ÉVALUATION DE LA LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
IV. Comment faut-il prendre en compte l'auto-évaluation?
On peut lire, année après année, les rapports d'activité du Préposé fédéral à la protection des données 11. Ces documents ne contiennent pas seulement des données statistiques révélant l'ampleur de la tâche accomplie par le Préposé et ses collaborateurs. Le Rapport est constellé de descriptions qui font état des difficultés et des stratégies adoptées, de relations anecdotiques mais vi-vantes des problèmes rencontrés, avec mention de ce que cette autorité consi-dère, souvent avec humilité, comme étant les limites de son action. Il convien-drait d'évaluer cette évaluation car 1' obligation de fournir un rapport constitue l'une des belles réalisations de l'idée selon laquelle l'aval législatif mérite en tout cas autant d'attention que l'amont. Du point de vue de ce qu'est devenue la discipline à laquelle nous consacrons ces lignes, le document mentionné a
10 ATF 124 I, p. 176 ss.
11 Ainsi, on peut consulter actuellement, également sur Internet, le 7ème Rapport d'activi-tés 1999/2000. Le Préposé fédéral à la protection des données est tenu, selon les termes de l'art. 30 LPD, de fournir périodiquement au Conseil fédéral un rapport sur son acti-vité. Il est aussi fait état des contacts internationaux que la Suisse entretient par l'inter-médiaire de cette administration (Conseil de l'Europe, UE, OCDE, principalement).
JEAN-FRANÇOIS PERRIN
cependant un statut hybride et présente certaines lacunes. L'instance d'éva-luation n'est qu'interne et ne s'avère ni contradictoire, ni «pluraliste»12. Ces particularités, auxquelles il serait relativement facile de remédier, ne privent pas ce document d'intérêt. Il a souvent des accents de vérité qui ne trompent pas. La tâche à laquelle le Préposé est actuellement attelé est devenue déme-surée. On a parfois 1' impression que le bateau prend l'eau, pas vraiment de toutes parts, mais en tout cas dans tout le domaine qui nous intéresse particu-lièrement ici, c'est-à-dire celui qui a trait à l'invasion de la vie privée consé-cutive à la propagation exponentielle des médias électroniques interactifs.
C'est certainement dans ce domaine que les problèmes les plus difficiles se posent actuellement. Le Préposé ne désarme pas mais son combat courageux ressemble un peu à celui de Don Quichotte qui se lance contre les moulins à vent. Il reconnaît (implicitement) que la déferlante passe sans qu'il puisse faire grand-chose13. On peut d'ailleurs souvent lire ou entendre que ce moyen de communication boulimique constitue une «zone de non-droit» 14. C'est en tout cas faux si l'on se réfère aux dispositions du Code pénal qui pourraient d'ores et déjà afficher l'ambition de faire régner l'ordre dans ce domaine15.
C'est vrai, par contre, si l'on se réfère aux statistiques d'application de ces textes. C'est au point que le Tribunal fédéral lui-même, oubliant dans ses considérants jusqu'à 1' existence de la LPD et les efforts de son Préposé, en
12 L'étiquette «pluraliste» convient à des évaluations qui empruntent des méthodologies très différentes. L'idée générale peut s'exprimer dans les termes très simplifiés sui-vants: il s'agit de faire état des avis émis par les diverses catégories d'acteurs impli-qués, qui sont appelés à donner leur point de vue dans le cadre d'une recherche, sous le contrôle d'une «instance» qui gère tout le processus d'évaluation. Pour la justification théorique de cette approche, cf. notamment IOANNIS PAPADOPOULOS, Complexité so-ciale et politiques publiques, Paris 1995, p. 126 ss.
13 Voici un exemple: «Bon nombre d'entreprises rassemblent déjà des données person-nelles sur leurs clients. Leur but: mettre sur pied des banques de données pour per-sonnaliser leur offre. Si les consommateurs n'en sont pas informés, leur confiance s'en trouve atteinte» (Rapport cité, note no 11, p. 157). On a envie de demander au Préposé ce qu'il souhaite entreprendre et propose pour restaurer cette confiance.
14 Ainsi, par exemple, «J'achète mieux»: «[ ... ] il n'y a pas encore du tout de protection l'Office fédéral de la statistique.
ÉVALUATION DE LA LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES PERSONNELLES
vient à découvrir que les utilisateurs de cet instrument à la mode sont prati-quement sans défense face à la violation de leur vie privée16•
Les rapports du Préposé sont donc des documents de base intéressants qui mériteraient cependant d'être à tout le moins complétés par des évalua-tions externes faisant état du point de vue des personnes protégées, ainsi que des commerçants ou des administrations qui éprouvent des difficultés à res-pecter les principes posés par cette législation. De telles enquêtes, pluralistes, publiques, existent dans de nombreux pays (cf. infra) et il est regrettable que la Suisse, dans ce domaine comme dans d'autres, accumule un retard inquié-tant. Les pays de l'Union européenne collaborent intensivement sur le thème de la comparaison et de l'harmonisation de leur politique en matière de pro-tection des données 17. La recherche comparative pourrait et devrait suivre les évolutions, tant en ce qui concerne le domaine du fait que celui du droit. Il est intéressant de constater que les instances européennes ont pris acte avec sa-tisfaction de 1' état de la législation suisse 18. Le constat porte sur 1' état théo-rique de la législation qui, évidemment, était satisfaisant dès l'entrée en vi-gueur de la LPD. Le tableau serait moins rose si la réalité de l'application des normes était prise en considération.
16 C'est ce que nous pouvons déduire de l'extrait suivant tiré d'une décision très récente:
«Das Kommunikationssystem des Internet-Verkehrs soli dem Vernehmen na ch keine gleichartige Vertraulichkeit gewiihrleisten konnen wie etwa die Telefon- oder Telegrafie-dienste. Der Benützer müsse sich vielmehr bewusst sein, dass seine Mitteilungen von Drittbenützern abgefangen bzw. zur Kenntnis genommen werden konnen» (ATF 126 I, p. 65).
17 On peut prendre connaissance avec profit de l'ensemble des travaux du «Groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel», institué par l'art. 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des individus à l'égard du traite-ment des données à caractère personnel et à la libre circulation de ces données, JOL 281, 23 novembre 1995, p. 31. Disponible à l'adresse suivante: www.europa.eu .int/comm/
dg15/fr/media/dataprot/index.htm
Ce groupe émet des «Rapports annuels» qui font le point concernant cette protection en Europe. Il y est aussi question des «Dialogues avec les pays tiers», sur les problémes relatifs à la protection des données. On voudrait que ces «dialogues» portent plus sur la protection qui se réalise effectivement et moins sur l'état de normes qui n'existent le plus souvent que sur le papier.
18 Cf. Avis no 5/99, émis par le «Groupe» cité à la note n° 17, adopté le 7 juin 1999 (doc 5054/99/final, WP22), disponible à l'adresse Internet indiquée.
JEAN-FRANÇOIS PERRIN