Le 15 mars dernier, notre Conseiller national Jean-Luc Addor, membre de la Commission des institutions politiques du Conseil national, en charge des questions de protection des données, a adressé au Préposé fédéral à la protection des données et à la transparence le courrier suivant, auquel ledit Préposé répondra peut-être déjà demain devant la Commission :

Le 26 mars 2020, l’Office fédéral de la santé publique a rendu publique sa décision de réquisitionner, auprès de Swisscom, l’accès à des données de localisation (anonymes ou anonymisées, précisait-il), données qui devaient être évaluées 24 heures après leur collecte, uniquement en vue de détecter les rassemblements de personnes. Cette mesure est liée à l’interdiction des rassemblements dans l’espace public arrêtée par le Conseil fédéral avec effet dès le 21 mars 2020 (art. 7c de l’ordonnance 2 COVID-19). Dans son communiqué du 26 mars dernier, l’OFSP a soutenu que cette collecte massive de données de localisation ne tomberait pas sous le coup de la loi sur la protection des données au motif que les données ainsi récoltées seraient anonymisées au sens de l’art. 45b de la loi sur les télécommunications.

Je considère pour ma part que cette mesure, sans précédent à ma connaissance, est lourde de conséquences sous l’angle de la protection des données, respectivement en termes de respect du principe de proportionnalité. Elle constitue un premier pas vers une forme de « flicage » généralisé des citoyens (pardonnez-moi cette expression un peu vulgaire, mais néanmoins très parlante je crois).

Je me permets dès lors de vous poser les questions suivantes, que je me réserve de réitérer à la prochaine séance de la Commission des institutions politiques du Conseil national :

1. Est-il admissible que cette récolte de données massive ait été ordonnée, si l’on en juge par l’ordonnance du 23 mars 2020, de la seule autorité d’un directeur d’office au lieu de l’être ou d’être à tout le moins avalisée par le Conseil fédéral ?

2. La base légale invoquée dans la décision (art. 77 de la LEp, cf. II/Formelles p. 2) étant manifestement erronée, pourquoi n’êtes-vous pas intervenu de ce seul fait (pour faire respecter le principe de légalité) et comment avez-vous donc pu considérer (dans votre prise de position du 3 avril 2020) que cette récolte de données et leur exploitation sont conformes au droit de la protection des données ?

3. Cette récolte de données se limite-t-elle aux données de localisation dont dispose Swisscom pour ses seuls clients ou s’étend-elle aussi, par ce biais, aux données de localisation des clients de l’ensemble des opérations de téléphonie mobile actifs en Suisse ?

4. Les données ainsi récoltées ne constituent-elles pas autant de données personnelles au sens de l’art. 58 de la loi sur les épidémies et si oui, l’alinéa 2 de cette disposition n’impose-t-il pas à l’OFSP, contrairement à ce que celui-ci a soutenu, l’obligation de veiller au respect des dispositions relatives à la protection des données ?

5. Dans son communiqué du 26 mars 2020, l’OFSP a parlé des données de localisation. Dans celui du lendemain 27 mars, il a indiqué qu’il ne recevait jamais de données de localisation, mais uniquement des visualisations que Swisscom modélise à partir de ces données. Finalement, quels types de données Swisscom traite-t-elle, respectivement fournit-elle à l’OFSP en exécution de la demande de ce dernier, selon quelles modalités et particulièrement sur quel type de support ?

6. Quel est le cercle des personnes qui, au sein de l’OFSP, ont accès à ces données, respectivement est chargé de les traiter ? Plus précisément, qui traite ces données et quelles sont les compétences des personnes chargées de cette tâche ?

7. Le Délégué à la protection des données (DPO) de Swisscom est-il associé à cette démarche et dans l’affirmative, quel est son rôle précis ?

8. D’une manière générale, qui est responsable de s’assurer de ce que cette collecte de données ne va pas au-delà de ce qu’on nous dit ?

9. Comme Préposé fédéral à la protection des données, avez-vous été consulté avant que cette mesure ne soit prise et si oui, quelle a été votre position, le cas échéant vos directives ou recommandations à ce sujet ?

10. Dans la négative, comment expliquez-vous n’avoir pas été consulté alors que tous les régulateurs en Europe, eux, ont préavisé de telles démarches de surveillance massive ?

11. Avez-vous examiné in concreto les mesures effectivement mises en œuvre dans le cadre de cette récolte de données et si oui, quelle est votre appréciation de leur conformité à la législation sur la protection des données ?

12. Comment est-il possible d’affirmer, comme vous le faites, que les mesures organisationnelles non décrites sont conformes aux normes en matière de protection des données ?

13. Votre rôle ne consiste-t-il pas précisément à vous assurer de la réalité et de l’adéquation des mesures organisationnelles, ce d’autant que l’ensemble de la population est concerné ?

14. Vous êtes-vous assuré du fait que la pseudonymisation des données est irréversible et si oui, comment ?

15. Les autres régulateurs privilégient l’anonymisation des données réalisée dans les règles de l’art (soit permettant de limiter le risque de réidentification). Pourquoi ne le faites-vous pas, dès lors qu’en 2013 Yves-Alexandre Montjoye a démontré qu’il suffisait de savoir où une personne se trouvait à 4 reprises sur une période de temps donné pour retrouver l’ensemble de ses déplacements au sein d’un jeu de données réputé anonymisées réunissant les points de géolocalisation de 1,5 million d’Européens ?

16. En clair et en bref, avez-vous fait autre chose que de vous contenter des explications que vous a fourni la société Swisscom ?

17. Si, par extraordinaire, vous deviez n’avoir entrepris aucun contrôle, comment l’expliquez-vous alors que nous sommes face à une potentielle atteinte aux droits fondamentaux de l’ensemble de la population helvétique et que vous en êtes le garant de par la loi ?

18. Vous affirmez dans votre prise de position du 3 avril 2020 que la plate-forme MIP de visualisation est exploité depuis plusieurs années, sous-entendant ainsi qu’il est possible de lui faire confiance. Avez-vous audité cette plate-forme par le passé ?

19. Il s’avère toutefois, à la seule lecture de licence de cette plate-forme (https://mip.swisscom.ch/static/documents/44429065_License_Documentation.txt), que celle-ci n’est pas composée des seuls développements de Swisscom. Sur quoi fondez-vous dès lors votre avis lorsque vous considérez implicitement qu’il n’y a pas lieu à des vérifications ?

20. Vous n’aviez déjà entreprise aucun contrôle vis-à-vis de Swisscom ni pris aucune décision formelle lorsque cette entreprise vous avait informé en 2018 que 800’000 clients avaient fait l’objet d’accès indus à leurs coordonnées (cf. votre communiqué du 7 février 2018). Y a-t-il une raison particulière à votre mansuétude vis-à-vis de cet opérateur ?

21. Dans ces circonstances, disposez-vous encore de l’indépendance nécessaire si, lorsque les données de centaines de milliers, respectivement de millions de Suissesses et de Suisses sont exposées, vous n’entreprenez aucun contrôle formel d’aucune sorte, vous contentant (sous réserve d’éléments contraires dont je n’ai pas connaissance) des explications de la société Swisscom ?

22. Les citoyens ainsi espionnés (même si, comme on nous le dit, il ne s’agit que d’un espionnage anonyme) ont-ils un droit quelconque d’être informés au sujet de la surveillance à laquelle ils sont soumis, voire de s’y opposer ?

23. De manière générale, ne devez-vous pas considérer que le principe de proportionnalité et que le principe de légalité ne sont pas respectés par une telle collecte, dès lors qu’il eût notamment été possible de solliciter des polices cantonales et municipales qu’elles communiquent à l’OFSP les lieux où des infractions à l’ordonnance COVID avaient été commises ?

24. D’une manière plus générale, de quelles garanties les citoyens de notre pays disposent-ils que cette récolte de données de localisation anonymisées, qui s’est transformée le lendemain en une simple visualisation de données modélisées ne débouchera pas sur une forme de surveillance généralisée des citoyens et quelles garanties êtes-vous en mesure de leur donner que les données transmises à l’OFSP ne pourront pas être utilisées à d’autres fins que la lutte contre le COVID-19 ?

25. Vous êtes, semble-t-il, l’un des seuls régulateurs à avoir considéré une telle collecte de données comme légale sans fixer des garde-fous précis et protéiformes notamment inspirées de

– la recommandation de la Commission européenne du 8 avril 2020 ;
– la déclaration du Comité européen pour la protection des données (EDPB) concernant le traitement de données personnelles dans le contexte du Coronavirus du 17 mars 2020 ;
– l’avis préalable de la CNIL en cette matière.

En clair, les droits fondamentaux des citoyens suisses ont-ils une valeur moindre que celle des citoyens de pays voisins, pour lesquels des avis sont émis avant une collecte et des contrôles opérés ?

26. Ne devez-vous pas reconnaître qu’en comparaison avec celle de vos collègues européens, votre activité de régulateur est totalement insuffisante à l’aune des risques que comporte le processus de surveillance massive ordonné le 23 mars 2020 par le Directeur de l’OFSP ?

Vous comprendrez que je communique la présente à la Commission des institutions politiques du Conseil national, en relation avec le point 3 de l’ordre du jour de sa séance du 22 avril prochain.

Vous comprendrez en outre qu’au vu de l’enjeu, je me réserve de rendre publiques la présente démarche et vos réponses.