LinkedIn : une politique de confidentialité lisible 16 mai 2013
Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée.1 comment so far
LinkedIn vient de réviser sa politique de confidentialité. C’est l’occasion de se pencher sur le rôle joué par ce document et les différentes possibilités de le rendre accessible. Il devrait être clair et concis pour que l’utilisateur s’y retrouve, tout en étant complet car cela reste un document juridique.
Une politique de confidentialité, c’est quoi ?
Une politique de confidentialité (Privacy Policy) est le document par lequel le maître du fichier informe la personne concernée du traitement de ses données. C’est le moyen utilisé, notamment par les sites Internet, pour remplir leur obligation d’information, voire obtenir les consentements nécessaires. La politique de confidentialité est souvent un élément des conditions générales.
Lorsque des données personnelles sont traitées, le traitement de ces données (ce qui inclut la collecte, la conservation, l’utilisation, la communication, etc.) doit être au moins reconnaissable. Si les données traitées sont des données sensibles ou des profils de la personnalité, le doit suisse exige une information. On doit notamment pouvoir reconnaître (ou être informé de) quelles données sont traitées, par qui, dans quel(s) but(s) et si elles sont transmises à des tiers.
La personne dont les données sont traitées doit consentir à ce traitement. Ce consentement peut avoir lieu par acte concluant (en transmettant des données, en acceptant des conditions générales, etc.), mais il doit être éclairé. Cela signifie que pour donner son accord au traitement des données, il faut disposer d’informations claires et compréhensibles sur le sort réservé à ses données.
Un document multicouche
La nouvelle politique de LinkedIn se compose de trois couches. La première est une vidéo qui explique ce que contient la politique de confidentialité et dans les grandes lignes quelles données sont traitées.
Le texte du document principal est divisé en deux colonnes qui représentent les deux dernières couches. Alors que la colonne de droite correspond au format classique et complet, la colonne de gauche résume en une phrase chaque paragraphe.
Cette politique se lit facilement et l’utilisateur peut sans difficulté approfondir un point puisque le paragraphe correspondant est toujours au même niveau. Le texte contient également de nombreux liens directs qui permettent de refuser certains traitements de données. Comme ces «options» sont peu visibles et que le paramétrage du compte n’est pas très intuitif, ces liens sont très utiles. Ils permettent par exemple de:
- se désinscrire de la collecte d’impressions de plug-ins (LinkedIn reçoit des informations lorsque vous visitez un site tiers qui intègre les plug-ins professionnels de LinkedIn);
- ne pas recevoir les publicités LinkedIn diffusées sur des sites tiers;
- choisir les éléments de votre profil qui sont répertoriés par les moteurs de recherche;
- activer/désactiver le partage des données avec les applications tierces;
- renoncer à participer à des enquêtes et sondages; ou
- activer l’accès sécurisé HTTPS ou la connexion en deux temps.
La forme et le contenu
Si la forme est séduisante, le contenu ne réserve pas d’aussi bonnes surprises. Comme c’est le cas pour la plupart des fournisseurs de services, LinkedIn se donne un maximum de droits, par exemple de celui de transmettre les données à des tiers «dans le but de conserver les fonctions et fonctionnalités de LinkedIn», à des sociétés affiliées ou en cas de cession des actifs de la société. La collecte d’informations lors de la synchronisation avec un appareil portable, un calendrier ou une autre application est aussi large.
Ce n’est donc pas parce qu’une politique de confidentialité est compréhensible que son contenu est favorable à l’utilisateur, mais c’est en toute connaissance de cause que le consommateur pourra choisir d’utiliser ou non ces services.
Sur le même sujet
Pourquoi ne pas s’inspirer des étiquettes alimentaires pour protéger la sphère privée?
Les préposés européens unis face à la nouvelle politique de confidentialité de Google
Cachons-nous, les voitures Google reviennent ! 7 mai 2013
Posted by Sylvain Métille in Google, Humeur, Localisation, Protection des données, Sphère privée, Suisse.add a comment
En Suisse, l’affaire Google Street View commence en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) que Google conteste. Le Tribunal administratif fédéral (TAF) est saisi et va encore plus loin en exigeant que l’intégralité des visages et des plaques d’immatriculation soient rendues méconnaissables, au besoin par un travail manuel. Google recourt alors au Tribunal fédéral (TF) et menace de fermer le service Google Street View en Suisse si le jugement du TAF n’est pas annulé.
Probablement indifférent à ces menaces, le TF rend un arrêt le 31 mai 2012 dans lequel il donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100% et qu’une marge d’erreur minime peut être admise si d’autres conditions strictes sont remplies. Il s’agit en particulier de mettre en place une procédure simple et rapide pour obtenir la suppression des images, de mieux prendre en compte certaines zones sensibles, de réduire la hauteur des caméras de 2.80 m à 2 m (pour éviter de filmer par-dessus les haies et clôtures), etc. De plus, Google doit informer largement la population avant la prise de nouvelles images. Cela devrait être fait ces jours, puisque dès mercredi 8 mai 2013, les voitures Google rouleront à nouveau sur les routes suisses. Le calendrier avec les heures et les localités de passages est publié comme l’a exigé le TF.
Durant la procédure, Google n’avait guère enregistré d’autres images que celles de curiosités touristiques ou de pistes de ski plus ou moins désertes. Les images qui seront enregistrées ces prochaines semaines dans des villes et villages de toute la Suisse devraient être disponibles d’ici quelques mois et vont permettre de combler le retard pris par rapport à d’autres pays.
Quant à l’enregistrement d’informations sur les réseaux wifi non protégés (courriers électroniques, mots de passe, photos, etc.), Google a été condamné dans plusieurs pays. En Suisse, une enquête avait été ouverte par le PFPDT en 2011 et close assez rapidement, suite aux engagements de Google de ne plus enregistrer de telles données.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Pas de limites à la vidéosurveillance des collèges vaudois 25 avril 2013
Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.add a comment
La Cour de droit administratif et public du Tribunal cantonal vaudois a rendu un arrêt le 1er mars 2013 dans la cause opposant la Municipalité de Lutry au Bureau du préposé à la protection des données et à l’information.
Elle a admis le recours de la Municipalité de Lutry qui contestait les limitations imposées par le Préposé vaudois à la protection des données, en particulier l’interdiction de l’utilisation des installations de vidéosurveillance des collèges pendant les heures régulières de cours.
Pour le Tribunal cantonal, le fonctionnement 24 heures sur 24 des caméras de surveillance, dont les images sont visibles en permanence sur des écrans installés à la réception du poste de police et conservées durant 48 heures ne pose pas de problèmes. Et cela même si les élèves et enseignants ne peuvent pas éviter d’être dans le champ des caméras.
La question principale est de savoir si la vidéosurveillance respecte le principe de la proportionnalité, ce qui implique de vérifier qu’elle est apte à produire les résultats escomptés (règle de l’aptitude), que ces résultat ne peuvent pas être atteints par une mesure moins incisive (règle de la nécessité), et qu’il y ait un rapport raisonnable entre le but visé et l’atteinte à la sphère privée (proportionnalité au sens étroit).
Le Tribunal est d’abord arrivé à la conclusion que la pose des caméras permet d’atteindre un but de prévention puisque les dommages aux bâtiments et aux véhicules, les voies de fait et la consommation de stupéfiants sur les deux sites scolaires ont baissés. Il retient ensuite que ces mesures sont nécessaires également pendant les heures de cours (notamment parce que des problèmes ont eu lieu avant la pose des caméras durant les heures de cours) et que le recours à une société de surveillance (agents privés) serait plus onéreux. Finalement le Tribunal a refusé de voir une contradiction entre la mission de l’école, qui vise notamment à contribuer au développement de la personnalité des élèves, et l’instauration d’un système de vidéosurveillance permanent. Il considère que l’atteinte portée à la liberté personnelle et à la sphère privée des élèves et des enseignants doit être considérée comme légère puisque les enregistrements sont effacés après 48h. Le Tribunal conclut que la vidéosurveillance a également des effets positifs pour les utilisateurs des sites scolaires puisqu’elle tend notamment à empêcher des dommages à la propriété ou des actes de violence dont ils peuvent être victimes.
Le fait que les élèves ne soient filmés qu’à l’extérieur des bâtiments scolaires, lorsqu’ils arrivent sur le site ou le quittent ou lors des récréations, a certes un impact relatif sur l’enseignement lui-même et le développement de la personnalité de l’élève. En revanche, l’impossibilité pour un élève d’entrer et sortir du bâtiment scolaire et surtout de prendre la récréation à l’extérieur sans être filmé, constitue une atteinte qui ne doit pas être négligée. Cette atteinte est d’autant plus importante que les images sont visibles en direct, et apparemment sans limitations particulières, à la réception du poste de police.
Remplacer les caméras par les enseignants
Durant les récréations (c’est durant ces périodes que la vidéosurveillance est la plus choquante), le but visé aurait tout aussi bien pu être atteint par des enseignants, dont on ne doute pas qu’ils soient déjà présents. Dans un souci de proportionnalité, on aurait aussi pu imaginer réserver des zones sans caméras pour permettre aux élèves de prendre la pause sans être filmés et diffusés en direct à la réception du poste de police.
On peut encore regretter que le Tribunal n’ait pas traité la question sous l’angle du droit à l’enseignement de base (art. 19 Cst.) et du droit du travail, puisque l’utilisation de systèmes destinés à surveiller le comportement des employés à leur poste de travail est par principe interdit et qu’une surveillance pour des motifs de sécurité doit obéir à des conditions strictes notamment en terme de proportionnalité (voir par exemple la Directive du Secrétariat d’Etat à l’économie concernant l’Ordonnance 3 de la loi sur le travail et le Guide pour le traitement des données personnelles dans le secteur du travail du Préposé fédéral à la protection des données).
Même s’il n’y pas de recours contre cette décision, l’affaire n’est peut-être pas finie car un enseignant ou un élève pourrait engager une action à titre individuelle pour atteinte à ses droits de la personnalité et demander la mise hors service des caméras.
voir également l’article paru sur le site du magazine Bilan Des caméras dans la cour de récré.
Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013
Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.
Protection des données: lobbyistes, on vous a à l’œil ! 27 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Logiciel, Protection des données, Sphère privée, Surveillance, USA.1 comment so far
L’Union européenne a entamé le processus de réforme de sa législation en matière de protection des données. Au début de l’année 2012, la Commission européenne a présenté un projet de Règlement général sur la protection des données qui s’appliquera à toutes les données personnelles traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens.
Le Règlement aura donc un impact direct sur les géants de l’Internet, dont certains sont déjà visés par des procédures dans plusieurs pays européens (on pense notamment à Facebook en Irlande ou Google en France). Il n’en fallait pas moins pour aiguiser les ardeurs des lobbyistes et l’on a rapidement vu un certain nombre d’Américains s’ajouter à ceux qui sont habituellement présents à Bruxelles. Mais ne jetons pas la pierre aux Américains, car les intérêts européens sont également représentés à Washington.
On trouve des entreprises américaines qui veulent empêcher toute limitation européenne à leurs activités actuelles, des organisations américaines de défense de la sphère privée qui soutiennent les mesures protectrices en Europe (et espèrent un effet direct ou indirect aux USA), des Européens (y compris au plus haut niveau politique) qui tentent de obtenir du gouvernement américain qu’il limite ses droit d’accès aux données européennes. Ou encore des entreprises européennes qui souhaitent moins de restrictions et tentent de trouver un appui dans ce sens aux USA.
Les lobbyistes ont largement dépassé le stade de simples discussions de couloirs et deviennent de plus en plus efficaces et influents, ressemblant parfois de manière troublante à des secrétaires parlementaires. Pour mesurer leur influence réelle, une plate-forme participative en ligne, Lobbyplag, compare les propositions des groupes d’intérêts et les amendements au projet de Règlement demandés par les parlementaires dans les différents comités actuellement saisis du projet.
Si l’idée même que l’industrie influence l’élaboration d’une loi n’est pas nouvelle, les ressemblances sont plus que troublantes et il peut être intéressant de savoir qui soutient quoi et par quel biais. En utilisant des données librement accessibles (Open Data) et un financement participatif (crowdfunding), Lobbyplag est un exemple de l’utilisation de moyens informatiques pour renforcer la transparence dans la démocratie. Et prouver que protection des données et transparence peuvent cohabiter !
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Sécurité des réseaux et de l’information 21 mars 2013
Posted by Sylvain Métille in Informatique, Logiciel, Technique.add a comment
La Commission européenne a publié le 7 février 2013 une proposition de Directive concernant la sécurité des réseaux et de l’information (SRI, en anglais Network and Information Security NIS), ainsi qu’une Stratégie en matière de cybersécurité pour l’Union Européenne intitulée «un cyberespace ouvert, sûr et sécurisé», développée avec la Haute représentante de l’Union pour les affaires étrangères et la politique de sécurité.
La stratégie de cybersécurité expose la vision globale de l’Union européenne en ce qui concerne les meilleurs moyens de prévenir les perturbations et attaques visant le cyberespace et de s’y opposer. Elle s’articule autour de cinq priorités:
- parvenir à la cyber-résilience,
- faire reculer considérablement la cybercriminalité,
- développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC),
- développer les ressources industrielles et technologiques en matière de cybersécurité,
- instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’UE.
La proposition de Directive sur la SRI est un volet essentiel de la stratégie globale dont l’objectif est de garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE. Elle prévoit notamment les mesures suivantes:
(a) chaque Etat membre doit adopter une stratégie de SRI (art. 5) et désigner une autorité nationale compétente en la matière, qui disposera de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité (art. 6), ainsi que créer un centre national d’alerte et de réaction aux attaques informatiques (Computer Emergency Response Team ou « CERT ») (art. 7),
(b) un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d’alerte rapide sur les risques et incidents au moyen d’une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs (art. 8ss),
(c) les opérateurs des infrastructures critiques (services financiers, transports, énergie et santé) et les entreprises clés de l’Internet (notamment les magasins d’applications en ligne, les plates-formes de commerce électronique, les passerelles de paiement par Internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) offrant des services dans l’UE ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs à l’autorité nationale (art 14).
Pour rappel, lorsqu’une directive est adoptée, les Etats membres disposent de 18 mois pour la transposer dans leur droit national. Cette Directive développera également des effets sur les entreprises établies hors des frontières de l’UE, puisque les entreprises offrant des services dans l’UE devront adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs indépendamment de la localisation de leur siège social.
Un petit drone pour épier ses voisins? 13 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.3 comments
En Suisse, des drones de l’armée sont utilisés régulièrement depuis 2006 pour surveiller les zones frontières. Dans le cas d’un usage par une personne privée, les drones ne sont soumis à aucune autorisation tant qu’ils n’atteignent pas un poids de 30 kilos et que le pilote resté au sol maintient un contact visuel avec l’appareil. Non seulement ces machines volent discrètement, mais elles peuvent aussi embarquer un matériel de pointe capable de procéder à des enregistrements sonores, des prises de vues, des mesures de détection, etc.
La DARPA, une agence du Département américain de la défense, a présenté en début d’année une caméra dotée d’un capteur de 1,8 gigapixels. A 6’000 mètres d’altitude, cette caméra peut couvrir une surface de vingt-cinq kilomètres carrés et y repérer un objet au sol d’une taille de quinze centimètres. On trouve aussi des nanodrones, comme ceux utilisés par l’armée anglaise et qui pèsent quinze grammes (caméra comprise) pour une dizaine de centimètres d’envergure. Loin de ces performances technologiques, un amateur peut déjà trouver un matériel à un prix accessible et qui lui permettra d’obtenir des images de bonne qualité. La surveillance de ses voisins ou de ses concurrents par le ciel est devenue réalité.
La légalité d’une telle démarche ne change pas de celle qui prévaut en matière de vidéosurveillance classique. Les personnes filmées doivent y consentir (ce qui implique d’avoir été informé préalablement) et l’atteinte à la sphère privée des personnes filmées doit être proportionnée par rapport au but poursuivi. Dans certains cas précis, par exemple à des fins de sécurité, il sera possible de passer outre le consentement des personnes filmées en invoquant des intérêts prépondérants. N’empêche que souvent la surveillance sera illégale et restera inaperçue, donc impunie.
Le droit civil et de la protection des données permettent de faire cesser une atteinte illicite et une plainte pénale peut être déposée pour violation du domaine privé au moyen d’un appareil de prise de vues. Voilà pour la théorie, mais dans la pratique le jouet se transforme rapidement en un espion discret, peu coûteux et peu capricieux, contre lequel il est difficile de lutter. Au moins tant et aussi longtemps que le législateur ne le soumettra pas à autorisation, autorisation qui devrait aussi porter sur le but de leur utilisation.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013
Posted by Sylvain Métille in Surveillance, Suisse, Skype, Sphère privée, Technique, Logiciel, Téléphonie, Protection des données, Droit pénal et procédure pénale, Informatique.3 comments
Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.
Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.
Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.
L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
En cas d’atteinte à la personnalité, l’hébergeur a (aussi) un devoir de supprimer le contenu illicite 20 février 2013
Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse.add a comment
Le Tribunal fédéral vient de statuer sur le recours déposé par la Tribune de Genève contre la décision l’obligeant à supprimer une publication d’un politicien genevois sur son blog (5A_792/2011).
Toute l’affaire débute le 9 avril 2008, lorsque le président du MCG Eric Stauffer publie sur son blog hébergé par la Tribune de Genève un article intitulé «Banque cantonale : nous exigeons toute la vérité!» dans lequel il accuse un ancien responsable de la Banque Cantonale de Genève d’avoir contribué à la déconfiture de cette banque.
La personne visée dans l’article a obtenu des mesures provisoires ordonnant à la Tribune de Genève et à Eric Stauffer de retirer l’article en question et leur interdisant de le publier. Ces mesures provisoires ont ensuite été confirmées par le Tribunal de première instance de Genève qui a constaté le caractère illicite de l’atteinte. Les frais et dépens ont été mis à la charge de l’auteur pour ¾ et de l’hébergeur pour ¼.
L’hébergeur participe à l’atteinte
Selon le Tribunal fédéral, l’atteinte à la personnalité résulte de la publication d’un texte rédigé par Eric Stauffer sur internet, soit plus précisément sur le blog de ce dernier, hébergé par la Tribune de Genève sur son propre site internet. Si Eric Stauffer est l’auteur originaire de la lésion aux intérêts personnels, la Tribune de Genève, en lui fournissant l’espace internet sur lequel il a pu créer son blog, a permis la diffusion du billet incriminé auprès du public et d’un large cercle de lecteurs. Si elle n’est pas l’auteur de l’atteinte, elle a contribué à son développement et, partant, y a participé conformément à l’art. 28 al. 1 CC.
Le Tribunal souligne ensuite qu’il n’est pas question de contrôler constamment le contenu de tous les blogs hébergés, ni de dommages-intérêts ou en réparation du tort moral. Dans le cas d’une action en réparation du dommage, il faut une faute. Alors qu’ici il s’agit d’une action en cessation de l’atteinte, qui peut être dirigée contre toute personne qui y participe. L’hébergeur d’un blog devra supprimer un article qui porte atteinte à l’honneur comme le responsable d’un panneau d’affichage pourra être obligé de retirer une affiche, même s’il n’en n’est pas l’auteur.
Une obligation de réagir, pas de censure avant
Cette décision ne crée pas un devoir de contrôle de l’hébergeur, mais elle confirme que celui qui participe à une atteinte à la personnalité et qui techniquement est en mesure de la faire cesser doit donner suite à une telle requête. La victime peut choisir librement contre qui elle souhaite diriger sa requête (auteur, hébergeur, éventuellement fournisseur d’accès,…).
La victime n’est pas obligée de s’être adressée préalablement au site avant de saisir la justice mais il lui est recommandé de le faire, comme il est recommandé au site de donné suite déjà à la requête de la victime sans attendre une décision judiciaire (sauf s’il y a des doutes sérieux sur le fait que la publication constitue une atteinte), cela en particulier pour éviter des frais judiciaires.
A noter que cette décision judiciaire concerne le cas d’une demande de suppression d’un contenu portant atteinte à la personnalité et qu’elle ne s’applique pas à n’importe quel contenu illicite. L’art. 28 CC prévoit en effet que celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe, et non seulement contre l’auteur comme c’est le cas pour d’autres contenus illégaux.
Respecter la loi sur la protection des données ne suffit plus! 13 février 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.2 comments
Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.
En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.
Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.
Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.
Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).
Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants, de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.
Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.
