jump to navigation

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014, la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Le tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, "Consortium de la protection civile").

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Identification du titulaire d’une adresse IP 30 décembre 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
4 comments

L’art. 273 du Code de procédure pénale (CPP) permet au ministère public d’obtenir des fournisseurs de services de télécommunications les données indiquant quand et avec quelles personnes ou quels raccordements la personne surveillée a été ou est en liaison par poste ou télécommunication (a) et  les données relatives au trafic et à la facturation (b) lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis. L’ordre de surveillance doit être autorisé par le tribunal des mesures de contrainte et les principes de proportionnalité et de subsidiarité doivent notamment être respectés.

On appelle ces informations «données accessoires» ou encore «données relatives au trafic et à la facturation et identification des usagers». Elles se distinguent des autres mesures de surveillance de la correspondance et des télécommunications par le fait qu’elles ne portent pas sur le contenu. Elles portent donc une atteinte moins grande à la sphère privée et peuvent être autorisées plus facilement que l’accès au contenu (ATF 137 IV 340, consid. 5.5). Ces données peuvent être demandées en temps réel (comme une écoute), mais c’est assez rare. Elles sont le plus souvent demandées avec effet rétroactif. Dans ce cas l’art. 273 al. 3 CPP prévoit une limite à six mois, indépendamment de la durée de la surveillance.

Certains considèrent qu’il s’agit là d’une obligation pour les fournisseurs de conserver les données durant 6 mois et qu’il serait possible d’obtenir des données plus anciennes si elles sont disponibles. Cette interprétation ne devrait pas être suivie. L’obligation de conserver les données découle des art. 12 al. 2 et 15 al. 3 de la Loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). C’est cette loi qui impose des obligations aux fournisseurs de services, alors que les conditions de surveillance (et d’obtention des données) découlent du CPP. La limite de six mois s’impose donc aux autorités de poursuite et elles ne peuvent pas demander des données antérieures, même si elles sont disponibles. Le projet de révision de la LSCPT prévoit une extension de la durée de conservation des données à 12 mois.

Pas de limite temporelle pour l’adresse IP
Au début de cette année, le Tribunal fédéral (TF) s’est prononcé sur une demande d’identification d’une adresse IP antérieure à plus de 6 mois. Cette décision vient d’être publiée au recueil officiel des ATF (139 IV 98).

L’art. 14 LSCPT dispose que les fournisseurs de services de télécommunication doivent fournir d’une part le nom, l’adresse et, si celle-ci est connue, la profession de l’usager d’un raccordement déterminé, et d’autre part les ressources d’adressage (les paramètres de communication ainsi que les éléments de numérotation tels que les indicatifs, les numéros d’appel et les numéros courts, ce qui inclut l’adresse IP). Ces informations sont fournies sur demande aux autorités fédérales et cantonales qui peuvent ordonner ou autoriser une surveillance de la correspondance par télécommunication, pour déterminer les raccordements et les personnes à surveiller, mais également à l’Office fédéral de la police et aux commandements des polices cantonales et municipales, pour exécuter des tâches de police.

La LSCPT est donc une lex specialis, soit une loi spéciale qui déroge au régime général du CPP selon le TF. On peut aussi considérer simplement que l’identification de l’utilisateur d’une ressource d’adressage (ou dans l’autre sens de la ressource d’adressage d’un utilisateur) est un renseignement sur les raccordements de télécommunication qui ne fait pas partie des mesures de surveillance. Une telle demande n’est pas soumise aux exigences strictes applicables à ces mesures et l’information peut être obtenue facilement, y compris en dehors d’une procédure pénale.

A noter que l’art. 82 de l’Ordonnance sur les services de télécommunication (OST), permet au client d’un service de télécommunication qui reçoit des communications abusives d’obtenir la date et l’heure des messages, les ressources d’adressage ainsi que le nom et l’adresse des titulaires des raccordements ayant servi à établir les communications. Si les messages abusifs sont des emails et non des appels téléphoniques, cette disposition devrait aussi inclure l’adresse IP.

Le TF avait laissé ouverte la question de savoir si des données accessoires (soit d’autres données que le nom et l’adresse du titulaire d’un numéro de téléphone ou d’une adresse IP) qui seraient disponibles au-delà de six mois pouvaient être transmises aux autorités de poursuite. C’est dans une autre affaire (ATF 139 IV 195) que le TF a apporté la réponse à cette question, confirmant que la limite de six mois doit être respectée pour les données accessoires au sens de l’art. 273 al. 3 CPP.

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Les certificats de prévoyance professionnelle ne doivent pas être remis à l’employeur 16 août 2013

Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse.
1 comment so far

Lorsque le Préposé fédéral à la protection des données (PFPDT) a eu connaissance du fait que AXA Fondation de prévoyance professionnelle Winterthur transmettait les certificats de prévoyance à ses assurés par le biais de l’employeur avec la seule mention «confidentielle», il a considéré que la protection des données des assurés n’était pas respectée et a émis une recommandation à l’encontre de cette fondation de prévoyance. Celle-ci a rejeté la recommandation et le PFPDT a demandé au Département fédéral de l’Intérieur (DFI) de rendre une décision ordonnant à la fondation de prévoyance de se conformer à la recommandation. Le DFI a également refusé de suivre l’avis du PFPDT, qui a alors dû recourir au Tribunal administratif fédéral (TAF). Le TAF a finalement donné raison au PFPDT (ATAF 2012/14).

La Loi sur la prévoyance professionnelle (LPP) contient des règles strictes en matière de traitement et de communication des données dans le domaine de la prévoyance professionnelle obligatoire et ces règles doivent être appliquées en premier lieu, et au besoin complétée par la LPD.

L’art. 86 LPP prévoit en particulier une obligation de garder le secret à l’égard des tiers. L’employeur doit être ici considéré comme un tiers au sens de l’art. 86 LPP, même s’il a des obligations en matière de prévoyance professionnelle et que des informations peuvent lui être transmises. Doivent en effet être considérés comme tiers tous ceux pour qui la transmission des données personnelles n’est pas requise pour l’exécution de leurs devoirs.

Si l’absence de séparation entre la fonction d’employeur et d’organe peut conduire à la connaissance d’informations qui ne sont pas nécessaires, ces informations ne devraient pas être utilisées et communiquées au sein de l’entreprise. L’institution de prévoyance devrait être organisée de manière à ce que le représentant de l’employeur n’ait pas accès aux informations contenues dans le certificat personnel et qu’il ne reçoive pas de données lui permettant de calculer d’autres éléments que ceux liés à son obligation de cotisation.

Des informations personnelles dont l’employeur n’a pas besoin
L’employé doit avoir la possibilité d’obtenir des informations sans que l’employeur n’en soit informé. Le montant de la prestation de libre passage, l’utilisation d’un montant pour l’accession à la propriété ou le versement à un ex-conjoint sont des informations sans utilité pour les obligations de l’employeur et que rien ne justifie de lui transmettre.

Le Tribunal administratif fédéral a donc suivi le PFPDT et a considéré que la mention «confidentielle» ne protégeait pas contre la copie ou la prise de connaissance par l’employeur. Si la fondation de prévoyance souhaite transmettre les certificats de prévoyance par le biais de l’employeur, elle doit alors prendre les mesures nécessaires, par exemple en utilisant des enveloppes individuelles fermées. Ces mesures sont simples à mettre en place et n’engendrent pas de coûts disproportionnés.

20e rapport d’activités du Préposé PFPDT 2012/2013 10 juillet 2013

Posted by Sylvain Métille in Informatique, Jurisprudence, Localisation, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.
add a comment

Conformément à l’art. 30 LPD, le Préposé fédéral à la protection des données et à la transparence a fourni son rapport à l‘Assemblée fédérale. Le 20e Rapport d’activités (2012/2013)  couvre la période du 1er avril 2012 au 31 mars 2013. On y trouve les principaux cas dont le Préposé a eu à traiter par exemple:

  • La présence de caméras de surveillance dans les vestiaires et toilettes de centres de loisirs: des caméras ne peuvent être installées que si leur champ de vision n’englobe pas toute la surface et que les utilisateurs ont la possibilité de se changer à l’abri des regards (par exemple dans cabines individuelles). Les espaces filmés et non filmés doivent être clairement reconnaissables.
  • La conservation par les CFF de données concernant des voyageurs sans titre de transports datant de 1999 et 2000, alors que la conservation n’était prévue que pour deux ans.
  • Le manque de consentement au traitement des données lors de manifestations sportives de masse: le consentement comme condition ne participation est excessif et ne respecte pas la LPD.
  • Dans le domaine sportif toujours, l’entrée en vigueur de la Loi sur l’encouragement du sport (LESp) permet le traitement des données dans le cadre de la lutte contre le dopage (le consentement des sportifs n’était jusqu’alors généralement pas recueilli de manière valable puisqu’il n’était pas donné de plein gré et avec une information suffisante). En revanche, et comme pour toutes les données, un transfert à l’étranger n’est possible que si des garanties spécifiques existent.
  • Les mises au pilori sur Internet (liste de mauvais payeurs, membres d’autorités qui rendent de mauvaises décisions, etc.): ce n’est pas parce que des données sont déjà accessibles sur Internet ou qu’il s’agit de membres d’autorités qu’elles peuvent être utilisées sans restrictions. Le Préposé a publié des Explications relatives aux mises au pilori sur Internet.
  • Les outils d’analyse d’audience sur Internet: il est recommandé aux autorités fédérales de ne pas les utiliser vu l’absence de base légale permettant de récolter de telles données et que ces données peuvent être accessibles à des autorités étrangères si elles sont traitées dans d’autres pays comme c’est le plus souvent le cas.
  • Recherche de véhicules et surveillance de la circulation automatisées: c’est au droit cantonal de prévoir les conditions auxquelles les polices cantonales peuvent y recourir.
  • Recherche médicale: le consentement des patients n’est souvent pas valablement recueilli car ils ne savent pas qu’ils ont un droit de veto, qu’ils sont insuffisamment informés ou que leur situation de santé fait qu’ils ne peuvent pas librement se décider et sont prêts n’importe quoi dans l’espoir d’une solution médicale. Le recours à des données pseudonymisées est recommandé.
  • Communication de données de collaborateurs aux autorités américaines: le Préposé admet un intérêt public à la transmission d’informations, mais il recommande une attitude transparente, soit une information préalable des personnes concernées. Il a publié des recommandations à ce sujet.
  • Analyse du panier pour les programmes de fidélisation des clients: une analyse de panier qui n’était initialement pas prévue nécessite l’accord express des clients, qui doivent être informés. La simple utilisation continue de la carte client après avoir été informé n’est pas suffisante.
  • Moneyhouse: une procédure est en cours. A titre provisoire, le Tribunal administratif fédéral a admis que Moneyhouse devait cesser la publication de données de personnes qui s’y sont opposée et doit réagir aux demandes dans un délai d’un jour ouvrable. La question de la publication des adresses et aux données n’est pas encore résolue.
  • Commerce d’adresses: l’utilisation des données provenant de demandes de permis de construire ou du registre foncier doit être conforme à son but et ne permet pas d’activités marketing.

Le rapport traite aussi des demandes d’accès en application de la Loi sur la transparence et rappelle les différentes publications du Préposé durant l’année écoulée (Explications sur la protection des données dans les bibliothèques, brochure Protection des données et de la personnalité sur le lieu de travail: un droit légitime , ainsi que les autres documents déjà mentionnés).

A la lecture de ce rapport, on peut regretter une approche souvent consensuelle et gentille, alors que l’on pourrait souhaiter parfois à une position plus forte des services du Préposé, comme c’est le cas dans d’autres pays. Le Rapport mentionne par exemple que le système de contrôle d’accès utilisé par de nombreuses stations de ski en Suisse doit faire l’objet d’améliorations au niveau de la sécurité des données, les mesures actuelles étant insuffisantes. Le Préposé a examiné avec le fabricant du système comment améliorer la sécurité des données. Une adaptation immédiate des systèmes existants n’apparaissant pas possible, le Préposé semble se contenter de l’engagement du fabricant à concevoir aussi rapidement que possible des mesures appropriées. Le Préposé avait en revanche eu une position plus ferme dans le cas de l’affaire Google Street View ou de la transmission d’informations des caisses de pension. A la décharge du Préposé, on relèvera que ses moyens d’action sont limités, en particulier le fait qu’il ne puisse pas prononcer directement de sanctions.

Voir également
le 18ème rapport d’activités (2010/2011) et le 19ème rapport d’activités (2011/2012)

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Pas de limites à la vidéosurveillance des collèges vaudois 25 avril 2013

Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.
add a comment

La Cour de droit administratif et public du Tribunal cantonal vaudois a rendu un arrêt le 1er mars 2013 dans la cause opposant la Municipalité de Lutry au Bureau du préposé à la protection des données et à l’information.

Elle a admis le recours de la Municipalité de Lutry qui contestait les limitations imposées par le Préposé vaudois à la protection des données, en particulier l’interdiction de l’utilisation des installations de vidéosurveillance des collèges pendant les heures régulières de cours.

Pour le Tribunal cantonal, le fonctionnement 24 heures sur 24 des caméras de surveillance, dont les images sont visibles en permanence sur des écrans installés à la réception du poste de police et conservées durant 48 heures ne pose pas de problèmes. Et cela même si les élèves et enseignants ne peuvent pas éviter d’être dans le champ des caméras.

La question principale est de savoir si la vidéosurveillance respecte le principe de la proportionnalité, ce qui implique de vérifier qu’elle est apte à produire les résultats escomptés (règle de l’aptitude), que ces résultat ne peuvent pas être atteints par une mesure moins incisive (règle de la nécessité), et qu’il y ait un rapport raisonnable entre le but visé et l’atteinte à la sphère privée (proportionnalité au sens étroit).

Le Tribunal est d’abord arrivé à la conclusion que la pose des caméras permet d’atteindre un but de prévention puisque les dommages aux bâtiments et aux véhicules, les voies de fait et la consommation de stupéfiants sur les deux sites scolaires ont baissés. Il retient ensuite que ces mesures sont nécessaires également pendant les heures de cours (notamment parce que des problèmes ont eu lieu avant la pose des caméras durant les heures de cours) et que le recours à une société de surveillance (agents privés) serait plus onéreux. Finalement le Tribunal a refusé de voir une contradiction entre la mission de l’école, qui vise notamment à contribuer au développement de la personnalité des élèves, et l’instauration d’un système de vidéosurveillance permanent. Il considère que l’atteinte portée à la liberté personnelle et à la sphère privée des élèves et des enseignants doit être considérée comme légère puisque les enregistrements sont effacés après 48h. Le Tribunal conclut que la vidéosurveillance a également des effets positifs pour les utilisateurs des sites scolaires puisqu’elle tend notamment à empêcher des dommages à la propriété ou des actes de violence dont ils peuvent être victimes.

Le fait que les élèves ne soient filmés qu’à l’extérieur des bâtiments scolaires, lorsqu’ils arrivent sur le site ou le quittent ou lors des récréations, a certes un impact relatif sur l’enseignement lui-même et le développement de la personnalité de l’élève. En revanche, l’impossibilité pour un élève d’entrer et sortir du bâtiment scolaire et surtout de prendre la récréation à l’extérieur sans être filmé, constitue une atteinte qui ne doit pas être négligée. Cette atteinte est d’autant plus importante que les images sont visibles en direct, et apparemment sans limitations particulières, à la réception du poste de police.

Remplacer les caméras par les enseignants
Durant les récréations (c’est durant ces périodes que la vidéosurveillance est la plus choquante), le but visé aurait tout aussi bien pu être atteint par des enseignants, dont on ne doute pas qu’ils soient déjà présents. Dans un souci de proportionnalité, on aurait aussi pu imaginer réserver des zones sans caméras pour permettre aux élèves de prendre la pause sans être filmés et diffusés en direct à la réception du poste de police.

On peut encore regretter que le Tribunal n’ait pas traité la question sous l’angle du droit à l’enseignement de base (art. 19 Cst.) et du droit du travail, puisque l’utilisation de systèmes destinés à surveiller le comportement des employés à leur poste de travail est par principe interdit et qu’une surveillance pour des motifs de sécurité doit obéir à des conditions strictes notamment en terme de proportionnalité (voir par exemple la Directive du Secrétariat d’Etat à l’économie concernant l’Ordonnance 3 de la loi sur le travail et le Guide pour le traitement des données personnelles dans le secteur du travail du Préposé fédéral à la protection des données).

Même s’il n’y pas de recours contre cette décision, l’affaire n’est peut-être pas finie car un enseignant ou un élève pourrait engager une action à titre individuelle pour atteinte à ses droits de la personnalité et demander la mise hors service des caméras.

voir également l’article paru sur le site du magazine Bilan Des caméras dans la cour de récré.

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 648 followers