Recension : Michael Montavon, Cyberadministration et protection des données
Depuis l’avènement des technologies de l’information et de la communication, nous utilisons une grande variété de services dématérialisés facilitant nos moindres faits et gestes. Les exemples sont nombreux : commander ses vêtements en ligne, recourir à son e‑banking pour ses paiements, twinter, signer numériquement un document voire commander un timbre par SMS.
Ces services, indépendamment de la forme sous laquelle ils nous sont proposés (p. ex. par le biais d’un navigateur Internet ou d’une application mobile), sont entrés de notre quotidien et nos habitudes. Plus personne n’imaginerait s’en passer. Alors le choc est toujours au rendez-vous lorsqu’un service de l’administration vous demande d’imprimer un formulaire, de le signer et de l’adresser par voie postale pour obtenir une prestation, ou encore de vous déplacer en personne au guichet.
Nous avons tous rêvé de pouvoir commander notre permis de pêche ou de cueillette d’escargots en ligne, ou plus simplement de nous adresser à l’administration par voie numérique. Conscients de la nécessité d’accélérer la transition numérique des administrations, non sans ériger des garde-fous, les législateurs – fédéral ou cantonaux – intensifient leurs efforts dans un domaine encore très morcelé.
L’exemple le plus récent est celui du canton de Berne, qui s’est doté d’une loi cantonale sur l’administration numérique le 29 novembre 2021. Cette loi a pour but d’imposer le principe de la primauté du numérique, en particulier en ce qui concerne les communications entre autorités ou entre une autorité et un administré. Elle prévoit aussi les assises nécessaires pour le développement des services de base destinés à être utilisés par un nombre indéterminé d’autorités dans l’accomplissement par voie électronique de leurs tâches, à l’instar des services d’identification, d’authentification et de signature, des services de règlement de paiements ou du portail permettant d’accéder aux prestations des autorités.
La loi bernoise sur l’administration numérique n’est pas le seul exemple de développements dans le domaine du numérique, qui foisonne actuellement d’actualités. On pense par exemple aux grands axes de la transformation numérique que la Confédération a fixé pour 2022 ou encore à l’initiative parlementaire 21.495 « Cybersécurité. Mise en place d’une infrastructure numérique souveraine et de standards de sécurité de gouvernance » ou encore à la révision de la Loi fédérale du 18 décembre 2020 sur la sécurité de l’information au sein de la Confédération (cf. swissprivacy.law/117). La Commission de la politique de sécurité du Conseil national a d’ailleurs donné suite le 14 février 2022 à l’initiative parlementaire 21.495.
On pourrait – faussement – penser que l’administration et le numérique sont antinomiques. Après tout, l’Office fédéral de la santé publique recevait bien encore début 2020 les chiffres des contaminations liées à la maladie de la COVID-19 par fax (cf. swissprivacy.law/119). Ce mythe d’une administration perdue face au numérique est toutefois incorrect. La transformation numérique de l’administration nécessite, contrairement au secteur privé, de nombreuses adaptations législatives ou de pratiques.
Le thème de la cyberadministration est donc particulièrement complexe, tant les problématiques sont nombreuses. Dans le cadre d’une thèse de doctorat dédiée à la cyberadministration et à la protection des données, Michael Montavon s’est essayé à appréhender cette matière en huit parties.
La première partie définit ce qu’il faut entendre par cyberadministration et expose comment celle-ci est devenue une politique publique commune à la Confédération, aux cantons et aux communes. L’auteur met en particulier en évidence les implications du développement de la cyberadministration en Suisse du point de vue du fédéralisme et les difficultés qu’il suscite. En plus de ses impacts institutionnels, la cyberadministration est en train de défaire petit à petit les lois qui avaient été pensées en référence à un monde analogique. Ces lois doivent être repensées, d’une part, en tenant compte dans toute la mesure du possible du principe de neutralité technologique et, d’autre part, en laissant au législateur la possibilité de tâtonner et aussi éventuellement de se tromper.
La deuxième partie consacrée aux fondements et à la nécessité du droit de la protection des données montre comment celui-ci est apparu en réponse aux changements suscités dans la société par l’apparition de solutions technologiques. L’auteur constate trois générations de législation sur la protection des données qui se sont consolidées de manière empirique et entrevoit déjà la quatrième dans laquelle le droit de la protection des données sera dirigée par l’obligation de privacy by design.
La troisième partie évoque le cadre normatif supranational de la protection des données, rappelant que les enjeux autour de l’exploitation des données personnelles dépassent largement les frontières nationales et appellent des réponses cohérentes et concertées entre les États. L’auteur y développe notamment les possibles conséquences de l’effet extraterritorial du RGPD sur le développement de la cyberadministration en Suisse. Il parvient à la conclusion que la plupart des traitements de données qui servent à l’accomplissement d’un service administratif en ligne ne sont pas soumis au RGPD même s’ils concernent des personnes se trouvant dans l’UE, soit parce qu’ils relèvent de la puissance publique de la Suisse, soit parce qu’ils ne ciblent pas spécifiquement des personnes se trouvant dans l’UE.
La quatrième partie pose le cadre normatif de la protection des données en Suisse. L’auteur différencie le droit-cadre de la protection des données et les dispositions sectorielles sur le traitement des données personnelles. Le premier pose les principes et les dispositions générales qui servent de fondement au traitement des données dans le but de protéger les droits fondamentaux des personnes concernées. Les secondes disent quand un traitement de données est autorisé et selon quelles modalités spécifiques dans la perspective d’accomplir une certaine tâche. On distingue aussi le droit fédéral et le droit cantonal de la protection des données, ainsi que le droit public et le droit privé de la protection des données. Mais la ligne de démarcation entre chacun d’eux semble, de l’avis de l’auteur, de plus en plus floue. Plusieurs exemples concrets sont traités en lien avec la cyberadministration, dont celui de l’identifiant électronique de personnes.
La cinquième partie aborde le sujet de la cyberadministration du point de vue de la technique législative. La transition numérique impose de repenser le fonctionnement et l’organisation de l’État. Cela implique l’adoption de toute une série de nouvelles règles qu’il convient de répartir entre les différents niveaux d’actes législatifs. Le choix du juste niveau dépend, d’une part, de l’importance de ces règles sur le fonctionnement et l’organisation de l’État et, d’autre part, de l’impact qu’elles ont sur la situation des citoyens. Une distinction est faite également entre les normes habilitantes qui autorisent un certain organe à traiter des données personnelles et les normes d’accompagnement ou déclaratoires, qui fixent ou rappellent certaines conditions à respecter du point de vue de la sécurité et de la protection des données. L’auteur considère qu’en vertu de l’obligation faite à l’État de réaliser les droits fondamentaux dans l’ensemble de l’ordre juridique, le législateur ne peut pas se contenter de purement et simplement autoriser tel ou tel organe de l’administration à traiter des données. Il doit en parallèle se soucier de prévoir différentes mesures d’ordre technique et organisationnel.
La sixième partie traite de l’externalisation du traitement de données (ou outsourcing) qui peut se révéler être un véritable casse-tête pour les administrations, en particulier lors du recours au cloud computing. L’externalisation du traitement de données dans le cloud computing correspond à une forme de traitement hybride. Elle réunit des aspects de l’hébergement, de la conservation de données, de la communication, et de la sous-traitance. Qu’elles soient prises isolément ou conjointement, aucune de ces formes de traitement comme les règles qui les sous-tendent ne parvient à définir et à appréhender le phénomène de l’externalisation dans son entier. Le recours au cloud computing repose, selon l’auteur, sur un ensemble de règles inadaptées qui sont interprétées au gré des besoins et des circonstances. Pour sortir de l’insécurité juridique, l’auteur préconise l’adoption d’une réglementation claire et adaptée.
La septième partie est consacrée à des aspects plus spécifiques de la protection des données et à la situation des citoyens face aux traitements des informations les concernant, en passant notamment en revue les différents droits qui leur sont accordés et en les plaçant dans le contexte de la cyberadministration. L’auteur accorde une place particulière au droit de chaque personne de consentir à un traitement spécifique de ses données dans le but de recevoir une certaine prestation. Avec l’existence d’une base légale, le consentement représente ainsi le principal motif justificatif reconnu par le droit afin de traiter des données personnelles. Un autre aspect étudié est l’usage d’algorithmes aux fins de rendre des décisions individuelles automatisées. Constatant que les règles introduites dans ce domaine dans la nLPD sont insuffisantes, l’auteur propose l’adoption d’un code de procédure automatisée qui devrait garantir l’ensemble des droits procéduraux d’une partie.
La huitième partie s’arrête sur les autorités de contrôle en matière de protection des données qui représentent un des acteurs incontournables de la transformation numérique puisqu’elles ont la difficile tâche de conseiller et d’accompagner les collectivités publiques dans ce sinueux chemin. Parce qu’elles doivent défendre des intérêts qui peuvent parfois entrer en porte-à-faux avec les aspirations du gouvernement et de l’administration, la loi leur garantit la faculté d’agir en toute indépendance sans recevoir d’instruction de la part d’un autre organe de l’État quel qu’il soit, sous réserve des tribunaux. Pareille position implique, selon l’auteur, une grande responsabilité, laquelle doit s’accompagner d’une modestie tout aussi grande puisqu’elles doivent aussi veiller à respecter le fonctionnement des institutions, la répartition des compétences à l’intérieur de l’État et les processus démocratiques.
L’objectif de la thèse de doctorat de Michael Montavon était de réunir au sein d’un seul et même ouvrage des éléments de droit constitutionnel, administratif et de protection des données et de les faire dialoguer les uns avec les autres en vue de proposer un manuel du droit de la cyberadministration. Ce pari est selon nous réussi. Il a enrichi sa thèse de nombreux exemples pratiques puisés de son activité au service de l’État de Fribourg et qui viennent appuyer ses réflexions et ses raisonnements.
Nous ne pouvons que recommander aux administrations, et plus largement au monde juridique, de faire l’acquisition de cet ouvrage qui pourra servir de compagnon de voyage (ou de boussole) dans cette transition numérique. L’ouvrage est disponible à l’achat auprès de la maison d’édition Schulthess.
Proposition de citation : Livio di Tria, Recension : Michael Montavon, Cyberadministration et protection des données, 21 février 2022 in www.swissprivacy.law/127
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.