Voilà ce que répond Dominika Blonski, lorsqu’on lui demande de résumer en une phrase sa fonction de préposée cantonale à la protection des données: «Je me considère comme l’avocate de la population qui se doit de défendre le droit fondamental à la protection des données face à l’État.» C’est que c’est elle qui gère, depuis 2020 et pour le canton de Zurich, le traitement des données de l’administration cantonale, des communes et des institutions publiques telles que les hôpitaux ou les universités. À 39 ans, cette juriste a décidé d’exercer sa fonction de manière différente. Elle s’est par exemple attelée à développer le domaine de la communication, afin de renforcer la «visibilité du thème de la protection des données auprès de la population».
Selon l’experte, c’est surtout depuis la pandémie que le sujet a pris de l’importance auprès du grand public: «Il faut sensibiliser les gens à cette problématique pour qu’ils puissent faire valoir leurs droits de manière autonome, mais aussi pour qu’ils sachent qu’il existe un organisme qui s’engage pour leur droit à la vie privée et à la protection des données»
Pas de contrôle inopiné
Dominika Blonski sait aussi par expérience personnelle à quel point une bonne communication est importante. Elle s’était ainsi fait conseiller, avec succès, par une agence de relations publiques avant d’être choisie comme préposée à la protection des données. La juriste sans parti s’est par ailleurs imposée de justesse au Grand Conseil contre Claudius Ettlinger, l’actuel préposé à la protection des données des CFF (89 voix contre 80).
L’une des tâches principales des préposés à la protection des données consiste à conseiller et à contrôler les institutions publiques. Dominika Blonski cite volontairement le conseil d’abord. Elle effectue certes aussi des contrôles, «mais le plus souvent sur rendez-vous». Et qu’en est-il des visites surprises? «Elles sont possibles, mais l’effet de surprise ne m’intéresse pas». La juriste conçoit plutôt son travail comme une «collaboration en partenariat avec les autorités».
Une instance de contrôle qui «travaille en partenariat» avec les personnes à contrôler? Cela ne révélerait-il pas un manque d’indépendance problématique? C’est en tout cas ce que pense l’avocat zurichois Martin Steiger, qui rappelle que la préposée à la protection des données «fait tout de même partie de l’administration». Un point de vue contre lequel Dominika Blonski se défend avec véhémence: «Dans mon travail, je garde toujours la perspective de la population devant les yeux – pas celle de l’administration!» Cette perspective lui permet par exemple de «conseiller et soutenir très fortement» les petites administrations des communes qui ne disposent ni d’un savoir-faire suffisant ni d’infrastructures. «C’est ainsi que je remplis au mieux et de manière efficace ma mission de protection de la sphère privée des citoyens». Et la juriste de rappeler qu’en fin de compte, ce sont les autorités elles-mêmes qui sont responsables du respect de la protection des données. «Si je peux les aider à l’assumer encore mieux, je suis sur la bonne voie».
La juriste a récemment dû appliquer cette stratégie dans le cadre de la décision du gouvernement cantonal d’utiliser le cloud de Microsoft 365. C’est en effet en tant que conseillère qu’elle a été impliquée, avec son équipe de six juristes et quatre informaticiens, dans ce projet de cloud. Ils ont ainsi veillé à ce que les contrats avec l’entreprise américaine garantissent une forte protection des données. Des aspects importants figurent désormais dans le contrat, notamment le fait que le for juridique soit la Suisse et que le droit suisse s’applique. La juriste reste toutefois critique: «La seule bonne solution aurait été que le canton exploite lui-même un cloud». Le canton de Zurich est suffisamment grand pour que «cela vaille la peine de le faire soi-même». La Confédération pourrait également organiser son propre cloud pour toutes les institutions publiques de Suisse. La Suisse dispose d’un énorme savoir-faire dans ce domaine, ne serait-ce que dans les universités et les écoles techniques supérieures. «Toutes les questions relatives aux droits d’accès externes ne se poseraient même plus», affirme Dominika Blonski.
Droit de prononcer des sanctions
D’autres cantons stockent dorénavant aussi certaines données sensibles de leurs citoyens dans le cloud de Microsoft. Certains préposés à la protection des données se montrent d’ailleurs plus critiques que leur consœur zurichoise. «Nous pouvons certes convenir de la confidentialité avec Microsoft, mais nous ne pouvons pas l’imposer», regrette ainsi le Thurgovien Fritz Tanner. Sa conclusion parue dans le magazine Saldo était claire: «Les cantons ne devraient pas être autorisés à utiliser Microsoft 365 pour traiter des données personnelles».
Dominika Blonski aurait donc pu dire non à l’administration zurichoise. Depuis que la loi sur l’information et la protection des données du canton de Zurich (IDG) a été révisée il y a deux ans, la préposée peut en effet prononcer des sanctions ou rendre des décisions qui peuvent ensuite être contestées en justice par les institutions publiques. Jusqu’à présent, aucune procédure n’a été engagée. «Mais je suis prête à emprunter cette voie», nous assure-t-elle.
Dans les milieux de l’informatique et de la protection des données, la juriste est perçue comme une «excellente experte». Martin Steiger confirme d’ailleurs son statut «d’avocate pour une protection des données forte». Peut-être a-t-elle été marquée par son prédécesseur, Bruno Baeriswyl. Ce dernier a été préposé à la protection des données du canton de Zurich pendant plus de 25 ans. Dominika Blonski a travaillé six ans dans son équipe avant de devenir elle-même préposée à la protection des données. Effectuée à l’Université de Berne, sa thèse de doctorat s’intitule en outre Les données biométriques comme objet du droit à l’autodétermination informationnelle.
Cette autodétermination se perd d’année en année. Dominika Blonski cite l’exemple des données personnelles rendues anonymes à des fins de recherche, notamment dans le domaine de la santé, qui «sont très faciles à déchiffrer». Il suffirait de les associer à d’autres données. «Rares sont les cas où une véritable anonymisation est possible». Les chercheurs, les autorités de protection des données et les commissions d’éthique seraient donc confrontés à un problème non résolu: «Nous ne savons tout simplement pas comment aménager cette anonymisation».
Dominika Blonski se montre dès lors critique quand il s’agit de penser à l’avenir: «Il y a beaucoup trop d’informations, et de plus en plus – une traçabilité sera toujours possible d’une manière ou d’une autre». ❙