Jean Christophe Schwaab : Confidenţialitate: „privacy by design” și „privacy by default”

Jean Christophe Schwaab : Confidenţialitate: „privacy by design” și „privacy by default”

jean cristophe

Jean Christophe Schwaab

Născut în 1979, doctor în drept economic, consilier național socialist (Deputat în Camera Poporului Parlementul Federal al Elveției), vice-președinte al Comisiei Afacerilor Juridice a Consiliului Național, membru al direcței și președinte romand al „Asociation Suisse des Employés de Banque” (ASEB), președinte al „Oeuvre Suisse d’Entraide Ouvrière” (OSEO), fost secretar central al USS (Uniunea Națională a Sindicatelor, n.d.r), fost secretar al sindicatului „Unia jeunesse”, fost deputat al Parlamentului cantonal din Vaud, fost membru al comitetului „Union des Etudiant-e-s de Suisse” (UNES) și al „Conseil Suisse des Activités de Jeunesse” (CSAJ). Numeroase articole publicate despre dreptul muncii (lista: schwaab.ch/publications-scientifiques/). Locuiește la Riex (Canton de Vaud), căsătorit, doi copii.

Twitter: @jcschwaab
Site web: schwaab.ch

autor: Laurent Chrzanovski

Redactor: La 36 de ani sunteți deja doctor în drept, cu o diplomă de studii avansate la IDHEAP, sunteți Președinte romand al „Association des employés de banque” și Președinte al rețelei de asociații „Oeuvre Suisse d’Entraide Ouvrière”. Cel mai important însă este faptul că sunteți din 2011 Consilier National și vice-președinte al Comisiei de afaceri juridice, din Parlamentul federal al Elveției.

Domnule Deputat, palmaresul dumneavoastră profesional și politic atât de strălucitor nu pare să vă fi predestinat a fi autorul atâtor postulate, interpelări și moțiuni privind protecția datelor digitale și a problemelor legate de utilizarea Internet of Things (IoT). De unde vine o așa mare pasiune și cum ați dobândit atâtea cunoștințe în acest domeniu?

Jean Christophe Schwaab: Protecţia datelor, după părerea mea, este una din provocările majore ale societăţii noastre hiperconectate. Statele și întreprinderile private care prelucrează date au făcut progrese tehnologice fulgurante în ultimii ani, care însă în acest moment se află pe punctul de a ameninţa chiar însăși existenţa sferei private. De aceea vorbim azi de necesitatea unei mobilizări urgente pentru a apăra acest drept fundamental al omului. Eu cred că există un interes public major pentru asta și că acest lucru este în interesul populaţiei care m-a ales.

Din păcate sunt foarte puţini aleși care sunt conștienţi de asta. Și nu e neapărat o chestiune de generaţie, spunând asta chiar dacă cei câţiva colegi ai mei care îmi împărtăşesc părerea sunt majoritatea tineri, obișnuiţi să folosească cele mai noi tehnologii și Social Media.

Cum nu am la bază o formare tehnică sau legată de noile tehnologii, am învăţat totul „din mers”. Am citit mult, mai ales informaţie de pe site-urile specializate, am întâlnit experţi și sunt în continuare în contact cu numeroși specialiști, mai ales graţie reţelelor sociale (ex. Twitter). Fiind de natură foarte curios, conserv un număr mare de articole pe acest subiect. Cei apropiaţi mie precum și militanţii din partidul meu știu asta și îmi transmit foarte adesea informaţii sau sugestii.

Redactor: În 2013, ați formulat și înaintat două postulate (13.3806 și 13.3807) pentru întărirea protecției datelor, referitoare la „privacy by design” și „privacy by default”. Consiliul federal propune adoptarea lor. În ce vor consta aceste măsuri odată ce ele vor fi puse în aplicare?
Jean Christophe Schwaab: Aceste propuneri vizează inversarea logicii actuale în materie de protecţia datelor. De exemplu acum utilizatorul este responsabil să vegheze ca datele sale să nu fie utilizate complet aiurea și, foarte adesea, cei care tratează datele au „o hârtie semnată în alb”, o autorizaţie generală de a trata, modifica, reutiliza și revinde datele personale. Prin aplicarea acestor două concepte, utilizatorul ar fi gestionarul propriilor sale date tot timpul, iar cel care ar dori să le utilizeze, ar trebui ca, la fiecare utilizare a lor, să ceară o autorizare expresă. De altfel, toate noile tehnologii, toate bunurile noi și serviciile care permit tratarea datelor personale ar trebui să fie concepute de o asemenea manieră, încât să garanteze protecţia acestor date. De asemenea, va trebui să evităm ca datele colectate cu acordul utilizatorului într-un scop precis, să nu fie reutilizate mai târziu fără să știe și de o manieră mai invazivă faţă de ceea ce s-a imaginat la început. Odată cu avântul pe care l-a luat „big data”, este de fapt posibil de a contura profile precise și intime ale personalităţii oamenilor, graţie datelor anodine (de exemplu statistici de vânzări). În momentul în care aceste date au început să fie colectate, nimeni nu putea bănui posibilităţile pe care ele le vor oferi câţiva ani mai târziu. De aceea este în mod capital necesar să fie prevăzute reguli specifice, astfel încât utilizarea ulterioară a acestor date să respecte sfera privată.

Red: Este vorba doar de a da un puternic semnal de alarmă sau vă gândiți că asemenea măsuri să poată fi puse în practică într-o lume în care nicio rețea socială, motor de căutare sau sistem de arhivă video nu are un domiciliu legal în Elveția, sau poate nici chiar în Europa (cf. victoria UE în ceea ce privește „dreptul de a fi uitat”)?

Jean Christophe Schwaab: Google s-a pliat pe legislaţia elveţiană, respectând hotărârea Tribunalului Federal „Google Street View”. Deci este posibilă impunerea legislaţiei naţionale inclusiv firmelor internaţionale, rămânând însă o chestiune de voinţă politică. Sunt convins că deciziile tribunalelor elveţiene și amenzile usturătoare care se vor aplica în cazul încălcării lor vor avea efect chiar dacă e vorba de multinaţionale care nu au nici sediu, nici sucursale în Elveţia.

Red: Ceea ce ne frapează cel mai mult în activitatea recentă, este fără îndoială postulatul dumneavoastră (14.3739) care cere introducerea conceptului de „control by design”* și mai ales faptul că el a fost acceptat. Pragmatismul și inteligența demersului pe care l-ați făcut sunt din toate punctele de vedere în afara oricăror norme, în fața pericolelor gigantice și a beneficiilor în aceeași proporție, generate de IoT (Internet of Things).

Din partea unui Doctor în drept, ne-am fi așteptat la o propunere de genul unui lung text normativ, în locul tuturor acestor reglementări (dezbătute în acest moment chiar în majoritatea țărilor europene), esențial legate de problemele din ce în ce mai recurente privind falii de securitate sau absența unei trasabilități a datelor emise de „obiecte” conectate. Dumneavoastră ați abordat problema sub un unghi neașteptat, și anume cel al proprietății intelectuale și al dreptului inalienabil al proprietarilor de a putea deconecta „obiectele” care le aparțin sau, în cazul în care ei acceptă conexiunea, să poată să decidă care date pot fi transmise terților. În mod paradoxal, discuția devine mult mai simplă și evită să se împotmolească în termeni pe care nicio instituție nu i-a consacrat încă, întrucât aceștia nu pot defini un conținut precis (identitate virtuală, internetul obiectelor, cyber-securitate). De unde v-a venit această idee și cum ați reușit să elaborați acest postulat?

Jean Christophe Schwaab: În timp ce urmăream scandalul „ascultărilor” de la NSA, am descoperit un text despre afacerea Snowden care descria conceptul de „control încă din momentul concepţiei” (control by design). Cum mă interesasem îndeaproape despre obiectele conectate, ideea mi s-a părut imediat foarte interesantă. Cum sunt jurist, primul lucru care mi-a venit în minte a fost să propun un text de lege complet redactat sub forma unei iniţiative parlamentare (care să permită Parlementului să îl legifereze el însuși). Însă după o discuţie cu administraţia federală, am ales până la urmă o formă mai puţin „constrângătoare” a postulatului (care nu face decât să ceară un raport Consiliului Federal), pe de o parte în scopul de a crește șansele ca propunerea mea să fie acceptată și pe de altă parte pentru a lasa administraţia să aprofundeze chestiunea ridicată, de oarece este mult mai potrivită decât un parlamentar cu resurse foarte limitate. Acest demers a avut succes, propunerea fiind acceptată cu acordul Guvernului. O anecdotă mi-a întărit convingerile: recent, mi-am pierdut cardul de credit și deci a trebuit să îl înlocuiesc. În momentul în care mi-am comandat noul card, am cerut ca acesta să nu fie dotat cu un sistem de plăţi contactless de tip „NFC” (near field communication). Această tehnologie nu este deloc sigură, deoarece ea lasă posibilitatea piratării unui card de la distanţă. Iată însă că, cel care trebuia să îmi emită cardul meu de credit mi-a comunicat că este imposibil să beneficiez de un card care să nu dispună de o astfel de tehnologie. Deci furnizorul dotează din start cardurile cu tehnologii care deschid breșe în securitatea datelor, în timp ce doar consumatorul este cel care preia riscul și și-l asumă. De aceea consider că se impune un control încă din faza de concepţie care trebuie să remedieze acest lucru, dând posesorului unui obiect, dreptul la a-l deconecta dacă el așa consideră.

Red: Cum anume și în cât timp vedeți dumneavoastră aplicarea acestui postulat și care vor fi rezultatele sale pe termen scurt și mediu?

Jean Christophe Schwaab: Fabricanţii de obiecte ce pot fi potenţial conectate la orice reţea (cu sau fără posibilitatea de schimb de date) vor trebui să le doteze cu o funcţie care să permită oricând oprirea oricărei conexiuni a acestora. Un simplu buton „ON/OFF” ar fi suficient.

Red: Dacă am considera că întreprinderile de IT care dezvoltă IoT ar fi făcut pe acest segment un profit de peste 87% în 2014, v-ați aștepta ca acest text să poată fi „alterat” astfel încât să nu poată să împiedice dezvoltarea unui comerț atât de înfloritor și să fie supus în acest scop unui referendum?

Jean Christophe Schwaab: Nu cred, deoarece aplicarea conceptului ar trebui să fie foarte simplă. De altfel, fabricanţii au interes să joace cartea transparenţei, deoarece sensibilitatea publicului crește din ce în ce mai mult.

Red: Să privim câteva exemple: acum trei luni au fost descoperite la Rotterdam 20.000 frigidere WI FI cu malware integrat, sau Dick Cheney care a dezacti vat pentru motive de securitate WI FI de la defibrilatorul conectat la pacemaker-ul său, sau ethical hackers care au dovedit deja acum patru ani cât de ușor poate fi asasi nat oricare purtător al unei centuri de insulină cu bluetooth. Cu toate că demersul dumneavoastră este unul dintre cele mai rare și probabil cele mai percutante, el face parte dintr-un domeniu pe care politicul are tendința să îl ignore. Cum explicați ușurința totală cu care „obiectele conectate” sunt admise pe piață, atât în Elveția cât și în Europa, de la brățările de jogging până la obiecte vitale, cum ar fi inimile artificiale?

Jean Christophe Schwaab: Asta arată că legiuitorii sunt depășiţi de evoluţiile tehnologice și că trebuie să reacţioneze imediat legat de acest aspect. Asta mai arată de asemenea pertinenţa propunerii mele de a introduce „controlul încă din momentul concepţiei”, care ar evita foarte bine multe din problemele pe care le-aţi evocat.

Red: Demersul dumneavoastră, difuzat de cele mai mari ziare din Elveția, a avut deja un succes de imagine, contrastând cu lipsa de campanii periodice de sensibilizare a publicului și a persoanelor de decizie, în ceea ce privește protejarea vieții lor private, personale și profesionale pe Internet. Și cu toate că Elveția are exemplul cel mai reușit de organism de dialog public-privat în materie, MELANI, cum de nu vedem încă inițierea unor campanii periodice de prevenție în școli, în întreprinderi sau universități? Credeți că însăși lipsa conștientizării politicienilor, chiar în ceea ce privește propria lor viață, este de fapt cauza?

Jean Christophe Schwaab: Lipsa conștientizării este din păcate generalizată în sânul populaţiei, chiar dacă lucrurile încep încet să se amelioreze (adesea în urma unor scandaluri, cum a fost de exemplu cel de la NSA). Aleșii nu sunt decât o reflectare a populaţiei care i-a ales. Majoritatea nu au înţeles încă faptul că de acum înainte se pot obţine date foarte sensibile despre o persoană, nu numai pentru că își povestește viaţa sa pe reţele sociale, cât mai ales prin analiza datelor anodine în număr foarte mare (big data). Educaţia în sfera protecţiei private trebuie să fie dezvoltată, mai ales în școli.

Red: Aveți doi copii. Cum vă imaginați Internetul (cel al „ființelor” sau al „obiectelor”) pe care ei îl vor cunoaște atunci când vor deveni adulți? Mai reglementat, mai sigur? Sau dimpotrivă, o junglă în care doar persoanele informate vor ști să facă alegerile potrivite pentru a nu deveni victime „by design”?

Jean Christophe Schwaab: Din păcate, ambele opţiuni sunt posibile. Trăim o perioadă crucială în care fie deciziile menite să protejeze și să menţină sfera privată sunt luate acum, fie acest drept fundamental riscă să dispară. Orice se va întâmpla, lumea în care vor trăi copiii mei va fi încă și mai mult conectată decât cea pe care o cunoaștem, iar protecţia și gestionarea datelor personale vor avea încă și mai multă importanţă.

* http://www.schwaab.ch/archives/2014/09/17/control-by-design/