GRAND CONSEIL de la République et canton de Genève M 3052 Signataires : Guy Mettan, Christo Ivanov, Lionel Dugerdil, Daniel Noël, Florian Dugerdil, Julien Ramu, André Pfeffer, Stéphane Florey, Marc Falquet, Patrick Lussi, Thierry Oppikofer, Murat-Julian Alder, Jean-Pierre Pasquier Date de dépôt : 7 octobre 2024 Proposition de motion pour préserver la souveraineté numérique du canton de Genève Le GRAND CONSEIL de la République et canton de Genève considérant : – le nouvel article constitutionnel relatif au droit à l’intégrité numérique (art. 21A) ; – que l’intégrité numérique inclut notamment le droit d’être protégé contre le traitement abusif des données liées à sa vie numérique, le droit à la sécurité dans l’espace numérique, le droit à une vie hors ligne ainsi que le droit à l’oubli ; – les risques liés au hacking, à la cybersécurité et à la protection des données personnelles des citoyens ; – que, d’après la disposition constitutionnelle, le traitement des données personnelles dont la responsabilité incombe à l’Etat ne peut s’effectuer à l’étranger que dans la mesure où un niveau de protection adéquat est assuré ; – qu’en pratique les GAFAM imposent aux collectivités publiques de déposer leurs données dans le cloud en privilégiant des entreprises ayant des activités sur deux continents (et donc aux Etats-Unis) et non seulement sur le continent européen ; – les risques inhérents à transférer et à héberger des données personnelles ou sensibles dans des pays ne présentant pas un haut niveau de protection ou pouvant les utiliser à des fins non souhaitées ; ATAR ROTO PRESSE – 80 ex. – 10.24 M 3052 2/5 – les possibilités de s’appuyer sur le savoir-faire des entreprises genevoises et suisses pour préserver notre souveraineté numérique, invite le Conseil d’Etat – à établir une stratégie de protection et de souveraineté numérique cantonale, en concertation avec les communes ; – à utiliser les ressources et les entreprises locales (par exemple Infomaniak, Protonmail, ID Quantique) ou nationales (par exemple Threema, Sharekey, The Cosmic Dolphins) et à stocker les données dans des datacenters basés exclusivement en Suisse et ne transférant pas les données à des tiers. 3/5 M 3052 EXPOSÉ DES MOTIFS En tant qu’utilisateurs directs ou indirects des services des GAFAM, nous ne sommes pas conscients du stockage et surtout de la manière dont nos informations personnelles (données) sont utilisées. Nos données à caractère privé peuvent avoir une très grande valeur, elles sont utilisées par des entreprises non seulement pour prédire notre comportement mais aussi pour l’influencer et le modifier avec, parfois, des conséquences désastreuses pour la démocratie et la liberté. Pour l’année 2017, le cabinet de conseil et d’audit PwC a chiffré le marché mondial de la donnée personnelle à environ 188 milliards de dollars. Les GAFAM dominent le marché de la donnée estimé en 2020 à plus de 8% du PIB en Europe selon le rapport sur la patrimonialité des données du thinktank GénérationLibre. Pour chaque utilisateur européen, Facebook gagnerait en moyenne 32 euros de revenus publicitaires par an selon ce même rapport 1. Les particuliers ne sont pas les seuls concernés : les GAFAM 2 imposent aux collectivités publiques de déposer leurs données dans le cloud en privilégiant des entreprises ayant des activités sur deux continents (et donc aux Etats-Unis) et non seulement sur le continent européen. Il est donc essentiel que les entreprises tout comme les collectivités publiques mettent en place les plus hauts standards de sécurité pour éviter toute fuite, vol des données ou commercialisation sur le dos du contribuable local. En juin 2023, les électeurs genevois ont accepté à une très large majorité la loi constitutionnelle 12945 introduisant un droit fondamental visant à protéger l’intégrité numérique des citoyens, principalement dans le cadre de leurs relations avec les administrations publiques. Ce droit fondamental consacre des principes liés à l’intégrité numérique que sont notamment le droit d’être protégé contre le traitement abusif des données liées à sa vie numérique, le droit à la sécurité numérique, le droit à une vie hors ligne et le droit à l’oubli. Il contraint l’Etat, dans le cadre du traitement de données personnelles dont il a la responsabilité, à assurer un niveau de protection adéquat, en particulier si ce traitement se fait à l’étranger. La nouvelle disposition constitutionnelle constitue un premier pas vers la protection des personnes dans notre société numérique. D’après le nouvel art. 21A, al. 3 de la constitution, le traitement des données personnelles dont la responsabilité 1 2 https://www.village-justice.com/articles/transfert-donnees-hors-unioneuropeenne-impact-pour-nos-entreprises,42062.html GAFAM est l’acronyme des géants du Web – Google (Alphabet), Apple, Facebook (Meta), Amazon et Microsoft M 3052 4/5 incombe à l’Etat ne peut s’effectuer à l’étranger que dans la mesure où un niveau de protection adéquat est assuré. Pour ses promoteurs, la norme « vise à répondre à une demande des citoyens pour une protection forte de l’individu aussi dans ses aspects numériques. D’autre part, elle permet la constitution d’une norme parapluie qui contient un bien juridique général à la protection de l’individu vis-à-vis de la situation technologique actuelle, mais aussi dans ses développements futurs. » 3 Aujourd’hui, la transmission de données personnelles à l’étranger par des entreprises privées ou des organes fédéraux est possible uniquement sous certaines conditions. La loi fédérale sur la protection des données autorise la communication des données à l’étranger si la législation de l’Etat destinataire assure un niveau de protection adéquat (art. 16, al. 1, LPD). Les Etats qui répondent à cette exigence figurent sur une liste établie par le Conseil fédéral et publiée dans l’annexe de l’ordonnance sur la protection des données (Annexe 1 OPDo) 4. Il est piquant de relever que les Etats-Unis, d’où proviennent les fameux GAFAM, ne figurent pas sur la liste des Etats dans lesquels un niveau de protection adéquat des données est garanti. Concrètement, l’amélioration de la culture numérique devrait être menée par l’Etat : par des cours, des campagnes de sensibilisation, des alertes auprès des particuliers, des entreprises et des écoles. Les cantons en coordination avec la Confédération devraient en faire plus. Il revient au peuple d’exiger de nos autorités des actions fortes qui vont dans le sens d’une société numérique responsable. Il ne s’agit pas de demander à l’Etat de protéger chaque ordinateur, mais d’insuffler cette culture numérique de base qui fait tant défaut. Face aux vagues successives de cyberattaques qui ont récemment frappé de plein fouet nos services publics et nos entreprises, l’Etat sans orientation et sans réelle stratégie de protection et de souveraineté numérique ne s’est pas montré à la hauteur. Que ce soit au niveau communal, cantonal ou fédéral, les autorités ont beaucoup de peine à saisir les enjeux liés à ces pillages de données. Ce sont nos informations personnelles qui sont en jeu, celles que nous confions à nos administrations, aux banques ou aux assurances. Aujourd’hui, une entreprise ou un particulier lorsqu’il se fait pirater est complètement désorienté, il ne sait pas à qui s’adresser. Les services de police manquent de formation en la matière et de matériel de pointe, les deux étant très coûteux. Par ailleurs, la répartition des compétences entre les échelons communal, cantonal et fédéral ne sont pas 3 4 PL 12945, p. 3. https://www.edoeb.admin.ch/edoeb/fr/home/datenschutz/arbeit_wirtschaft/datenu ebermittlung_ausland.html#:~:text=La%20transmission%20de%20donn%C3%A9 es%20personnelles,convient%20de%20prendre%20certaines%20mesures 5/5 M 3052 clairement définies et les campagnes de communication sur les bonnes pratiques numériques pour prévenir les cyberattaques ne sont pas légion. Au lieu de transférer des données personnelles vers un Etat « hors liste », la solution du recours à des entreprises genevoises ou suisses stockant leurs données dans des datacenters basés exclusivement en Suisse et ne transférant jamais les données à des tiers hors de leurs propres infrastructures doit être envisagée dans le cadre du développement d’une stratégie de protection et de souveraineté numérique. Au vu de ce qui précède, la présente proposition de motion invite le Conseil d’Etat à établir une stratégie de protection et de souveraineté numérique et à utiliser les ressources et les entreprises locales (par exemple Infomaniak, Protonmail, ID Quantique) ou nationales (par exemple Threema, Sharekey, The Cosmic Dolphins). L’objectif de la motion est de mettre en place une stratégie pour préserver la souveraineté numérique de Genève, en s’appuyant sur une infrastructure numérique adéquate et en intégrant les acteurs académiques, scientifiques et économiques suisses, par exemple sous forme de partenariat public-privé. Et cela si possible en concertation avec les communes, qui sont confrontées à la même problématique. Les données des Genevois devront impérativement être stockées dans un « cloud » souverain en Suisse, soumis au droit suisse. Au vu de ces explications, nous vous remercions, Mesdames et Messieurs les députés, de réserver un bon accueil à cette proposition de motion.