jump to navigation

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Identification du titulaire d’une adresse IP 30 décembre 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
4 comments

L’art. 273 du Code de procédure pénale (CPP) permet au ministère public d’obtenir des fournisseurs de services de télécommunications les données indiquant quand et avec quelles personnes ou quels raccordements la personne surveillée a été ou est en liaison par poste ou télécommunication (a) et  les données relatives au trafic et à la facturation (b) lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis. L’ordre de surveillance doit être autorisé par le tribunal des mesures de contrainte et les principes de proportionnalité et de subsidiarité doivent notamment être respectés.

On appelle ces informations «données accessoires» ou encore «données relatives au trafic et à la facturation et identification des usagers». Elles se distinguent des autres mesures de surveillance de la correspondance et des télécommunications par le fait qu’elles ne portent pas sur le contenu. Elles portent donc une atteinte moins grande à la sphère privée et peuvent être autorisées plus facilement que l’accès au contenu (ATF 137 IV 340, consid. 5.5). Ces données peuvent être demandées en temps réel (comme une écoute), mais c’est assez rare. Elles sont le plus souvent demandées avec effet rétroactif. Dans ce cas l’art. 273 al. 3 CPP prévoit une limite à six mois, indépendamment de la durée de la surveillance.

Certains considèrent qu’il s’agit là d’une obligation pour les fournisseurs de conserver les données durant 6 mois et qu’il serait possible d’obtenir des données plus anciennes si elles sont disponibles. Cette interprétation ne devrait pas être suivie. L’obligation de conserver les données découle des art. 12 al. 2 et 15 al. 3 de la Loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). C’est cette loi qui impose des obligations aux fournisseurs de services, alors que les conditions de surveillance (et d’obtention des données) découlent du CPP. La limite de six mois s’impose donc aux autorités de poursuite et elles ne peuvent pas demander des données antérieures, même si elles sont disponibles. Le projet de révision de la LSCPT prévoit une extension de la durée de conservation des données à 12 mois.

Pas de limite temporelle pour l’adresse IP
Au début de cette année, le Tribunal fédéral (TF) s’est prononcé sur une demande d’identification d’une adresse IP antérieure à plus de 6 mois. Cette décision vient d’être publiée au recueil officiel des ATF (139 IV 98).

L’art. 14 LSCPT dispose que les fournisseurs de services de télécommunication doivent fournir d’une part le nom, l’adresse et, si celle-ci est connue, la profession de l’usager d’un raccordement déterminé, et d’autre part les ressources d’adressage (les paramètres de communication ainsi que les éléments de numérotation tels que les indicatifs, les numéros d’appel et les numéros courts, ce qui inclut l’adresse IP). Ces informations sont fournies sur demande aux autorités fédérales et cantonales qui peuvent ordonner ou autoriser une surveillance de la correspondance par télécommunication, pour déterminer les raccordements et les personnes à surveiller, mais également à l’Office fédéral de la police et aux commandements des polices cantonales et municipales, pour exécuter des tâches de police.

La LSCPT est donc une lex specialis, soit une loi spéciale qui déroge au régime général du CPP selon le TF. On peut aussi considérer simplement que l’identification de l’utilisateur d’une ressource d’adressage (ou dans l’autre sens de la ressource d’adressage d’un utilisateur) est un renseignement sur les raccordements de télécommunication qui ne fait pas partie des mesures de surveillance. Une telle demande n’est pas soumise aux exigences strictes applicables à ces mesures et l’information peut être obtenue facilement, y compris en dehors d’une procédure pénale.

A noter que l’art. 82 de l’Ordonnance sur les services de télécommunication (OST), permet au client d’un service de télécommunication qui reçoit des communications abusives d’obtenir la date et l’heure des messages, les ressources d’adressage ainsi que le nom et l’adresse des titulaires des raccordements ayant servi à établir les communications. Si les messages abusifs sont des emails et non des appels téléphoniques, cette disposition devrait aussi inclure l’adresse IP.

Le TF avait laissé ouverte la question de savoir si des données accessoires (soit d’autres données que le nom et l’adresse du titulaire d’un numéro de téléphone ou d’une adresse IP) qui seraient disponibles au-delà de six mois pouvaient être transmises aux autorités de poursuite. C’est dans une autre affaire (ATF 139 IV 195) que le TF a apporté la réponse à cette question, confirmant que la limite de six mois doit être respectée pour les données accessoires au sens de l’art. 273 al. 3 CPP.

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

En cas d’atteinte à la personnalité, l’hébergeur a (aussi) un devoir de supprimer le contenu illicite 20 février 2013

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse.
add a comment

Le Tribunal fédéral vient de statuer sur le recours déposé par la Tribune de Genève contre la décision l’obligeant à supprimer une publication d’un politicien genevois sur son blog (5A_792/2011).

Toute l’affaire débute le 9 avril 2008, lorsque le président du MCG Eric Stauffer publie sur son blog hébergé par la Tribune de Genève un article intitulé «Banque cantonale : nous exigeons toute la vérité!» dans lequel il accuse un ancien responsable de la Banque Cantonale de Genève d’avoir contribué à la déconfiture de cette banque.

La personne visée dans l’article a obtenu des mesures provisoires ordonnant à la Tribune de Genève et à Eric Stauffer de retirer l’article en question et leur interdisant de le publier. Ces mesures provisoires ont ensuite été confirmées par le Tribunal de première instance de Genève qui a constaté le caractère illicite de l’atteinte. Les frais et dépens ont été mis à la charge de l’auteur pour ¾ et de l’hébergeur pour ¼.

L’hébergeur participe à l’atteinte
Selon le Tribunal fédéral, l’atteinte à la personnalité résulte de la publication d’un texte rédigé par Eric Stauffer sur internet, soit plus précisément sur le blog de ce dernier, hébergé par la Tribune de Genève sur son propre site internet. Si Eric Stauffer est l’auteur originaire de la lésion aux intérêts personnels, la Tribune de Genève, en lui fournissant l’espace internet sur lequel il a pu créer son blog, a permis la diffusion du billet incriminé auprès du public et d’un large cercle de lecteurs. Si elle n’est pas l’auteur de l’atteinte, elle a contribué à son développement et, partant, y a participé conformément à l’art. 28 al. 1 CC.

Le Tribunal souligne ensuite qu’il n’est pas question de contrôler constamment le contenu de tous les blogs hébergés, ni de dommages-intérêts ou en réparation du tort moral. Dans le cas d’une action en réparation du dommage, il faut une faute. Alors qu’ici il s’agit d’une action en cessation de l’atteinte, qui peut être dirigée contre toute personne qui y participe. L’hébergeur d’un blog devra supprimer un article qui porte atteinte à l’honneur comme le responsable d’un panneau d’affichage pourra être obligé de retirer une affiche, même s’il n’en n’est pas l’auteur.

Une obligation de réagir, pas de censure avant
Cette décision ne crée pas un devoir de contrôle de l’hébergeur, mais elle confirme que celui qui participe à une atteinte à la personnalité et qui techniquement est en mesure de la faire cesser doit donner suite à une telle requête. La victime peut choisir librement contre qui elle souhaite diriger sa requête (auteur, hébergeur, éventuellement fournisseur d’accès,…).

La victime n’est pas obligée de s’être adressée préalablement au site avant de saisir la justice mais il lui est recommandé de le faire, comme il est recommandé au site de donné suite déjà à la requête de la victime sans attendre une décision judiciaire (sauf s’il y a des doutes sérieux sur le fait que la publication constitue une atteinte), cela en particulier pour éviter des frais judiciaires.

A noter que cette décision judiciaire concerne le cas d’une demande de suppression d’un contenu portant atteinte à la personnalité et qu’elle ne s’applique pas à n’importe quel contenu illicite. L’art. 28 CC prévoit en effet que celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe, et non seulement contre l’auteur comme c’est le cas pour d’autres contenus illégaux.

Google Street View: l’arrêt du Tribunal fédéral qui satisfait toutes les parties 1C_230/2011 2 octobre 2012

Posted by Sylvain Métille in ATF, Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA, Vidéosurveillance.
add a comment

L’Affaire Google Street View a commencé en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) contestée par Google. Le PFPDT avait alors dû porter l’affaire devant le Tribunal administratif fédéral (TAF) contre les sociétés Google Inc. (Mountain View, USA) et Google Switzerland Sàrl (Zurich). Par arrêt du 30 mars 2011, le Tribunal administratif fédéral (TAF), avait enjoint Google de rendre l’intégralité des visages et plaques de d’immatriculation méconnaissables avant la publication des images sur Internet, au moyen d’un contrôle manuel si nécessaire. Google a recouru au Tribunal fédéral (TF) et avait même menacé de fermer le service Google Street View en Suisse (commentaire de l’arrêt du TAF ).

Le Tribunal fédéral a rendu un arrêt le 31 mai 2012 (1C_230/2011), mettant un terme définitif à cette affaire et réussissant au passage à satisfaire les deux parties. En bref, le TF donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100%. La Haute Cour admet une marge d’erreur de 1% si d’autres conditions strictes sont remplies.

Il ne s’agit donc pas d’une victoire claire de Google comme on cela pu être écrit puisque la majorité des arguments du Préposé ont été confirmés comme devant l’instance précédente, mais c’est néanmoins la possibilité pour Google de confirmer à offrir son service. C’est également la reconnaissance par le Tribunal fédéral que l’on ne peut pas exiger, même d’un géant de l’informatique une marge d’erreur égale à zéro mais qu’il convient plutôt de dreser une liste de conditions particulières à respecter pour réduire les conséquences que ces erreurs inévitables pourraient avoir.

Google Street View est soumis à la loi sur la protection des données
De manière logique le TF confirme l’application de la Loi fédérale sur la protection des données. Que les données soient traitées aux USA n’y change rien, car elles ont été enregistrées en Suisse, contiennent des informations sur des personnes et des lieux en Suisse et sont publiées de manière à être accessibles de Suisse. Le TF a ensuite confirmé Google Sàrl pouvait répondre devant un Tribunal des conséquences de Google Street View.

Sur le fonds, Google reprend d’abord l’argument qu’elle ne traitait pas de données personnelles. Les données personnelles sont les données qui permettent d’identifier précisément une personne, soit directement avec ces données, soit en les combinant avec des informations issues du contexte ou d’autres informations. Le TAF avait admis, à bon droit dit le TF, que les données d’enregistrement brutes étaient reconnaissables et devaient être considérées comme des données personnelles. Il en est de même après le traitement automatique des données puisque la procédure a démontré qu’il existait des visages ou des plaques d’immatriculation qui n’étaient pas floutés, de même que des lieux ou des personnes reconnaissables en fonction du contexte. La notion de données personnelles doit être admise également pour les signes distinctifs des voitures, les maisons, cours et jardins, qui peuvent avoir facilement un caractère personnel. Les données étant mises gratuitement à disposition du public dans toute la Suisse, une erreur de système de Google Street View est susceptible de porter atteinte à la personnalité d’un nombre important de personnes et justifie l’intervention du Préposé.

La finalité du traitement, qui doit être reconnaissable dès la collecte des données, ne peut pas être comprise par la seule vue des caméras sur une voiture ou une annonce sur une page Internet publiée une semaine à l’avance.

Le droit à l’image
Le TF rappelle que le droit de la protection des données complète et concrétise la protection de la sphère privée découlant de la Constitution et des articles 28ss du Code civil. Le droit à l’image est le droit à l’auto-détermination qui protège contre la représentation sans droit de sa propre image. C’est le droit de chacun de décider de la diffusion de sa propre photo, en particulier dans un but économique ou politique, mais également celui de s’opposer à la diffusion de photos et vidéos qui permettent d’identifier une personne. La maîtrise de ses données personnelles est garantie par le droit à l’auto-détermination informationnelle, et cela qu’il s’agisse de données sensibles ou non.

La simple prise de photos dans la rue viole déjà le droit à l’image, car des personnes peuvent être photographiées et leur image diffusée (durablement) sur Internet sans même qu’elles en aient conscience. Les possibilités techniques actuelles (zoom par exemple) font qu’une personne apparaissant comme un élément accessoire de l’image peut également être reconnaissable. La publication à grande échelle d’images de personnes ou de véhicules dans des lieux sensibles ou dans des situations désagréables peut aussi créer une représentation négative. Une différence doit d’autre part être faite entre le simple regard que pourrait jeter un passant dans une cour ou un jardin privé et la diffusion durable d’images sur Internet.

Le floutage automatique ne suffit pas à éviter une atteinte à la personnalité
La plupart des atteintes à la personnalité peuvent être évitées par la technologie de floutage automatique des visages et plaques d’immatriculation. Une amélioration de cette technologie ne suffit toutefois pas à diminuer le risque d’atteinte d’un grand nombre de personnes vu le nombre important d’images publiées. Considérant que 20 millions d’images environ sont actuellement diffusées pour la Suisse, un taux d’erreur réduit à 0.5% représente néanmoins 100 000 images insuffisamment anonymisées. L’atteinte est renforcée par le fait que la même personne peut se retrouver sur plusieurs images et que même en cas de floutage automatique une identification demeure parfois possible (ce qui constitue donc une atteinte). Google doit donc rendre les images de visages ou numéros de plaques non-reconnaissables.

Pour le TF (comme précédemment le TAF), le fait que Google Street View soit offert gratuitement ou que des mesures de respect de la sphère privée auraient un coût supplémentaire pour l’entreprise ne peut pas être retenu comme un intérêt public ou privé prépondérant.

Le floutage manuel sur demande
La diffusion de photos de visages représente une atteinte à la personnalité, en l’absence de l’accord de la personne concernée ou d’un motif justificatif. Google doit alors donner la possibilité à chacun de demander à ce que son image soit anonymisée, ce qui permet de compenser les lacunes du système automatique. Ce système doit être facilement accessible et Google doit y donner suite rapidement, sans formalité et gratuitement. Ce droit devra être rappelé régulièrement dans les médias (au minimum tous les trois ans), de même que de futures prises de vues doivent être largement annoncées.

Protéger manuellement les lieux sensibles
En plus des mesures décrites précédemment, des mesures particulières doivent être prises à proximité des lieux sensibles : un floutage manuel est requis et il ne doit pas seulement viser le visage ou le numéro de plaques mais s’étend à tout élément reconnaissable (couleur de peau, habits, moyens auxiliaires des handicapés, etc.). Le floutage devra être fait de manière à ce qu’il ne soit pas possible d’en déduire d’informations, en particulier pourquoi et à la demande de qui il a été effectuée.

Si ce travail devait être trop difficile pour Google, le Tribunal fédéral souligne que la société a toujours la possibilité d’anonymiser entièrement les bâtiments sensibles et les environs, ce qui ne mettrait pas pour autant le contenu informatif de Google Street View en péril.

Quoiqu’il en soit un visage qui ne serait pas flouté automatiquement demeure une atteinte à la personnalité que la personne concernée peut faire valoir en justice et il en découle un intérêt important pour Google à améliorer continuellement son logiciel de floutage automatique.

Soigner l’information et respecter les espaces privés
Il faut encore ajouter le respect des espaces privés clôturés qui ne sont pas visibles par les passants (garages, cours, balcons, etc.). Google dispose d’un délai transitoire de trois ans pour retirer ces images, à moins évidement qu’une personne ne demande le retrait dans un cas particulier. A l’avenir, les images devront être prises depuis une hauteur de 2 mètres maximum (au lieu de 2.80 actuellement).

Le TF a encore confirmé l’obligation faite à Google d’annoncer dans les médias de futurs enregistrement, considérant que l’on ne pouvant pas attendre de chacun qu’il aille régulièrement consulter le site internet de Google pour savoir s’il y aurait, et cas échéant quand, des prises de vues dans sa région.

Il ressort d’une pesée d’intérêts, qu’en cas de respect strict des exigences mentionnées auparavant (floutage complet des zones sensibles, information, suppression rapide, gratuite et sans formalité en cas de demande, amélioration du logiciel, etc), un taux d’erreur inférieur à 1% est acceptable.

Moins de 1% d’erreur acceptable, si…
En conclusion, une marge d’erreur de 1% lors du floutage automatiques est admissible si les conditions suivantes sont remplies:

  • le floutage automatique doit être adapté régulièrement selon l’état de la technique ;
  • à proximité des établissements sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d’accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur Internet ;
  • les images d’espaces privés (cours clôturées, jardins, etc.) qui sont à l’abri des regards des passants habituels, prises avec des appareils à plus de 2 m de hauteur ne doivent pas être publiées sur Google Street View, sauf accord des personnes concernées. Les images actuellement visibles doivent être supprimées immédiatement en cas de requête et dans tous les cas automatiquement dans les 3 ans ;
  • Google doit exécuter manuellement, efficacement et sans formalité, les demandes ultérieures d’anonymisation. Un lien clair doit figurer sur Google Street View ainsi qu’une adresse postale. Une information régulière et suffisante sur les possibilités d’opposition, doit être donnée dans les médias et sur Internet, au moins tous les 3 ans.

Le Tribunal fédéral accorde un nouveau droit de recours au ministère public lorsqu’une autorisation de surveillance est refusée 16 mars 2012

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Sphère privée, Suisse, Surveillance.
add a comment

Dans une décision rendue en fin d’année dernière, le Tribunal fédéral suisse (TF) a admis que le ministère public puisse recourir contre la décision du Tribunal des mesures de contrainte refusant d’autoriser une mesure de surveillance, bien que cela ne soit pas prévu par le Code de procédure pénale fédéral (CPP) (arrêt 1B_376/2011). Cette décision a déjà été évoquée dans un précédent billet car elle confirmait la légalité de la recherche par champ d’antenne.

Le CPP ne prévoit aucun recours cantonal contre la décision du Tribunal des mesures de contrainte autorisant ou refusant une mesure de surveillance (il en va différemment en matière de détention par exemple, puisque le code prévoit le droit du prévenu de recourir). Ce n’est qu’après avoir reçu la communication (c’est ainsi que la loi appelle l’information qui est transmise à la personne qui a fait l’objet d’une mesure de surveillance) qu’un recours contre l’ensemble de la procédure de surveillance peut être déposé (contrôle a posteriori). Au moment de la décision du Tribunal des mesures de contrainte, la personne surveillée n’en a pas connaissance et elle ne souffre donc pas de l’absence de voie de recours. Quant au ministère public, si sa demande est refusée il a toujours la possibilité d’en déposer une nouvelle (l’effet de l’autorisation accordé par le Tribunal ne sera toutefois valable qu’à compter du moment où la seconde surveillance est ordonnée et les résultats qui ne figureraient que dans la première seront inexploitables). Du moins en était-il ainsi jusqu’à la décision du TF du 3 novembre 2011.

Le TF s’est appuyé sur une disposition de la Loi sur le Tribunal fédéral (LTF) pour désormais admettre un droit de recours du ministère public contre le refus d’autoriser une mesure de surveillance. L’art. 93 LTF prévoit une exception et permet un recours contre des décisions préjudicielles et incidentes qui peuvent causer un préjudice irréparable ou si l’admission du recours peut conduire immédiatement à une décision finale qui permet d’éviter une procédure probatoire longue et coûteuse.

Vers un droit de recours de la personne surveillée?
De jurisprudence constante le Tribunal fédéral a jusqu’ici refusé d’entrer en matière sur un recours en matière de surveillance déposé par une personne surveillée avant que la communication ne lui ait été adressé (estimant que la décision n’ayant pas été notifiée le délai de recours n’avait pas encore commencé à courir). Si l’on veut rester cohérent, on doit admettre que la personne surveillée puisse aussi recourir contre la décision autorisant la mesure de surveillance et se prévaloir de l’art. 93 LTF pour déposer un recours contre une décision qui peut causer un préjudice irréparable et ainsi éviter qu’une mesure de surveillance ne perdure et que des résultats soient exploités. La difficulté vient du fait que la personne surveillée ne reçoit évidemment pas une copie de la décision de surveillance. On ne pourra alors pas exiger d’elle qu’elle respecte le délai de recours habituel.

Droit de recours également contre une décision de mise en liberté
A noter finalement que le TF avait déjà admis au début de l’année 2011 le droit du ministère public de recourir auprès de l’autorité cantonale de recours contre une décision du Tribunal des mesures de contrainte ordonnant la mise en liberté du détenu, alors que l’article 222 CPP ne prévoyait qu’un droit de recours du prévenu (ATF 137 IV 22).

Thinkdata dévoilé lors de la journée internationale de la protection des données 27 janvier 2012

Posted by Sylvain Métille in ATF, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
1 comment so far

ThinkData a été dévoilé à l’IDHEAP lors de la 6e journée internationale de la protection des données. Il s’agit d’un service interactif de sensibilisation à la protection des données et à la transparence dans le cadre organisationnel, largement accessible et compréhensible, proposé sous licence creative commons (libre pour toute utilisation non commerciale).

ThinkData est le fruit du travail d’un groupe interdisciplinaire, dans le cadre d’un laboratoire d’idées sur la science des services et l’innovation (ThinkServices). Plusieurs professeurs et préposés à la protection des données font partie de ce groupe.

Des réponses simples et des liens juridiques pour en savoir plus
ThinkData permet de se familiariser avec les concepts de protection des données et de transparence au travers d’histoires courtes, mettant en situation des employés, des cadres, des responsables des ressources humaines et des systèmes d’information. Ce site est actuellement proposé en français seulement mais devrait être disponible prochainement dans d’autres langues et avec des scénarios supplémentaires.

ThinkData est simple à utiliser et propose des questions claires (par exemple Que faire de mes courriels privés quand je quitte mon poste ?, Comment dois-je installer un GPS dans les véhicules ?, Puis-je contacter un précédent employeur dont le nom figure dans un CV ?,etc) puis y répond sous une forme tout aussi simple, soit un scénario en cinq phrases, la dernière apportant la réponse. Une recommandation et un bref rappel des principes juridiques applicables à la question posée figurent en dessous du scénario, avec un lien direct vers les dispositions légales applicables. Deux degrés d’informations sont donc apportés, une réponse claire et concise d’abord, et des références légales ensuite.

Cette plate-forme apporte des réponses claires et compréhensibles sans qu’il soit nécessaire d’avoir des connaissances juridiques. Elle peut être utilisée pour trouver la réponse à une question claire précise, mais il est aussi intéressant de s’y promener sans but précis pour se rendre compte des enjeux de la protection des données choisissant un thème (gestion RH, publication d’images sur Internet, transparence, géolocalisation, utilisation de la vidéosurveillance, courriels professionnels, biométrie, accès aux données, dossier personnel), un métier (Direction des ressources humaines, employé, cadre, direction des systèmes d’information ou un type de données) ou un type de données (bancaires, localisation, biométriques, images, médicales, privées, professionnelles, publiques/non publiques).

Révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication 15 décembre 2011

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

En juin 2011, le Tribunal administratif fédéral (TAF) avait constaté que le Service Surveillance de la correspondance par poste et télécommunication (SCPT) n’avait pas la compétence d’adopter des directives techniques concernant la surveillance d’un accès à Internet au-delà de la surveillance des courriers électroniques parce que l’Ordonnance du Conseil fédéral avait malencontreusement réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. Si la surveillance de l’accès Internet était néanmoins légale et conforme au Code de procédure pénale fédéral (CPP) et à la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), le Service ne pouvait pas adopter de directives techniques contraignantes pour les fournisseurs d’accès.

Ce problème est désormais corrigé ou le sera sous peu. Le Conseil fédéral a en effet adopté la révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et fixé son entrée en vigueur au 1er janvier 2012. Par rapport au projet mis en circulation, plusieurs modifications ont été apportées et notamment l’expression «fournisseur Internet» a été remplacée par «fournisseur d’accès Internet». Les obligations relatives à la surveillance de l’Internet s’appliquent donc uniquement aux fournisseurs d’accès à internet, c’est-à-dire des prestataires qui fournissent concrètement à leurs clients l’accès à internet et une adresse IP. En revanche, les fournisseurs de seuls services de messagerie instantanée, de blogs et de réseaux sociaux notamment, de même que les exploitants de réseaux domestiques ou professionnels ou d’autres réseaux privés ne seront pas tenus d’exécuter des surveillances. La révision de l’Ordonnance ne modifie pas les possibilités de surveillance (elles sont régies par le CPP et éventuellement la LSCPT) mais seulement les obligations à remplir par les fournisseurs. Ces derniers ont douze mois pour s’adapter.

Pour aller plus loin
Modifications de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT)
Modifications de l’Ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (Ordonnance EI-SCPT)
Rapport explicatif concernant la modification de l’ordonnance sur la surveillance par poste et télécommunication
Rapport sur les résultats de l’audition

Révision totale de la LSCPT
A signaler encore que le Conseil fédéral a chargé le Département fédéral de justice et police de préparer un message à l’intention du Parlement et a défini certaines lignes directives, notamment le fait que les chevaux de Troie ne pourront être utilisés que pour la surveillance de la correspondance par télécommunication et non la perquisition d’ordinateurs à distance.

La synthèse des résultats de la procédure de consultation relative au rapport et à l’avant-projet concernant la modification de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) a aussi été publiée. Ce document résume les 106 avis exprimés sur cet avant-projet.

Deux décisions du Tribunal administratif fédéral concernant la surveillance de l’accès à Internet 6 octobre 2011

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Logiciel, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

La première Cour du Tribunal administratif fédéral (TAF) s’est prononcée deux fois les 21 et 23 juin 2011 à la suite de recours déposés contre des décisions du Service Surveillance de la correspondance par poste et télécommunication (SCPT). Ces deux affaires concernaient la surveillance d’un accès à Internet demandé par le ministère public du canton de Zürich: surveillance d’un accès à large bande du réseau fixe (A-8284/2010) et surveillance d’un accès par un numéro de téléphone mobile (A-8267/2010).

Contrairement à ce que l’on pourrait croire au premier abord, la question posée par ces arrêts n’est pas de savoir si la surveillance d’un accès à Internet est légale, mais si la méthode exigée par le Service SCPT peut être imposée aux fournisseurs de service de télécommunication (FST). La surveillance d’un accès à Internet fait partie de la surveillance de la correspondance (art. 269ss CPP et est expressément mentionnée dans les art. 23ss OSCPT) Le TAF ne jugeait pas le recours d’une personne surveillée mais celui d’un FST. En simplifiant, on a d’un côté le Service SCPT qui veut faire respecter ses directives et de l’autre le fournisseur service de télécommunication qui veut limiter ses investissements et frais en matière de surveillance.

Lois, ordonnances, et directives
Les mesures de surveillance, notamment des communications, étaient réglées d’abord par la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Aujourd’hui ces disposition ont été en partie remplacées par le Code de procédure pénale fédéral, mais en partie seulement. Si les conditions de surveillance et la procédure d’autorisation et de contrôle en ressortisse, les obligations des fournisseurs sont toujours régies par la LSCPT. Une ordonnance du Conseil fédéral règle ensuite les détails techniques conformément aux délégations contenues dans la LSCPT: c’est l’Ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT). Le service SCPT émet finalement des directives, qui ne sont malheureusement pas (encore) publiques, mais s’inspirent largement des normes de l’Institut européen des normes de télécommunication (ETSI).

Le Service SCPT n’était pas compétent pour adopter une directive (contraignante)
Sans trop entrer dans les détails techniques de ces deux affaires, on peut retenir que le procureur a ordonnée la surveillance de tout le trafic Internet de l’accès à large bande, respectivement du numéro de téléphone mobile. Le service SCPT a ordonné au fournisseur de service de télécommunication de dupliquer le trafic Internet et d’en remettre les données selon la directive établie.

L’art. 24 de l’OSCPT dresse la liste des types de surveillance des accès à Internet qui peuvent être ordonnées et mentionne des informations relatives au courrier électronique ainsi qu’aux données dites accessoires (données de facturation). Alors que la loi vise la surveillance des communications, le Conseil fédéral a réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. La compétence du Service SCPT d’adopter des directives est donc limitée à cette matière et le Tribunal a naturellement admis le recours du fournisseur de service, non sans souligner le besoin urgent d’adapter l’Ordonnance à la réalité technique. L’OSCPT est d’ailleurs actuellement en cours de révision.

Comment surveiller Internet aujourd’hui ?
La question la plus intéressante est certainement celles que n’a pas traité le Tribunal (parce qu’il n’en était pas saisi): le ministère public peut-il ordonner la surveillance d’un accès à Internet ? La réponse est certainement oui, mais le problème est de savoir comment. A une extrémité, l’autorité de poursuite pénale peut ordonner la surveillance d’un accès à Internet étant donné que le CPP le permet. A l’autre extrémité le fournisseur d’accès n’a pas d’obligation de disposer des compétences et du matériel nécessaire pour procéder à une telle surveillance d’un accès à Internet (ni de se conformer aux directives techniques du service).

La situation ressemble fortement à celle de la surveillance de la correspondance à l’intérieur de réseaux de télécommunications internes ou de centraux domestiques. L’exploitant doit prêter son concours ou tolérer la surveillance mais n’a pas d’obligation de l’exécuter. Le service exécute lui-même la surveillance ou la fait exécuter à ses frais (art. 28s OSCPT).

A mon avis il faut procéder par analogie pour la surveillance d’un accès à Internet, d’autant que le Service SCPT semble disposer d’équipement mobile lui permettant de mener à bien la surveillance.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 705 autres abonnés