Dans l’agriculture, il est d’usage que des tiers – laiteries, abattoirs, fabricants de machines agricoles, etc. – collectent les données des agriculteurs·trices et en transmettent une partie à d’autres tiers. Quand les agriculteurs·trices se font enregistrer avec leur exploitation sur une plateforme de commerce agricole ou utilisent une appli (pour les mises en stabulation, la consommation d’eau et de fourrage ou la gestion du troupeau), leurs informations sont requises ; il s’agit en partie de données à caractère personnel et en partie des données relevant uniquement de l’exploitation.
Dans ce contexte, les agriculteurs·trices doivent se demander où ils en sont en matière de protection des données de leur exploitation et quand ces dernières sont partagées.
Caractère personnel de certaines données de l’exploitation
Il convient de faire la différence entre données personnelles et données de l’exploitation (et relevant uniquement de celle-ci). Sont réputées personnelles toutes les informations concernant une personne physique identifiée ou identifiable. Ainsi, les durées de fonctionnement, de déplacement ou d’arrêt des machines agricoles doivent être considérées comme des données personnelles. Il en va de même pour les informations de ce type qui sont mises à disposition d’autres agriculteurs·trices. Il peut s’agir, par exemple, de l’infestation d’une culture par un nouveau ravageur qui pourrait nuire à d’autres cultures. D’autres exploitations utilisant le même produit, les informations partagées par l’agriculteur concerné leur seront utiles pour réagir avant le début de l’invasion.
Les données purement factuelles ou matérielles ne sont pas concernées par la loi fédérale sur la protection des données.
En revanche, les données relevant uniquement de l’exploitation sont, par exemple, celles sur la consommation d’eau et de fourrage ou les effectifs d’animaux. Ces données purement factuelles ou matérielles n’ont aucun lien avec une personne en particulier. Ainsi, elles ne tombent pas dans le champ d’application de la législation suisse sur la protection des données.
Données à caractère personnel
Les informations pouvant permettre d’identifier une personne existent depuis les débuts de l’humanité. Cependant, la notion de données personnelles n’a été formellement définie que dans les années 1970, suite à l’avènement des premières technologies digitales. Par données personnelles, on entend aujourd’hui l’ensemble des données relatives à une personne identifiée ou identifiable. Ces données sont classées pour l’essentiel en quatre catégories :
Les informations qui identifient explicitement une personne. Il peut s’agir d’un nom complet, d’une adresse électronique contenant le nom de famille de l’utilisateur ou des descriptions du visage d’une personne.
Les informations qui n’identifient pas explicitement une personne, mais qui sont uniques à cette personne et permettent son identification si on les relie à d’autres informations. Exemple : les empreintes digitales.
Les informations qui ne sont potentiellement pas uniques à une personne, mais appartiennent seulement à un cercle restreint de personnes. Exemple : l’adresse IP.
Les informations qui n’identifient pas une personne en tant que telle, mais donnent des informations sur cette personne ou ses activités. Exemple : les géodonnées.
Pour en savoir plus sur les données et leur protection : www.infosec.ch ➞ blog (en allemand et en anglais)
Secret professionnel et commercial
Sont considérés comme relevant du secret professionnel et commercial de l’exploitation agricole l’ensemble des faits, circonstances et processus qui s’y rapportent. Ces données ne sont pas accessibles à tous, mais uniquement à un cercle de personnes restreint et les agriculteurs·trices ont un intérêt légitime à ce qu’elles ne soient pas diffusées. Par ailleurs, ces données doivent être sécurisées de manière appropriée.
Les entreprises ne peuvent par exemple enregistrer des données d’agriculteurs·trices que si elles en ont reçu l’autorisation. L’enregistrement est aussi permis dans les cas suivants : (a) l’entreprise a besoin des données pour traiter une commande ou (b) les données ne sont pas des données personnelles et ne relèvent en outre pas du secret commercial, sachant que ce dernier cas est probablement plutôt rare.
Sont notamment considérés comme relevant du secret professionnel et commercial le chiffre d’affaires, la situation financière ou les livres de comptes. Il en va de même des listes de fermiers et de clients, des sources d’approvisionnement ou encore, des prix des fermages ainsi que des documents de calcul. Même les données météorologiques peuvent relever du secret commercial si elles sont liées à une parcelle déterminée et à ses données d’exploitation. Un fichier de parcelles relève aussi du secret commercial, car il contient notamment les données sur la fumure et les mesures de protection des plantes pour des parcelles.
Pas de secret sans protection
Toute information relevant du secret commercial doit être protégée (sans quoi il ne saurait y avoir secret). Ainsi, dans une exploitation agricole, l’accès aux données doit être sécurisé par un mot de passe. Il en va de même pour les données d’exploitation spécifiques comme la productivité laitière, les rations fourragères ou les rendements à l’hectare. Par exemple, le numéro de parcelle permet de déterminer le propriétaire à travers l’enregistrement au registre foncier. Dans ce domaine, l’autorisation des agriculteurs·trices est requise pour la collecte ou la transmission d’informations les concernant par des personnes ou des institutions. Il se peut en l’occurrence que la plupart des données soient concernées.
Sécurité et responsabilité
Les agriculteurs·trices doivent sécuriser leurs données personnelles et celles de leur exploitation. Il est donc crucial qu’ils consultent les contrats conclus avec leurs partenaires commerciaux, une pratique encore peu courante. Ce faisant, il s’agit pour eux de se demander si leurs informations peuvent être utilisées et, si oui, comment et dans quelle mesure. En particulier, si des données sont utilisées sans être nécessaires au traitement d’une commande, ils devraient avoir le droit d’en révoquer l’accès et l’utilisation.
Notre conseil
Analyser et vérifier
- Au final, les mesures qui sont particulièrement recommandées aux agriculteurs·trices sont les suivantes :
- Analyser quels processus de traitement des données utilisent des données à caractère personnel ou relevant de l’exploitation.
- Vérifier la teneur des contrats passés avec des entreprises tierces.
- Vérifier les mesures mises en œuvre dans le domaine de la sécurité des données.
S’agissant des exploitations agricoles, la question de la responsabilité se pose si, par exemple, les données sont piratées et que les agriculteurs·trices en subissent des préjudices. En pareil cas, la responsabilité est assumée par l’entreprise qui a reçu les données considérées, mais uniquement si une faute peut lui être reprochée. La réponse variera donc au cas par cas.
Principes de la nouvelle loi fédérale sur la protection des données
Le principe de « Privacy by Design » (protection de la vie privée dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privée des utilisateurs·trices dans la structure même du produit ou du service amené à collecter des données personnelles. Ainsi, par exemple, en vertu de ce principe, il n’est pas admis de demander des données qui ne sont pas techniquement nécessaires.
Le principe de « Privacy by Default » (protection de la vie privée par défaut) assure le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs·trices, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. sg