Dans notre société moderne, les exigences à l’égard d’une mobilité à la fois multimodale et durable sont élevées. Toutefois, les grands projets numériques ne peuvent emporter l’adhésion des citoyens que si la sphère privée des usagers est protégée. Les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs concernés à investir en amont dans des concepts favorisant la protection des données. De plus, pour une surveillance efficace, il convient de mener à terme la révision urgente de la loi fédérale sur la protection des données, lors de la session de mars 2020.
Des projets numériques durables sont élaborés pour concilier les exigences croissantes en termes de mobilité avec la raréfaction des réserves de terrain et d’énergie, ainsi qu’avec la nécessité de préserver le climat. Des données sur la mobilité sont enregistrées en permanence, et utilisées de manière intensive par les entreprises, tant publiques que privées, ainsi que par les autorités, ce qui tend à augmenter la pression sur la sphère privée des usagers des transports. C’est pourquoi, de l’avis des préposé(e)s à la protection des données de la Confédération et des cantons, une politique des transports ne peut être durable que si elle instaure la confiance par des investissements en faveur de la protection de la sphère privée et de l’autodétermination informationnelle des citoyennes et des citoyens.
De nos jours, toute personne qui se déplace sur la route, sur les rails ou dans les airs est accompagnée numériquement. Les applications sur le trafic, les capteurs des particuliers et des autorités ou les véhicules connectés enregistrent et mesurent nos déplacements dans l’espace public ainsi que le temps que nous passons dans les lieux privés. L’analyse de ces données combinées peut donner lieu à l’établissement de profils de déplacement et de personnalité. Certaines technologies, telles que la reconnaissance faciale, menacent même d’abolir la liberté et l’anonymat des déplacements dans l’espace public au profit d’une surveillance totale. Face à ces risques, les autorités fédérales et cantonales de la protection des données invitent donc les opérateurs de projets numériques de mobilité à investir suffisamment tôt dans des concepts offrant des garanties adéquates en matière de protection de la sphère privée et d’autodétermina-tion informationnelle des usagers de la route.
Défis pour le PFPDT
D’une manière générale, ceux qui traitent des données dans le secteur de la mobilité sont invités à garantir la transparence de leurs pratiques à l’égard des personnes concernées, de façon à fournir à ces derniers des options numériques leur permettant de donner leur consentement éclairé au traitement de leurs données, dans le respect des principes de la proportionnalité et de la finalité.
Parmi les priorités du PFPDT dans le domaine du traitement des données sur la mobi-lité figure le projet Tarification de la mobilité, lancé sous l’égide de la Confédération. Ce projet implique la saisie du comportement de déplacement des usagers et ainsi le traitement d’une très grande quantité de données personnelles. Ce traitement permet l’établissement rapide de profils de déplacement qui, en relation avec d’autres données personnelles, peuvent conduire à l’établissement de profils de personnalité, lesquels requièrent un niveau de protection accru. Le PFPDT a enjoint à l’Office fédéral des routes (OFROU) de veiller à disposer d’un service interne de la protection des données doté de compétences et de ressources suffisantes. Ce service doit être impliqué suffisamment tôt dans le projet, et garantir la réalisation des nécessaires analyses d’impact des risques, l’intégration de technologies favorisant la protection des données dans les applications dès leur conception et la planification des ressources nécessaires. Par ailleurs, tous les éléments en relation avec la protection des données doivent être documentés de façon à pouvoir être mis à la disposition du PFPDT dans le cadre de ses tâches de conseil et de surveillance.
Une autre priorité doit être accordée aux applications de billetterie électronique. Dans ce cadre, des profils de déplacement des usagers sont enregistrés pour permettre la facturation. Le PFPDT a souligné que ces dispositifs ne devaient comprendre aucune obligation directe ou indirecte de communication de données personnelles. Les clients doivent pouvoir disposer, en alternative aux modèles prévus, d’options leur permettant de voyager aux mêmes conditions, c’est-à-dire sans subir de discrimination, de façon anonyme et sans communiquer leurs données personnelles. Si des profils de personnalité sont établis à partir du suivi des données de localisation, le niveau de protection accru requis pour les données personnelles particulièrement sensibles doit être garanti.
Activités des cantons
Les préposés cantonaux à la protection des données sont eux aussi confrontés aux développements dans le domaine de la mobilité. La surveillance automatisée des véhicules et du trafic routier ne doit pas excéder ce qui est nécessaire pour atteindre l’objectif. Les véhicules volés ne sont pas «récupérés» si leur plaque d’immatriculation est simplement reconnue automatiquement, mais uniquement si, dans le même temps, une patrouille de police peut intervenir pour extraire le véhicule du trafic routier. Comme ces interventions impliquent vite des besoins en effectifs élevés, d’aucuns pourraient imaginer un système de reconnaissance faciale automatisée permettant d’identifier, en même temps que la plaque, la personne conduisant le véhicule volé. Cependant, la reconnaissance faciale automatisée augmenterait considérablement le risque d’atteinte aux droits fondamentaux: la mise en place des bases législatives nécessaires requiert donc au préalable un débat sociétal à grande échelle.
Par ailleurs, le principe de proportionnalité pourrait également être mis à mal dès lors que l’identification automatique des véhicules ne serait pas uniquement utilisée pour retrouver des véhicules volés, mais que les données ainsi collectées seraient également comparées à la liste des amendes d’ordre en souffrance (p. ex. amendes de stationnement).
Urgence de la révision de la LPD
Au vu des risques induits par le traitement des données dans le cadre des projets numériques de mobilité, il existe un intérêt public prépondérant à ancrer enfin dans la législation sur la protection des données l’utilisation d’outils de travail modernes et adaptés aux risques, tels que l’analyse d’impact relative à la protection des données personnelles.
Il est donc urgent de remanier entièrement l’actuelle loi fédérale sur la protection des données (LPD), qui date des années quatre-vingt-dix, pour adapter la législation aux évolutions technologiques et sociétales de fond. Lors de leur prochaine session de mars 2020, les Chambres fédérales se pencheront une nouvelle fois sur la révision totale de la LPD, qui prévoit explicitement l’intégration des outils de travail adéquats précités. Il est à espérer que ce processus législatif parlementaire entamé en septembre 2017 arrivera bientôt à son terme.
Les cantons doivent pour leur part adapter leur législation sur (l’information et) la protection des données aux nouvelles exigences juridiques internationales. À l’heure actuelle, seuls quelques-uns d’entre eux l’ont fait.
Les préposé(e)s à la protection des données de la Confédération et des cantons sont disponibles jusqu’ à 12h00 pour des entretiens:
Adrian Lobsiger, Préposé fédéral à la protection des données et à la transparence
Téléphone 058 464 94 10, info@edoeb.admin.ch
Beat Rudin, Président de privatim, Conférence des préposé(e)s suisses à la protection des données, Préposé à la protection des données de Bâle-Ville Téléphone +41 61 201 16 40, beat.rudin@dsb.bs.ch ou datenschutz@dsb.bs.ch
Depuis 2007, la journée internationale de la protection des données est organisée chaque année le 28 janvier, à l’initiative du Conseil de l’Europe, dans toute l’Europe et au-delà. Son objectif est de sensibiliser les citoyens aux thèmes de la protection de la sphère privée et du droit à l’autodétermination informationnelle, pour initier un changement durable des comportements à l’égard des nouvelles technologies.