Partager ses données de manière autodéterminée

Autodétermination numérique 08:24

Après 30 ans, la première loi suisse sur la protection des données est remplacée par une révision totale. Des acteurs mondiaux utilisent nos données pour leurs offres, alors que seuls quelques-uns en profitent. La société et l'État ont intérêt à utiliser ces données dans des domaines importants. Les acteurs privés peuvent également agir plus efficacement s'ils peuvent utiliser les données. Des espaces de données communs plutôt que des silos isolés sont nécessaires. Le présent rapport, soutenu par des représentants de différents domaines, montre la voie à suivre. Le modèle suisse inspire confiance et est viable. La confiance est la base du partage et de l'utilisation de nos données et permet d'exploiter pleinement le potentiel de l'économie de partage des données.

Résumé des recommandations de la SATW

La SATW recommande à la Confédération de créer un cadre légal afin de relever les défis majeurs liés à la mise en place d'espaces de données fiables en Suisse et de promouvoir ainsi une meilleure utilisation des données personnelles. Les droits à l'autodétermination numérique des citoyens doivent être pris en compte afin de contrer les réticences. Les intérêts de l'économie doivent être pris en compte de manière appropriée et une approche inclusive doit être adoptée afin de trouver une vision commune. Il est également recommandé de prendre en compte l'interopérabilité internationale afin de garantir l'échange entre différents espaces de données.

L'importance des données : Défis et opportunités pour la transformation numérique

Dans tous les domaines de la vie, la collecte de données est de plus en plus fréquente. Ces données détiennent une valeur économique et sociale sans précédent : un nombre toujours plus grand de modèles d’affaires repose sur le traitement de ces dernières et la recherche en a besoin pour en tirer des observations. Exploitées au moyen d’approches novatrices, les données pourraient être employées pour une multitude d’autres fins que l’utilisation prévue. Pour ce type de réutilisation, les espaces de données comptent au rang des approches de première importance sur le plan technique. Les règles les régissant devront intégrer l’autodétermination numérique et la protection des citoyen·ne·s, les besoins en matière de recherche et les intérêts économiques.

Pourquoi faut-il mieux utiliser les données personnelles en Suisse ?

Une meilleure utilisation des données personnelles doit permettre :

dans la mobilité

… de sensibiliser et d’inciter les citoyen·ne·s à adopter des pratiques de mobilité plus durables et, du même coup, à délester le système global de mobilité.
… aux prestataires de services liés à la mobilité d’optimiser l’offre existante, de la développer de manière efficace ou même de l’individualiser ainsi que de créer de nouvelles propositions.
… à la Confédération, aux cantons ainsi qu’à d’autres acteur·rice·s de planifier et de mettre en œuvre plus efficacement les infrastructures de transport et le système global de mobilité.

dans la santé

… aux citoyen·ne·s de promouvoir ou de maintenir leur santé individuellement.
… à la recherche de dégager de nouvelles observations sur la base de ces données et de développer de nouvelles approches en matière de prévention, de diagnostic et de thérapie.
… aux acteur·rice·s du système de santé d’assurer une meilleure prise en charge et de développer des applications numériques de santé de qualité.
… à la Confédération, aux cantons ainsi qu’à d’autres acteur·rice·s de suivre plus précisément l’état de santé de la population et de mieux contrôler l’utilisation du système de santé

dans l'éducation

… aux citoyen·ne·s de bénéficier de meilleurs environnements d’apprentissage avec des formes d’enseignement plus flexibles et plus individualisées.
… au corps enseignant de soutenir les talents personnels des élèves grâce à un enseignement individualisé et à l’apprentissage personnalisé et collaboratif.
… aux prestataires offrant des services éducatifs d’améliorer et d’individualiser l’accès aux ressources de connaissances.
… à la Confédération, aux cantons ainsi qu’à d’autres acteur·rice·s de renforcer les compétences numériques de toutes les personnes impliquées et d’accroître la maturité des citoyen·ne·s suisses de manière ciblée.

Un espace de données, qu’est-ce que c’est ?

Un espace de données permet de mutualiser l’utilisation de données stockées de manière décentralisée par différent·e·s acteur·rice·s pour un nombre illimité d’applications. Cette approche repose sur une confiance mutuelle, garantie par un ensemble de règles contraignantes fondées sur des principes centraux et des valeurs communes. D’une manière générale, un espace de données se rapporte à un champ d’application, par exemple la mobilité, la santé ou l’éducation, au sein duquel il est possible de définir des règles et des lignes directrices uniformes (cf. illustration ci-dessous).

Des entreprises, des instituts de recherche, l’administration publique ou encore des particuliers interagissent dans un même espace de données et peuvent occuper des rôles distincts :

  • Personnes concernées désigne les personnes physiques ou morales auxquelles se rapportent un ensemble de données.
  • Producteur·rice·s de données désigne les entités collectant des données et pouvant en contrôler l’accessibilité et la qualité.
  • Exploitant·e·s d’infrastructures de données désigne les entités permettant d’utiliser des données, p. ex au moyen de plateformes d’échange de données.
  • Utilisateur·rice·s de données désigne les entités qui accèdent aux données d’un espace et les utilisent pour des services basés sur les données.
  • Consommateur·rice·s de services basés sur les données désigne les utilisateur·rice·s finaux·le·s de la chaîne de valeur des données.

Protection des données personnelles

Les données personnelles correspondent à « toutes les informations qui se rapportent à une personne identifiée ou identifiable ». Parmi les données personnelles particulièrement sensibles, on dénombre par exemple celles liées aux opinions religieuses ou politiques, à la santé, à la vie privée ou à l’origine raciale.

Le traitement des données personnelles est autorisé à des fins scientifiques, statistiques ou de planification, mais les personnes concernées ne doivent plus être identifiables dans les résultats publiés. À ce titre, diverses mesures permettent de protéger les données personnelles :

  • Le contrôle d’accès, le cryptage, l’audit trail, la sécurité des données et les dispositions contractuelles sont des mesures essentielles. Des accords entre les parties doivent codifier le traitement des données à caractère personnel dans l’espace de données, et notamment les questions liées aux compétences, à la responsabilité civile et à la durée du traitement des données.
  • Pseudonymisation : dans des données pseudonymisées, l’identification d’une personne n’est possible qu’au moyen d’une clé unique.
  • Anonymisation : les données anonymisées ne sont plus considérées comme des données personnelles car les identificateurs primaires (p. ex.le nom) et secondaires (p. ex. un numéro AVS) sont supprimés du jeu de données de manière irréversible.
  • Privacy by design et privacy by default sont des principes qui permettent une protection optimale des données personnelles. Ils intègrent la protection des données aux produits et aux services dès leur conception ou garantissent le respect de standards élevés en matière de protection des données par défaut.

Enjeux et domaines nécessitant une plus grande attention

Dans les domaines de la mobilité, de la santé et de l’éducation, des besoins analogues exigent d’agir.

Manque de littératie numérique

La littératie numérique désigne la capacité des citoyen·ne·s à comprendre l’importance que détiennent leurs données ainsi que les chances et les risques que l’utilisation de celles-ci implique. Le débat public sur la réutilisation des données à caractère personnel et sur l’autodétermination numérique est pourtant quasi inexistant et lorsqu’il est mené, il porte avant tout sur les risques. Nous estimons donc que le niveau de connaissances est très bas.

Absence de cadre global

Il existe encore un manque de clarté quant à la façon dont les espaces de données seront conçus en Suisse et quant aux instances qui seront censées en favoriser la mise en place. De nombreuses activités sont en cours, toutefois le manque de coordination générale se fait tout aussi cruellement sentir que le défaut de cadre global et d’objectif commun.

Éducation

Un système éducatif numérique ne peut pas fonctionner sans infrastructures informatiques. Celles-ci doivent être intégrées à des structures organisationnelles chargées de leur fonctionnement et de leur développement. Aujourd’hui, ces aspects de nature technique et organisationnelle restent encore trop souvent négligés ou ignorés.

Santé

Les positions des différent·e·s acteur·rice·s quant à la gouvernance et au financement d’une infrastructure de données de santé sont non seulement très divergentes, mais une grande partie des informations n’est toujours pas saisie sous forme numérique, pas uniformément ou à des niveaux de qualité variables.

Mondialisation et économie de plateforme

Si la Suisse n’agit pas dans les domaines d’importance stratégique – comme la mobilité, la santé ou l’éducation – les initiatives seront prises, tôt ou tard, par des acteur·rice·s étranger·e·s d’envergure, qui créeront des dépendances vis-à-vis de leurs écosystèmes. Cela aura pour conséquence qu’une part encore plus importante des données de la population suisse soit monétisée à l’étranger.

Mobilité

Les initiatives privées en faveur d’un échange de données entre les entreprises du secteur de la mobilité – comme la coopérative openmobility – sont tributaires des données et de l’accès aux plateformes commerciales des transports publics, ce qui n’est pas le cas aujourd’hui. Ainsi, la divulgation des données de mobilité doit procéder d’une volonté gouvernementale.

Recommandations

Créer un cadre général pour des espaces de données fiables

Il serait opportun que la Confédération pose un cadre légal portant sur les défis d’ordre général inhérents à la mise en place d’espaces de données fiables dans différents domaines d’application, et favorise par là même une meilleure utilisation des données personnelles. Une réponse possible serait une loi-cadre sur la réutilisation des données, qui devra reprendre les éléments essentiels du code de conduite évoqué plus tôt. De plus, privacy by design et privacy by default sont deux principes à prendre en compte lors de la planification et de la conception d’espaces de données.

Donner les compétences aux citoyen·ne·s d’un partage autodéterminé de leurs données

Pour apporter une réponse à d’éventuelles réticences, l’autodétermination numérique des citoyen·ne·s est un élément majeur à prendre en considération. Pour cela, il convient d’investir dans la littératie numérique de l’ensemble des acteur·rice·s. La Confédération ainsi que d’autres acteur·rice·s des milieux scientifique et économique ou de la société civile doivent mener cette démarche de front. Les citoyen·ne·s ont besoin de transparence quant à la collecte de données les concernant et à la façon dont celles-ci sont utilisées. Cet aspect doit s’inscrire dans une loi-cadre. En outre, ils·elles doivent pouvoir obtenir un accès effectif à leurs données personnelles et être en mesure de les contrôler. Les instances de décision politique doivent examiner si une législation approfondie en ce sens est indiquée ou s’il existe d’autres mécanismes pour y parvenir.

Prise en compte appropriée des intérêts économiques

Pour éviter qu’elle ne se retrouve en situation de dépendance face à des entreprises étrangères dans des secteurs d’importance nationale, la Suisse se doit de créer des conditions appropriées. Afin de permettre à l’ensemble des acteur·rice·s de participer activement aux espaces de données et d’en bénéficier, ils·elles doivent définir conjointement les exigences relatives aux espaces envisagés, tout en tenant compte de la liberté économique. Ainsi, il faudra considérer des aspects tels qu’une compensation pour le travail fourni, par exemple pour la saisie de données ou pour le contrôle de leur qualité. Par ailleurs, cela appellera des infrastructures qui ne seront possibles qu’avec un financement initial des pouvoirs publics.

Parvenir à une vision commune au moyen d’une approche participative

Créer un environnement et des conditions bénéficiant d’un large soutien nécessite d’avoir des instruments qui favorisent un partage régulier et un dialogue continu entre les différent·e·s acteur·rice·s tout au long du processus. Seul un processus appelant la participation de tous les groupes d’intérêt peut aboutir à l’émergence d’une vision commune et à sa mise en œuvre.

Dans le cadre de la « Stratégie Suisse numérique », la Confédération se doit d’instaurer un débat constant visant à établir une culture de l’utilisation des données en Suisse, un modèle qui a déjà prouvé son efficacité dans les pays scandinaves. Un objectif que le réseau d’autodétermination numérique, doté d’un mandat de la Confédération en ce sens, pourrait réaliser en collaboration avec des acteur·rice·s des secteurs concernés et d’autres réseaux existants.

Assurer l’interopérabilité au niveau international

L’interopérabilité entre différents espaces de données au niveau helvétique ou international est un aspect capital qui doit impérativement être assuré. En ce sens, il est indiqué de s’orienter sur des initiatives de l’UE telles que Gaia-X. L’échange avec des groupes d’intérêt européens et étrangers doit donc être poursuivi activement Non seulement au niveau des offices fédéraux comme l’OFCOM et le DDIP, mais aussi à celui d’acteur·rice·de secteurs économiques spécifiques.

Initiatives en cours

nationales à caractère général

Stratégie Suisse numérique

La « Stratégie Suisse numérique » fixe les lignes directrices pour la transformation numérique de la Suisse.

Réseau d’autodétermination numérique

Le Réseau d’autodétermination numérique encourage l’échange sur les espaces de données fiables et sur l’autodétermination numérique afin de créer de la valeur pour tous les groupes d’intérêt.

Code de conduite pour l’exploitation d’espaces de données fiables

L’Office fédéral de la communication OFCOM et la Direction du droit international public DDIP présenteront d’ici juin 2023 un code de conduite sur la mise en place d’espaces de données fiables en Suisse.

Gestion nationale des données

Le programme Gestion nationale des données (NaDB) simplifie la gestion des données détenues par les pouvoirs publics en assurant leur réutilisation (principe « once only »).

Loi-cadre sur la réutilisation des données

La motion 22.3890 demande une loi-cadre en Suisse qui permettrait d’exploiter la valeur des données lors d’utilisations secondaires en créant une base légale fiable.

Refonte du droit de la protection des données

La refonte du droit de la protection des données entrera en vigueur le 1er septembre 2023 et vise à adapter la législation aux avancées technologiques ainsi qu’à renforcer les droits des personnes vis-à-vis de leurs données.

Identité électronique, preuves numériques et écosystème de confiance

Après le rejet du projet de loi fédérale sur les services d’identification électronique (LSIE) en mars 2021, un message est maintenant attendu à l’automne 2023 au sujet d’une loi sur une solution d’e-ID gérée par l’État et basée sur une identité numérique autodéterminée (identité souveraine, SSI).


nationales par secteur

Mobilité

Infrastructure nationale de données sur la mobilité

Grâce à une infrastructure nationale de données sur la mobilité (MODI), le Conseil fédéral souhaite harmoniser et fluidifier les informations relatives à la gestion de la mobilité et à la mise en réseau des offres de mobilité. Un projet de loi à ce sujet est actuellement en consultation.

Projet de recherche DAGSAM

Le projet de recherche DAGSAM développe un procédé visant à créer des modèles de gouvernance avec lesquels il est possible de déterminer le niveau de protection des données dans des applications de mobilité intelligente. Ces données restent utilisables grâce à des technologies de protection de la vie privée.

Santé

Dossier électronique du patient

Avec le dossier électronique du patient (DEP), les patient·e·s ont la possibilité de collecter des informations sur leur santé et de les partager avec des prestataires de soins. L’utilisation secondaire des données de santé par la recherche fera partie du projet de révision de la loi sur le DEP (LDEP).

Swiss Personalized Health Network

Le Swiss Personalized Health Network (SPHN) (encouragement dans le contexte du message FRI de la Confédération 2017–2024) met en place un réseau évolutif qui permet la réutilisation des données issues de différentes sources principalement à des fins de recherche.

Écosystèmes de santé

La coopérative MIDATA met en œuvre une approche centrée sur les personnes visant à promouvoir l’utilisation secondaire des données de santé. Les titulaires d’un compte de données de santé ont un contrôle total sur l’utilisation secondaire de leurs données.

Pour l’heure, deux écosystèmes de santé numériques suisses (Compassana, Well) collectant des données qu’ils souhaitent utiliser dans leur modèle d’affaires sont sur le point de voir le jour. Un troisième écosystème (Movos) est en cours de réalisation et celui-ci accorde une place centrale à la souveraineté des patient·e·s tout au long de leur parcours de santé.

Éducation

Projets d’utilisation des données dans le domaine de l’éducation

L’agence spécialisée Educa a lancé un programme portant sur des projets numériques afin de créer un cadre national visant à établir une utilisation consciente des données.

Appel en faveur d’une campagne nationale de littératie des données

Adressé aux instances politiques, l’« appel à une campagne nationale urgente de littératie des données » a pour vocation d’initier un changement des mentalités durable en faveur d’une utilisation rationnelle des données.


internationales / dans l’UE

Dispositions réglementaires de l’Union européenne

  • Data Governance Act: L’Union européenne UE souhaite rendre disponibles le plus grand nombre de données possible, y compris les données personnelles.
  • Data Act: Les détenteurs de données et les individus doivent pouvoir accéder aux mécanismes nécessaires leur permettant d’exercer un contrôle autodéterminé sur les données les concernant.
  • Digital Markets Act et Digital Services Act: Obligations spécifiques pour les exploitants de plateforme ayant un pouvoir de marché particulier.

Gaia-X

Cadre de politique industrielle, cette initiative a pour but la promotion d’une infrastructure de données décentralisée en Europe. Les principales caractéristiques de Gaia-X sont la souveraineté des données, les technologies open source et l’interopérabilité. Gaia-X a commencé la mise en œuvre de premiers projets phares en 2022.

Auteur·e·s :

Roger Abächerli, Andreas Bieniok, Serge Bignens, Nicolas Brandenberg, Oliver Buschor, Giulia Fitzpatrick, Giulia Fitzpatrick , Richard Lutz, Clemens Mader, Daniela Melone, Peggy Neubert, Tobias Röhl, Daniel Säuberli, David Schiller, Andreas Schlag, Marie-Jeanne Semnar, Stefan Spycher, Thomas Teichmüller, Christoph Wittmer

Groupe de travail :

Jonas Bärtschi, Mathis Brauchbar, André Golliez, Esther Koller, Andreas Kronawitter, Sebastian Sigloch

Direction de project:

Manuel Kugler

Collaboration rédactionnelle :

Beatrice Huber, Esther Lombardini, Claudia Lambrigger