Dans la cadre de la stratégie "Suisse numérique", le Conseil fédéral a formulé comme objectif la création pour la Suisse d'une politique des données cohérente et tournée vers l'avenir, ainsi que le positionnement de la Suisse en tant que lieu attractif pour la création de valeur au moyen de données. Sur mandat de l'Office fédéral de la justice (OFJ) et de l'Office fédéral de la communication (OFCOM), le Center for Information Technology, Society, and Law (ITSL), un centre de compétences interdisciplinaire de l'Université de Zurich, a examiné plus en détail, dans un avis juridique, deux questions étroitement liées relevant de cette thématique: la réutilisation de données personnelles sous le contrôle des personnes concernées, notamment dans le cadre des systèmes de gestion des informations personnelles (Personal Information Management Systems - PIMS), ainsi que la possibilité d’introduire un droit à la portabilité des données en Suisse.

Potentiel et soutien des Personal Information Management Systems (PIMS)

Les PIMS sont des infrastructures techniques qui, en tant que plateformes, permettent à leurs utilisateurs de collecter leurs propres données de manière centralisée, de les gérer et de les transmettre. La décision concernant l'utilisation des données revient aux utilisateurs eux-mêmes. Les PIMS peuvent ainsi renforcer l'autodétermination informationnelle de leurs utilisateurs ainsi que la sécurité de leurs données, et constituer un moyen de partager des données personnelles avec des tiers ou, le cas échéant, de monétariser leur utilisation.

S'agissant du potentiel des PIMS, il s'agissait, dans l'expertise, d'examiner où se situait le développement de ces systèmes en Suisse, quelles opportunités et quels risques ceux-ci présentent, et de quel cadre légal ils pourraient profiter. Etant donné qu'en Suisse, les PIMS n'en sont pas encore au stade du développement et de la mise sur le marché, il n'est pas possible de prévoir comment ces systèmes vont s'établir à moyen terme. Quoi qu'il en soit, le cadre légal actuel ne présente pas d'obstacles majeurs au développement et à la diffusion des PIMS. Toutefois, l'introduction d'un droit à la portabilité des données devrait apporter une contribution importante au fonctionnement des PIMS car il permettrait aux utilisateurs potentiels de transférer leurs données à peu de frais de leurs fournisseurs de services aux PIMS. Il ne semble donc pas nécessaire de prendre des mesures législatives. En revanche, un examen approfondi des règles régissant la sécurité des données serait judicieux. En effet, avec la quantité croissante des données sauvegardées dans les PIMPS, leur garantie devient d'autant plus importante.  Toutefois, le succès des PIMS dépend en général avant tout du fait qu'un nombre suffisant de personnes utilisent ces systèmes. S'agissant de l'utilité potentielle des PIMS, il faudrait donc envisager de prendre des mesures pour que ces systèmes soient davantage connus.

Droit à la portabilité des données

Le droit à la portabilité des données permet au "propriétaire des données" de transférer à peu de frais les données sauvegardées auprès d'un fournisseur de données à un autre fournisseur de données. L'art. 20 du Règlement général de l'UE sur la protection des données (RGPD) prévoit un tel instrument. L'introduction d'un droit à la portabilité des données en Suisse renforcerait l'autodétermination en matière d'information pour les personnes concernées et assurerait l'équivalence avec le RGPD sur ce point également.

L'introduction d'un droit à la portabilité des données et ses modalités dépendent des instruments que le droit en vigueur met à disposition. Il s'agit en premier lieu d'adopter une approche allant dans le sens du droit des cartels et de la protection des données car le droit à la portabilité des données ferait baisser les coûts de changement, favoriserait donc la concurrence entre les fournisseurs de services et renforcerait l'autodétermination en matière d'information des personnes concernées. Toutefois, sous sa forme actuelle, le droit des cartels ne semble pas approprié, notamment en raison de la longueur des procédures en matière de cartels. Une approche du point du vue de la protection des données est plus appropriée et pourrait être adoptée sur la base du droit d'accès inscrit dans la LPD ou dans le P-LPD. Aujourd'hui déjà, celui-ci confère aux personnes concernées des droits étendus et s'apparente fortement à un droit à la portabilité des données. Les personnes concernées ont notamment un droit très complet à la remise des données les concernant. Dans ce contexte, l'expertise conclut qu'un droit à la portabilité des données devrait être conçu sur la base du droit d'accès prévu par la loi sur la protection des données. Comme l'actuel droit d'accès, le droit à la portabilité devrait être soumis à certaines limites qui permettent de tenir compte de manière appropriée des intérêts des personnes qui traitent les données et des tiers. En outre, il conviendrait d'analyser encore plus en détails quels éventuels effets négatifs un droit à la portabilité des données pourrait avoir sur la concurrence.

Pour un droit à la portabilité des données, il manque encore trois éléments dans le droit d'accès. Premièrement, le droit des personnes concernées à une remise de leurs propres données ne doit concerner que la remise sous une forme électronique d'usage courant. Deuxièmement, le droit des personnes concernées à une remise de leurs propres données doit également comprendre la transmission directe de données à des tiers. Troisièmement, le "maître du fichier" devrait être tenu de désigner les éléments des données de manière à ce que les données puissent être comprises par les personnes concernées et par les tiers, et reprises dans leur propre système; cette exigence permettrait en outre de renoncer à d'autres dispositions relatives aux normes concernant les formats de données.