susci­tés dans la société par l’apparition de solu­tions tech­no­lo­giques. L’auteur constate trois géné­ra­tions de légis­la­tion sur la protec­tion des données qui se sont conso­li­dées de manière empi­rique et entre­voit déjà la quatrième dans laquelle le droit de la protec­tion des données sera diri­gée par l’obligation de privacy by design.

La troi­sième partie évoque le cadre norma­tif supra­na­tio­nal de la protec­tion des données, rappe­lant que les enjeux autour de l’exploitation des données person­nelles dépassent large­ment les fron­tières natio­nales et appellent des réponses cohé­rentes et concer­tées entre les États. L’auteur y déve­loppe notam­ment les possibles consé­quences de l’effet extra­ter­ri­to­rial du RGPD sur le déve­lop­pe­ment de la cybe­rad­mi­nis­tra­tion en Suisse. Il parvient à la conclu­sion que la plupart des trai­te­ments de données qui servent à l’accomplissement d’un service admi­nis­tra­tif en ligne ne sont pas soumis au RGPD même s’ils concernent des personnes se trou­vant dans l’UE, soit parce qu’ils relèvent de la puis­sance publique de la Suisse, soit parce qu’ils ne ciblent pas spéci­fi­que­ment des personnes se trou­vant dans l’UE.

La quatrième partie pose le cadre norma­tif de la protec­tion des données en Suisse. L’auteur diffé­ren­cie le droit-cadre de la protec­tion des données et les dispo­si­tions secto­rielles sur le trai­te­ment des données person­nelles. Le premier pose les prin­cipes et les dispo­si­tions géné­rales qui servent de fonde­ment au trai­te­ment des données dans le but de proté­ger les droits fonda­men­taux des personnes concer­nées. Les secondes disent quand un trai­te­ment de données est auto­risé et selon quelles moda­li­tés spéci­fiques dans la pers­pec­tive d’accomplir une certaine tâche. On distingue aussi le droit fédé­ral et le droit canto­nal de la protec­tion des données, ainsi que le droit public et le droit privé de la protec­tion des données. Mais la ligne de démar­ca­tion entre chacun d’eux semble, de l’avis de l’auteur, de plus en plus floue. Plusieurs exemples concrets sont trai­tés en lien avec la cybe­rad­mi­nis­tra­tion, dont celui de l’identifiant élec­tro­nique de personnes.

La cinquième partie aborde le sujet de la cybe­rad­mi­nis­tra­tion du point de vue de la tech­nique légis­la­tive. La tran­si­tion numé­rique impose de repen­ser le fonc­tion­ne­ment et l’organisation de l’État. Cela implique l’adoption de toute une série de nouvelles règles qu’il convient de répar­tir entre les diffé­rents niveaux d’actes légis­la­tifs. Le choix du juste niveau dépend, d’une part, de l’importance de ces règles sur le fonc­tion­ne­ment et l’organisation de l’État et, d’autre part, de l’impact qu’elles ont sur la situa­tion des citoyens. Une distinc­tion est faite égale­ment entre les normes habi­li­tantes qui auto­risent un certain organe à trai­ter des données person­nelles et les normes d’accompagnement ou décla­ra­toires, qui fixent ou rappellent certaines condi­tions à respec­ter du point de vue de la sécu­rité et de la protec­tion des données. L’auteur consi­dère qu’en vertu de l’obligation faite à l’État de réali­ser les droits fonda­men­taux dans l’ensemble de l’ordre juri­dique, le légis­la­teur ne peut pas se conten­ter de pure­ment et simple­ment auto­ri­ser tel ou tel organe de l’administration à trai­ter des données. Il doit en paral­lèle se soucier de prévoir diffé­rentes mesures d’ordre tech­nique et organisationnel.

La sixième partie traite de l’externalisation du trai­te­ment de données (ou outsour­cing) qui peut se révé­ler être un véri­table casse-tête pour les admi­nis­tra­tions, en parti­cu­lier lors du recours au cloud compu­ting. L’externalisation du trai­te­ment de données dans le cloud compu­ting corres­pond à une forme de trai­te­ment hybride. Elle réunit des aspects de l’hébergement, de la conser­va­tion de données, de la commu­ni­ca­tion,  et de la sous-trai­tance. Qu’elles soient prises isolé­ment ou conjoin­te­ment, aucune de ces formes de trai­te­ment comme les règles qui les sous-tendent ne parvient à défi­nir et à appré­hen­der le phéno­mène de l’externalisation dans son entier. Le recours au cloud compu­ting repose, selon l’auteur, sur un ensemble de règles inadap­tées qui sont inter­pré­tées au gré des besoins et des circons­tances. Pour sortir de l’insécurité juri­dique, l’auteur préco­nise l’adoption d’une régle­men­ta­tion claire et adaptée.

La septième partie est consa­crée à des aspects plus spéci­fiques de la protec­tion des données et à la situa­tion des citoyens face aux trai­te­ments des infor­ma­tions les concer­nant, en passant notam­ment en revue les diffé­rents droits qui leur sont accor­dés et en les plaçant dans le contexte de la cybe­rad­mi­nis­tra­tion. L’auteur accorde une place parti­cu­lière au droit de chaque personne de consen­tir à un trai­te­ment spéci­fique de ses données dans le but de rece­voir une certaine pres­ta­tion. Avec l’existence d’une base légale, le consen­te­ment repré­sente ainsi le prin­ci­pal motif justi­fi­ca­tif reconnu par le droit afin de trai­ter des données person­nelles. Un autre aspect étudié est l’usage d’algorithmes aux fins de rendre des déci­sions indi­vi­duelles auto­ma­ti­sées. Constatant que les règles intro­duites dans ce domaine dans la nLPD sont insuf­fi­santes, l’auteur propose l’adoption d’un code de procé­dure auto­ma­ti­sée qui devrait garan­tir l’ensemble des droits procé­du­raux d’une partie.

La huitième partie s’arrête sur les auto­ri­tés de contrôle en matière de protec­tion des données qui repré­sentent un des acteurs incon­tour­nables de la trans­for­ma­tion numé­rique puisqu’elles ont la diffi­cile tâche de conseiller et d’accompagner les collec­ti­vi­tés publiques dans ce sinueux chemin. Parce qu’elles doivent défendre des inté­rêts qui peuvent parfois entrer en porte-à-faux avec les aspi­ra­tions du gouver­ne­ment et de l’administration, la loi leur garan­tit la faculté d’agir en toute indé­pen­dance sans rece­voir d’instruction de la part d’un autre organe de l’État quel qu’il soit, sous réserve des tribu­naux. Pareille posi­tion implique, selon l’auteur, une grande respon­sa­bi­lité, laquelle doit s’accompagner d’une modes­tie tout aussi grande puisqu’elles doivent aussi veiller à respec­ter le fonc­tion­ne­ment des insti­tu­tions, la répar­ti­tion des compé­tences à l’intérieur de l’État et les proces­sus démocratiques.

L’objectif de la thèse de docto­rat de Michael Montavon était de réunir au sein d’un seul et même ouvrage des éléments de droit consti­tu­tion­nel, admi­nis­tra­tif et de protec­tion des données et de les faire dialo­guer les uns avec les autres en vue de propo­ser un manuel du droit de la cybe­rad­mi­nis­tra­tion. Ce pari est selon nous réussi. Il a enri­chi sa thèse de nombreux exemples pratiques puisés de son acti­vité au service de l’État de Fribourg et qui viennent appuyer ses réflexions et ses raisonnements.

Nous ne pouvons que recom­man­der aux admi­nis­tra­tions, et plus large­ment au monde juri­dique, de faire l’acquisition de cet ouvrage qui pourra servir de compa­gnon de voyage (ou de bous­sole) dans cette tran­si­tion numé­rique. L’ouvrage est dispo­nible à l’achat auprès de la maison d’édition Schulthess.