Principe de gratuité pour la trans­pa­rence au niveau fédéral

L’accès aux docu­ments offi­ciels de l’administration fédé­rale est devenu en prin­cipe gratuit depuis le 1^er novembre 2023. Le Conseil fédé­ral a en effet fixé l’entrée en vigueur d’une série de modi­fi­ca­tions de la LTrans et de l’OTrans. Ces modi­fi­ca­tions font suite au dépôt de l’initiative parle­men­taire visant à « faire préva­loir la gratuité de l’accès aux docu­ments offi­ciels » en avril 2016, qui a fait l’objet de longs débats aux Chambres fédé­rales (cf. www​.swiss​pri​vacy​.law/​196).

Bien que l’administration fédé­rale ne factu­rait que rare­ment des frais pour l’accès aux docu­ments offi­ciels, il sera inté­res­sant de voir comment le prin­cipe de gratuité sera mis en œuvre par l’administration fédé­rale et à quelle vitesse les pratiques de certains offices évolue­ront (cf. p. ex. l’Office fédé­ral des trans­ports qui, sur son site web, semble prévoir la factu­ra­tion auto­ma­tique d’un émolu­ment ; à ce titre, cela semble être surtout être un reli­quat du passé).

Principe de gratuité pour les médias et les jour­na­listes dans le canton de Genève ? 

Devenant habi­tués aux esclandres, les gene­vois ont appris courant 2023 comment, d’une part, une ancienne conseillère d’État a utilisé plusieurs colla­bo­ra­teurs de l’État dans le cadre de sa campagne élec­to­rale et, d’autre part, comment elle a fait fi du règle­ment qui encadre les conflits d’intérêts au sein de l’État.

Ces révé­la­tions ont été possibles grâce à la LIPAD, qui prévoit l’accès aux docu­ments offi­ciels au niveau du canton de Genève. Dans le cadre de leurs enquêtes, les jour­na­listes se sont toute­fois vus factu­rer des émolu­ments pour leurs requêtes en trans­pa­rence. En raison de ces affaires et de la manière dont le dépar­te­ment concerné a géré les requêtes, plusieurs dépu­tés du Grand conseil gene­vois, et de diffé­rents courants poli­tiques, ont déposé un projet de loi visant à assu­rer la gratuité de la trans­pa­rence pour les médias et les jour­na­listes appe­lés à suivre régu­liè­re­ment les affaires gene­voises (PL 13361 — La trans­pa­rence est un droit !). Le projet a été renvoyé en Commission le 12 octobre 2023.

Bien que louable dans son objec­tif de garan­tir la gratuité de la trans­pa­rence pour les médias et les jour­na­listes, le projet de loi suscite le ques­tion­ne­ment quant à la défi­ni­tion précise du cercle des béné­fi­ciaires. Dans quel cas un média ou un jour­na­liste est-il appelé à suivre régu­liè­re­ment les affaires gene­voises ? Pour assu­rer une gratuité effec­tive, il est essen­tiel que les dépu­tés du Grand conseil gene­vois veillent à une formu­la­tion claire afin d’éviter des inter­pré­ta­tions diver­gentes. En pratique, et si tant est que le projet est accepté, il est probable que l’administration canto­nale accorde auto­ma­ti­que­ment l’accès gratuit aux docu­ments offi­ciels aux médias et aux journalistes.

Il sera inté­res­sant de voir comment le projet de loi sera traité par le Grand conseil gene­vois. Dans tous les cas, toute avan­cée vers un renfor­ce­ment de la trans­pa­rence, même si elle n’est qu’une possi­bi­lité, mérite d’être saluée vu son impor­tance dans une société démocratique.

Des nouvelles règles en matière de protec­tion des données pour les cantons

En matière de protec­tion des données, les légis­la­tions canto­nales en matière de protec­tion des données doivent être adap­tées pour respec­ter le droit supé­rieur, à savoir notam­ment la Convention (moder­ni­sée) 108+ du Conseil de l’Europe pour la protec­tion des personnes à l’égard du trai­te­ment des données à carac­tère person­nel, ainsi que la Directive (UE) 2016/​680 rela­tive à la protec­tion des personnes physiques à l’égard du trai­te­ment des données à carac­tère person­nel par les auto­ri­tés compé­tentes à des fins de préven­tion et de détec­tion des infrac­tions pénales, d’enquêtes et de pour­suites en la matière ou d’exécution de sanc­tions pénales, et à la libre circu­la­tion de ces données.

Les cantons romands ont tous entamé, en ordre dispersé, la révi­sion de leur légis­la­tion en matière de protec­tion des données, parfois sous la forme d’une révi­sion partielle (p. ex. Jura-Neuchâtel, Valais, Genève) ou sous la forme d’une révi­sion totale (p. ex. Fribourg ou Vaud). Voici un aperçu des avan­cées légis­la­tives en la matière, orga­nisé selon la vitesse d’implémentation des diffé­rents cantons romands :

• Cantons du Jura et de Neuchâtel : La révi­sion de la Convention inter­can­to­nale rela­tive à la protec­tion des données et à la trans­pa­rence dans les cantons du Jura et de Neuchâtel est entrée en vigueur le 1^eroctobre 2022 déjà.
• Canton de Fribourg : La révi­sion de la Loi fribour­geoise sur la protec­tion des données est entrée en vigueur le 1^erjanvier 2024 (cf. swiss​pri​vacy​.law/​273).
• Canton du Valais : La révi­sion de la Loi valai­sanne sur l’information du public, la protec­tion des données et l’archivage est entrée en vigueur le 1^erjanvier 2024 (cf. swiss​pri​vacy​.law/​243).
• Canton de Genève : La révi­sion de la Loi gene­voise sur l’information du public, l’accès aux docu­ments et la protec­tion des données person­nelles sera prochai­ne­ment débat­tue par le Grand conseil gene­vois, celle-ci ayant été renvoyée en commis­sion le 31 août 2023 (PL 13347). Il faut s’attendre à une entrée en vigueur d’ici le 1^erjanvier 2025.
• Canton de Vaud : La révi­sion de la Loi vaudoise sur la protec­tion des données se fait en deux étapes. Le légis­la­teur a adopté le 2 mai 2023 la Loi vaudoise sur la protec­tion des données person­nelles dans le cadre de l’application de l’acquis de Schengen dans le domaine pénal pour se confor­mer à la Directive (UE) 2016/​680 ; celle-ci est entrée en vigueur le 1^erseptembre 2023. S’agissant de la Loi vaudoise sur la protec­tion des données, elle présente des enjeux plus éten­dus ; une révi­sion géné­rale est donc en cours. Il faut s’attendre à des avan­cées légis­la­tives courant 2024, notam­ment par le probable dépôt du projet de révi­sion totale par le Conseil d’État vaudois auprès du Grand conseil vaudois. Il est diffi­cile à ce stade de parler d’une entrée en vigueur.

Réélection du PFPDT

Le 20 décembre 2023, les Chambres fédé­rales ont décidé de recon­duire le préposé fédé­ral Adrian Lobsiger dans ses fonc­tions, déjà en charge du PFPDT, pour la période 2024–2027. Il s’agira de son dernier mandat. À noter que le poste n’a pas été mis au concours par la Commission judi­ciaire dès lors que le préposé avait exprimé le souhait de briguer un dernier mandat.

Loi fédé­rale sur l’utilisation de moyens élec­tro­niques pour l’exécution des tâches des autorités

Le 22 novembre 2023, le Conseil fédé­ral annon­çait fixer au 1^er janvier 2024 la date d’entrée en vigueur de la Loi fédé­rale sur l’utilisation des moyens élec­tro­niques pour l’exécution des tâches des auto­ri­tés (LMETA) et de l’ordonnance qui s’y rapporte (OMETA). La LMETA fixe les condi­tions géné­rales de plusieurs acti­vi­tés, à savoir le déve­lop­pe­ment de la cybe­rad­mi­nis­tra­tion à l’échelon de la Confédération, la colla­bo­ra­tion de la Confédération avec d’autres collec­ti­vi­tés et orga­ni­sa­tions dans le domaine de la cybe­rad­mi­nis­tra­tion et la four­ni­ture de pres­ta­tions admi­nis­tra­tives élec­tro­niques. À noter que l’entrée en vigueur de la LMETA se fait par étapes : elle s’applique depuis le 1^er janvier 2024 à l’administration fédé­rale centrale et, s’appliquera, dans un deuxième temps, et selon une date encore à défi­nir, aux unités de l’administration fédé­rale décentralisée.

Identité élec­tro­nique : retour vers le futur

Le 7 mars 2021, le peuple suisse reje­tait dans les urnes la Loi fédé­rale du 27 septembre 2019 sur les services d’identification élec­tro­nique (cf. www​.swiss​pri​vacy​.law/25). Trois jours après cet échec, des parle­men­taires fédé­raux de tous les groupes ont déposé des motions iden­tiques deman­dant au Conseil fédé­ral de mettre une iden­ti­fi­ca­tion élec­tro­nique fiable. Conscient des enjeux, le Conseil fédé­ral a pris le 17 décembre 2021 une déci­sion de prin­cipe dans laquelle il jetait les bases de la future e‑ID, sous la forme d’une preuve d’identité numé­rique émise par l’État.

Le Conseil fédé­ral a adopté le 22 novembre 2023 le message concer­nant le projet de nouvelle Loi fédé­rale sur l’identité élec­tro­nique et d’autres moyens de preuves élec­tro­niques (2023 FF 2843). Le projet de Loi sur l’e‑ID prévoit que l’émission de l’e‑ID sera du ressort de la Confédération, qui offrira l’infrastructure néces­saire à son utili­sa­tion. Il est égale­ment prévu que l’infrastructure créée pour exploi­ter l’e‑ID soit ouverte aux auto­ri­tés canto­nales et commu­nales, de même qu’aux acteurs du secteur privé, de manière à former un écosys­tème de preuves numé­riques. Il pourra être donc possible d’utiliser l’infrastructure pour établir et utili­ser des docu­ments tels que des attes­ta­tions de domi­cile, des extraits de registres, etc. La protec­tion des données occupe fina­le­ment une place centrale dans ce projet.

Le projet de Loi sur l’e‑ID sera traité par les chambres fédé­rales prochai­ne­ment (Objet 23 073). Il est actuel­le­ment étudié par les Commissions des affaires juri­diques. L’évolution de l’e‑ID étatique peut être suivie à cette adresse.

Loi sur la sécu­rité de l’information

Le 8 novembre 2023, le Conseil fédé­ral annon­çait fixer au 1^er janvier 2024 la date d’entrée en vigueur de la Loi fédé­rale sur la sécu­rité de l’information (LSI) et de ses quatre ordon­nances d’exécution, à savoir :

• l’Ordonnance sur la sécu­rité de l’information dans l’administration fédé­rale et l’armée (OSI) ;
• l’Ordonnance sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération (OIAM) ;
• l’Ordonnance sur la procé­dure de sécu­rité rela­tive aux entre­prises (OPSEnt) ; et
• l’Ordonnance sur les contrôles de sécu­rité rela­tifs aux personnes (OCSP).

La LSI réunit en un seul acte les bases légales les plus impor­tantes pour la sécu­rité des infor­ma­tions et des moyens infor­ma­tiques de la Confédération. Elle a pour but de renfor­cer la protec­tion des infor­ma­tions et la cyber­sé­cu­rité au sein de la Confédération, mais égale­ment, et de manière plus large, les infor­ma­tions et les données fédé­rales qui sont trai­tées par les tiers, les cantons ou les parte­naires internationaux.

Office fédé­ral de la cyber­sé­cu­rité : entre ®évolu­tion et prise de conscience 

Le 18 mai 2022, et en raison de l’importance consi­dé­rable que prenait la cyber­sé­cu­rité, le Conseil fédé­ral annon­çait une évolu­tion consis­tant à la créa­tion d’un nouvel Office fédé­ral de la cyber­sé­cu­rité (OFCS), en rempla­ce­ment du Centre natio­nal pour la cyber­sé­cu­rité (NCSC), celui-ci devant être ratta­ché au Département fédé­ral de la défense, de la protec­tion de la popu­la­tion et des sports et non plus auprès du Département fédé­ral des finances.

Le nouvel OFCS est opéra­tion­nel depuis le 1^er janvier 2024. Il est consi­déré comme le centre de compé­tences de la Confédération en matière de cyber­me­naces (art. 15a Org-DDPS).

Obligation de signa­ler les cybe­rat­taques contre les infra­struc­tures critiques

Les chambres fédé­rales ont adopté le 29 septembre 2023 une révi­sion partielle de la LSI établis­sant une nouvelle obli­ga­tion consis­tant au signa­le­ment des cybe­rat­taques contre les infra­struc­tures critiques (FF 2023 85). Concrètement, cette nouvelle obli­ga­tion oblige les exploi­tants d’infrastructures critiques (p. ex. hautes écoles, auto­ri­tés fédé­rales, canto­nales et commu­nales, entre­prises éner­gé­tiques) à annon­cer au NCSC les cybe­rat­taques visant leurs moyens informatiques.

Outre le délai réfé­ren­daire qui court jusqu’au 18 janvier 2024, cette modi­fi­ca­tion exige une refonte complète du chapitre 5 de la LSI, raison pour laquelle le projet rela­tif aux dispo­si­tions d’exécution sera présenté dans le courant de cette année. On peut espé­rer une entrée en vigueur de cette nouvelle obli­ga­tion d’ici au 1^er janvier 2025.

Intelligence arti­fi­cielle : des avan­cées en ordre dispersé

L’intelligence arti­fi­cielle (IA) est certai­ne­ment le sujet d’actualité le plus brûlant de l’année 2023 et conti­nuera sans aucun doute à l’être en 2024. Si cette théma­tique occupe énor­mé­ment le monde jour­na­lis­tique, cela est égale­ment vrai pour le monde juri­dique. Des avan­cées signi­fi­ca­tives ont d’ailleurs eu lieu ces derniers mois, tant en Suisse qu’à l’international.

Au niveau inter­na­tio­nal, le Conseil fédé­ral ambi­tionne depuis toujours de jouer un rôle actif dans la concep­tion du cadre régle­men­taire inter­na­tio­nal sur l’IA (cf. Rapport intel­li­gence arti­fi­cielle et régle­men­ta­tion inter­na­tio­nale et commu­ni­qué de presse du 13 avril 2022). Un tel cadre est en cours d’élaboration par le Conseil de l’Europe, notam­ment par le biais de son Comité sur l’intelligence arti­fi­cielle. Ce dernier a pour tâche de déve­lop­per une Convention-cadre sur l’intelligence arti­fi­cielle, les droits de l’homme, la démo­cra­tie et l’État de droit public. Le Comité sur l’intelligence s’est déjà réuni huit fois et la prochaine séance de travail est agen­dée entre les 23 et 26 janvier 2024, dans le cadre de laquelle sera examiné le projet de convention-cadre.

En Suisse, le Conseil fédé­ral a (enfin) chargé le 22 novembre 2023 le Département fédé­ral de l’environnement, des trans­ports, de l’énergie et de la commu­ni­ca­tion (DETEC) d’élaborer un aperçu des approches régle­men­taires possibles, qui devrait être dispo­nible fin 2024, en vue de l’octroi d’un mandat concret pour un projet de loi sur l’IA d’ici 2025. L’idée du Conseil fédé­ral est de permettre l’exploitation du poten­tiel de l’IA tout en rédui­sant autant que possible les risques pour la société. Conscient de son impor­tance, le Conseil fédé­ral réagit rapi­de­ment aux déve­lop­pe­ments rela­tifs à l’IA : dans sa réponse au « Postulat 23.3201 » déposé par Marcel Dobler, le Conseil fédé­ral enten­dait initia­le­ment déter­mi­ner les besoins d’agir d’ici fin 2024. Il sera dans tous les cas inté­res­sant de voir si l’étude du DETEC préco­ni­sera une approche secto­rielle, à l’instar des recom­man­da­tions du Rapport du groupe de travail inter­dé­par­te­men­tal « Intelligence arti­fi­cielle » de 2019, ou une approche plus globale, par le biais de l’adoption d’une loi spéci­fique. À noter fina­le­ment que le PFPDT a rappelé le 9 novembre 2023 que la LPD est direc­te­ment appli­cable aux trai­te­ments de données basés sur l’IA.

En Europe, le Parlement euro­péen et le Conseil de l’Union euro­péenne sont parve­nus le 9 décembre 2023 à un accord provi­soire concer­nant la propo­si­tion de règle­ment sur l’IA. Le texte doit désor­mais encore être formel­le­ment adopté par le Parlement et le Conseil. Dans l’attente de cette forma­li­sa­tion, la Commission euro­péenne a d’ores et déjà mis à jour sa foire aux ques­tions concer­nant le règle­ment sur l’IA. Le règle­ment sur l’IA ayant un champ d’application extra­ter­ri­to­rial, son adop­tion aura des réper­cus­sions impor­tantes pour les pays situés en dehors de l’Union euro­péenne. À ce titre, l’Office fédé­ral de la commu­ni­ca­tion (OFCOM), ratta­ché au DETEC, assure un suivi régu­lier des consé­quences de la stra­té­gie numé­rique de l’Union euro­péenne sur la Suisse, dont fait partie le règle­ment sur l’IA. Un docu­ment d’analyse a d’ailleurs été publié par l’OFCOM le 28 avril 2023.

Aux États-Unis, le Président Biden a publié le 30 octobre 2023 un décret prési­den­tiel (Executive Order) sur l’intelligence arti­fi­cielle. En bref, le décret établit de nouvelles normes pour la sûreté et la sécu­rité de l’IA, vise à proté­ger la vie privée des Américains, faire progres­ser l’équité et les droits civils, défendre les consom­ma­teurs et les travailleurs, promou­voir l’innovation et la concur­rence, faire progres­ser le leader­ship améri­cain dans le monde, et plus encore. Un résumé du décret prési­den­tiel est acces­sible à cette adresse.

Finalement, et toujours aux États-Unis, les dépu­tés de la Chambre des repré­sen­tants (chambre basse du Congrès des États-Unis) Anna Eshoo et Don Beyer ont présenté une propo­si­tion de loi concer­nant les modèles de fonda­tions d’intelligence arti­fi­cielle (AI Foundation Model Transparency Act). Un résumé de cette propo­si­tion est dispo­nible à cette adresse.

Écosystème de données suisse

Le Conseil fédé­ral a adopté le 8 décembre 2023 un ensemble de mesures jetant les bases d’un écosys­tème de données suisses. Le but est de mieux exploi­ter le poten­tiel des données en Suisse, qui doivent pouvoir être utili­sées de manière fiable au profil de la société, de la recherche et de l’économie. Les mesures prévues sont dispo­nibles à cette adresse.

Transformation numé­rique de la Suisse

Toujours en date du 8 décembre, le Conseil fédé­ral a pris des déci­sions concer­nant la trans­for­ma­tion numé­rique de la Suisse, en se penchant sur trois stra­té­gies, à savoir :

• la stra­té­gie Suisse numé­rique, qui fixe les lignes direc­trices de la trans­for­ma­tion numé­rique de la Suisse et donne aux acteurs de la numé­ri­sa­tion, publics et privés, un cadre sur lequel s’appuyer ;
• la stra­té­gie Administration numé­rique suisse, qui est une stra­té­gie commune de la Confédération, des cantons, des villes et des communes et qui s’adresse de manière trans­ver­sale aux admi­nis­tra­tions publiques ; et
• la stra­té­gie Administration fédé­rale numé­rique, qui traite spéci­fi­que­ment de la trans­for­ma­tion numé­rique de l’administration fédérale.

Activités parle­men­taires

Dans les domaines préci­tés, les Chambres fédé­rales ne sont pas en reste. Plusieurs parle­men­taires ont récem­ment déposé motions et inter­pel­la­tions dans des sujets divers liés au numé­rique, avec déjà pour la plupart des réponses du Conseil fédé­ral. Il s’agit notam­ment des motions et inter­pel­la­tions suivantes :

• Postulat 23.3201 — Situation juri­dique de l’intelligence arti­fi­cielle. Clarifier les incer­ti­tudes et encou­ra­ger l’innovation.
• Motion 23.3807 — Reprise de la régle­men­ta­tion euro­péenne en matière d’intelligence artificielle.
• Motion 23.3806 — Obligation de décla­rer les recours à l’intelligence arti­fi­cielle et aux systèmes de déci­sions automatisées.
• Motion 23.3849 — Un centre ou un réseau de compé­tences pour l’intelligence arti­fi­cielle en Suisse.
• Interpellation 23.3930 — Intelligence arti­fi­cielle. Quel cadre pour en tirer le meilleur et en éviter les dérives ?
• Interpellation 23.4255 — Augmentation fréné­tique du volume de données. Faut-il inter­ve­nir en matière de gestion du volume de données et de consom­ma­tion énergétique ?
• Interpellation 23.4133 — La protec­tion légale contre la discri­mi­na­tion est-elle suffi­sante quand il est ques­tion de discri­mi­na­tion algorithmique ?
• Interpellation 23.4363 – Microsoft 365, un facteur de vulné­ra­bi­lité pour notre Armée ?
• Question 23.1051 – Quelles sont les consé­quences du cybe­rin­ci­dent qui a touché le nuage Microsoft pour le Parlement ?