jump to navigation

La neutralité du Net 31 octobre 2014

Posted by Sylvain Métille in Logiciel, Skype, Sphère privée, Suisse, Téléchargement, Téléphonie, Technique, USA.
add a comment

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport. Disponible pour l’instant seulement en allemand, il devrait être traduit en français et en italien d’ici la fin de l’année.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.

Open Data et Open Governement Data, mais qu’est-ce que c’est? 17 septembre 2014

Posted by Sylvain Métille in Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
2 comments

Il n’y a pas de définition unanime de ce qu’est une donnée ouverte (Open Data), mais on peut retenir qu’il s’agit d’une donnée qui peut être utilisée librement, réutilisée et redistribuée par chacun sans restriction (ou tout au plus celles liées à la paternité et au partage dans les mêmes conditions). Les données ouvertes peuvent être partagées par un privé ou par l’Etat.

En 2010, la Sunlight Foundation a établi une liste de dix critères que devraient remplir des données pour être dites ouvertes. Elles devraient donc être:

  • intégrales: les données doivent être aussi complètes que possibles, fournies dans un format brut et avec leur métadonnées, ainsi que les formules qui ont permis de calculer les données dérivées;
  • primaires: il doit s’agir des informations originales telles que collectées ;
  • immédiates: les données doivent être mises à disposition dès que possible, idéalement en temps réel;
  • accessibles: les données doivent être mises à disposition sans barrières, par exemple en permettant un téléchargement en bloc et en faisant des sélections spécifiquement au moyen d’une interface utilisateur ;
  • exploitables par une machine: les données doivent être structurées pour permettre le traitement automatisé par ordinateur. On évitera des notes manuscrite ou des formats pdf ;
  • non discriminatoires: accessibles à tous, sans aucune obligation préalable ni inscription et sans usage privilégié ni exclusif ;
  • non propriétaires: mises à disposition dans un format sur lequel personne ne dispose d’un contrôle exclusif ; libres de droits : pas de restriction d’utilisation, d’attribution ou de dissémination;
  • permanentes: les données doivent être accessibles de manière permanent. Si des modifications sont apportées, les différentes versions doivent être archivées et les modifications indiquées comme telles ;
  • gratuites: être disponibles sans frais.

Des données gouvernementales ouvertes
Lorsque les données sont mises à disposition par l’administration, on parle de données gouvernementales ouvertes (ODG, pour Open Government Data).

Le Conseil fédéral a adopté au printemps 2014 la Stratégie en matière de libre accès aux données publiques en Suisse (2014 à 2018) qui prévoit la libération des données publiques («open data by default»), la publication coordonnée des données publiques et l’établissement d’une culture du libre accès aux données publiques.

En Suisse, le Portail pilote des données ouvertes de l’administration publique suisse propose les jeux de données ouvertes des administrations fédérale et cantonales. On peut aussi citer l’association OpenData.ch qui milite pour l’ouverture des données publiques en Suisse.

Respecter la personnalité
La libération de données doit néanmoins respecter les principes de la protection des données (LPD). Lorsqu’il s’agit de données agrégées et anonymisées, la LPD ne sera pas applicable et il n’y aura que peu de règles à observer. En revanche, si la mise en contexte de ces données et leur utilisation avec d’autres bases de données rendent possible l’identification de certaines personnes, cela signifie que les données initiales n’étaient pas anonymes et que la LPD trouve application dès le début.

Les données ne peuvent alors être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint, ce qui exclut une diffusion des données. A moins que la personne ne soit informée dès la collecte ou qu’une loi ne le prévoie expressément, aucune donnée personnelle ne devrait être mise à disposition.

Certains termes sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID et le skimming.

C’est quoi des Big Data 25 août 2014

Posted by Sylvain Métille in Facebook, Google, Informatique, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.
add a comment

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons également présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data et le skimming.

Rapport 2014 du préposé fédéral à la protection des données 4 août 2014

Posted by Sylvain Métille in Jurisprudence, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié son 21e rapport d’activité. Pour rappel, le PFPDT c’est une équipe d’un peu moins de 30 personnes (équivalents plein temps), qui s’occupe principalement de protection des données (et dans une moindre mesure des questions de transparence) et en particulier du conseil et de la surveillance des organes fédéraux et des personnes privées, de la collaboration avec ses homologues étrangers, de la tenue du registre des fichiers ainsi que de la prise de position sur les projets législatifs fédéraux. Chaque canton a un préposé cantonal en charge de surveiller le traitement des données par son administration.

Vu les ressources et surtout les pouvoirs de contrainte limités du PFPDT (il ne peut pas imposer d’amende comme dans d’autres pays ni interdire le traitement de données sans devoir défendre sa recommandation devant un tribunal), l’essentiel de l’activité consiste en l’information des personnes privées et l’adoption de recommandations et conseils aux responsables de traitement de données. Il a ainsi développé un outil d’analyse d’impact relative à la protection des données qui offre un questionnaire qui évolue de manière dynamique en fonction des réponses déjà apportées (1.8.8).

Le numéro AVS à 13 chiffres
L’utilisation du numéro AVS (NAVS13) dans des domaines variés est un risque important pour la protection de la sphère privée. Le PFPDT a ainsi proposé d’utiliser seulement un numéro sectoriel calculé sur la base du NAVS13 (numéro AVS haché) pour la perception de la redevance radio-télé (1.2.8). Cette conversion au moyen d’une fonction unidirectionnelle permettrait de ne plus déterminer le numéro d’origine, ce qui réduirait considérablement le problème de l’interconnexion de différentes banques de données.

Il a également obtenu dans le cadre du projet de loi fédérale sur le dossier électronique du patient (LDEIP), qu’on recourt à l’utilisation comme identifiant du patient d’un numéro aléatoire, généré et géré par la Centrale de compensation (CdC), au lieu du numéro AVS. L’utilisation du numéro AVS dans le cadre du registre du commerce inquiète également le PFPDT (1.8.4).

Clients et secteur du travail
Dans le secteur du travail, le PFPDT a élaboré un feuillet thématique expliquant la démarche à suivre pour les banques souhaitant communiquer des données personnelles dans le cadre du différend fiscal (1.7.1).

Il a également ouvert une procédure d’éclaircissement des faits auprès de la Poste Suisse suite à la plainte d’un syndicat concernant les enregistrements téléphoniques des collaborateurs du service clientèle. Il est arrivé à la conclusion que les prescriptions en matière de protection des données, notamment l’information aux collaborateurs et la proportionnalité des processus de contrôle, étaient respectées. Il semble en revanche que toutes les caisses de pension n’ont pas tiré les conséquences de la décision du TAF qui leur interdit de transmettre les certificats de prévoyance à l’employeur (1.7.4).

Le PFPDT s’est aussi penché sur un système d’accueil destiné au marché hôtelier de luxe, collectant les mouvements et les préférences des clients à l’aide de la technologie RFID. Un tel profilage nécessite une information préalable des personnes concernées ainsi que leur consentement explicite et une alternative doit être proposée (1.8.9). Des contrôles sont encore en cours concernant l’utilisation plus classique de cartes-clients (1.8.2).

S’agissant des cartes de paiement sans contact, le PFPDT regrette une absence de choix du consommateur et appel le secteur bancaire à permettre au client de refuser cette technologie (1.9.2).

Le droit à l’oubli
Bien que l’existence du droit à l’oubli a été rappelé par la Cour de justice de l’Union européenne récemment, le projet de loi sur la modernisation du registre du commerce ne prévoit pas d’interdire la libre consultation des données du registre du commerce sur Internet après une certaine période (1.8.4). Dans ce domaine, il faut relever que le PFPDT est en train d’examiner les différents traitements de données effectués par la société Itonex SA (qui gère le site Moneyhouse) (1.8.5).

L’archivage numérisé d’articles journalistiques constitue un traitement de données personnelles et doit être légitimé par un motif justificatif, en principe par un intérêt public prépondérant. Il s’agit donc essentiellement d’une question de proportionnalité. Le principe de proportionnalité requiert que les données personnelles soient effacées ou rendues anonymes après un certain délai, dans la mesure où leur conservation n’est plus justifiée. Il faut procéder à une pesée d’intérêts et mettre en balance, d’une part, l’intérêt de l’individu à l’effacement de ses données personnelles des archives numériques d’un journal ou de son intérêt au retrait de l’indexation dans les moteurs de recherche, et d’autre part, l’intérêt public à la conservation des données dans les archives numériques ou dans les moteurs de recherche (1.3.5).

Vidéosurveillance
En matière de vidéosurveillance à des fins de recherches (1.2.2), le PFPDT a précisé les conditions d’information préalable. Si une telle information n’est pas envisageable, les images ne devront alors pas être publiées, où seulement d’une manière à ce que les personnes ne soient pas reconnaissables.

Quant à la question de la transmission d’images vidéos à une autorité pénale, le PFPDT considère qu’elle est justifiée et légale lorsqu’elle repose sur une décision (1.2.3). Cet avis, s’il pourra souvent être suivi, n’est pas absolu. Selon le type de vidéosurveillance, l’utilisation des images à des fins pénales pourrait être contraire au but dans lequel les données ont été traitées et les preuves pourraient être illégales. L’autorité fribourgeoise de protection des données a d’ailleurs récemment refusé la transmission des images d’une caméra de surveillance du trafic à une assurance en responsabilité civile.

Le PFPDT s’est encore prononcé sur les possibilités de partage d’informations entre des boîtes de nuits concernant les clients interdits et la manière dont une entreprise qui travaillerait pour plusieurs établissements doit séparer les informations (1.2.4).

Il a par ailleurs obtenu l’ajout dans la loi sur les systèmes d’information de la Confédération dans le domaine du sport de l’exigence du consentement du sportif concerné avant la communication de données et de résultats du diagnostic de performance (1.2.9).

Cookies et webtracking
Comme la plupart du temps les internautes ne se rendent pas compte de la présence de cookies et autres traceurs, il y a en règle générale une violation des droits de la personnalité des personnes concernées.

Un principe fondamental pour l’exploitant du site web lors de l’utilisation du webtracking est le principe de la transparence: cela signifie que l’exploitant du site web doit informer en détail les visiteurs du fait qu’il utilise des outils de webtracking et les possibilités qu’a un visiteur de s’y opposer. Etant donné que le webtracking est généralement utilisé pour créer des profils de la personnalité, ceci requiert le consentement explicite du visiteur du site avant de pouvoir collecter des données. Si le site web intègre des plugins sociaux, il faut utiliser une solution dite «à deux clics».

Les chiffres entre parenthèse font référence aux chapitres du rapport.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Hausse des escroqueries sur les sites de vente aux enchères et de petites annonces 22 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Facebook, Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique.
1 comment so far

Le Service national de Coordination de la lutte contre la Criminalité sur Internet (SCOCI) a publié son rapport annuel, qui marque également ses dix ans d’activité. En 2013, ce sont surtout les annonces de tentatives d’escroquerie sur des sites de vente aux enchères ou de petites annonces qui ont augmenté. Ces arnaques visent autant les vendeurs que les acheteurs.

Les escroqueries sont toujours mieux réalisées, les auteurs allant jusqu’à créer des sites web complets d’entreprises de transport fictives, avec un faux système de suivi des paquets pour faire croire le plus longtemps possible à la victime que la marchandise est encore en route. La pénurie de logements est aussi exploitée, avec la réapparition des fausses annonces d’appartements bon marché qui n’existent pas mais pour lesquels l’avance de paiement demandée est bien réelle.

Les tentatives de phishing (hameçonnage) ont également fortement augmenté. La variante la plus courante reste l’envoi massif de courriels à des victimes potentielles sans ciblage particulier pour les attirer sur des sites web ressemblant à de services Internet connus et où les victimes introduiront leurs données d’utilisateur (nom d’utilisateur, mot de passe, données personnelles). Les données seront ainsi récupérées sans difficultés par les escrocs.

Les rançongiciels (ransomware)
Au niveau de la détérioration de données, ce sont également des attaques bien organisées mais non ciblées qui sont le plus souvent rapportées. Les données sont d’abord supprimées ou encryptées sur l’ordinateur de la victime (par le biais d’un logiciel malveillant), puis la victime est invitée à procéder à un paiement (rançon) pour obtenir la libération de ses données.

Au niveau des entreprises, on note en particulier des attaques ciblées contre infrastructures de télécommunication (pour effectuer des appels surtaxés ou longues distances à charge de l’entreprise) et contre des données de clients (en exploitant des failles de sécurité des sites web).

Pour 2014, le SCOCI craint une augmentation du nombre de logiciels malveillants présents sur les téléphones mobiles ainsi que la difficulté croissante pour les victimes de distinguer les faux sites Internet au vu de l’amélioration de leur qualité de réalistaion  (fautes d’orthographes moins présentes, apparence visuelle du site plus réaliste, etc.)

Au sujet du Service national de Coordination de la lutte contre la Criminalité sur Internet
Le SCOCI a été créé en 2002 par le biais d’une convention administrative entre la Confédération et les cantons. Avec son rattachement à la Police judiciaire fédérale, le SCOCI s’est implanté également au niveau international en tant que partenaire des autorités d’enquête d’Europol European Cybercrime Center (EC3) et d’Interpol Global Complex for Innovation (IGCI). Il dispose désormais de son profil sur Facebook et sur Twitter.

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014 (C-293/12 et C-594/12), la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Sécurité de l’information: un projet du Conseil fédéral en consultation 27 mars 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Renseignement, Suisse, Surveillance, Technique.
2 comments

Le Conseil fédéral a ouvert une procédure de consultation (jusqu’au 27 juin 2014) relative au projet de loi fédérale sur la sécurité de l’information. Ce projet de loi vise à adapter la protection des informations et la sécurité dans l’utilisation des technologies de l’information et de la communication (TIC) aux exigences et risques actuels. Il fait écho à la proposition de Directive européenne concernant la sécurité des réseaux et de l’information.

Le constat
Dans son long rapport explicatif (presque cent pages), le Conseil fédéral décrit l’état actuel de la société de l’information et les risques inhérents. Il rappelle qu’il incombe aux autorités fédérales de veiller à la sécurité des informations qu’elles traitent ou dont elles confient le traitement à des organisations qui lui sont subordonnées, alors que plusieurs attaques récentes contre des systèmes informatiques de la Confédération ont montré que la protection des informations présentait des lacunes. La Confédération repose de plus aujourd’hui, sur des organisations parallèles en matière de protection des données, de protection des informations (protection des informations classifiées), de sécurité informatique, de sécurité des personnes, de sécurité physique et de gestion des risques, ce qui rend l’appréciation des risques et leur gestion encore plus compliquée. A noter que l’adoption de cette nouvelle loi en modifierait une dizaine d’autres déjà existantes.

Le besoin d’une approche unifiée
Le projet de loi doit créer des bases légales uniformes pour la gestion de la sécurité de l’information de toute la Confédération. Il doit s’appliquer à toutes les autorités fédérales (l’Assemblée fédérale, les tribunaux fédéraux, le Conseil fédéral, le Ministère public de la Confédération et son autorité de surveillance, la Banque nationale suisse) et à leurs organisations subordonnées (les Services du Parlement, les administrations des tribunaux fédéraux, l’administration fédérale et l’armée).

Il prévoit aussi que la législation d’exécution du Conseil fédéral s’applique aux autres autorités de la Confédération, à moins qu’elles n’aient édicté leur propre réglementation. Cela permettrait d’avoir une approche uniforme par défaut, à laquelle certaines autorités pourraient déroger si nécessaire. Des exigences et mesures standards pourront aussi être recommandées par le Conseil fédéral et la Conférence des préposés à la sécurité de l’information, un nouvel organe, devra veiller à la coordination et l’application transversale de la loi.

Les principaux éléments traités dans ce projet de loi sont:

  • La gestion des risques (évaluation systématique du besoin de protection des informations et l’appréciation des risques);
  • Une clarification de la classification des informations (INTERNE, CONFIDENTIEL et SECRET);
  • La sécurité dans l’engagement des TIC (sécurité des systèmes et moyens TIC les plus critiques);
  • Le soutien de la Confédération aux exploitants d’infrastructures critiques;
  • L’organisation de la sécurité de l’information (avec l’introduction d’un préposé à la sécurité de l’information dans chaque autorité et la prise en compte des normes standards reconnues comme ISO/IEC 27001 et 27002); et
  • Les Contrôles de sécurité relatifs aux personnes (qui seront traités dans cette loi et non plus dans la LMSI.)

Le Conseil fédéral a renoncé à introduire de nouvelles dispositions pénales. Il envisage toutefois de revoir ultérieurement, et de manière plus globale, les dispositions relatives à la protection du secret de fonction et à celle des informations classifiées.

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Une nouvelle signature électronique 27 janvier 2014

Posted by Sylvain Métille in Informatique, Logiciel, Suisse, Technique.
add a comment

Le Conseil fédéral suisse veut introduire une signature électronique pour les entreprises («le cachet électronique réglementé») et une signature qui aura uniquement une fonction d’authentification («la signature électronique réglementée»). Il a publié le projet de nouvelle Loi sur la signature électronique (de son nom complet Loi fédérale sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques, SCSE) accompagnée du message à l’intention du parlement fédéral.

La signature électronique a été introduite en 2003. Réservée aux personnes physiques, elle est l’équivalent d’une signature manuscrite. Il faut néanmoins admettre qu’elle n’a pas eu le succès escompté. Elle n’est pas fournie par l’Etat mais par un fournisseur reconnu. Ce principe sera maintenu dans la nouvelle loi.

Même s’il conserve cette signature, le Conseil fédéral propose de réviser complétement la loi pour proposer de nouveaux instruments, plus accessibles. La signature électronique réglementée et le cachet électronique réglementé reposeront sur des exigences un peu moins sévères, ce qui permettra d’en faire une diffusion plus large.

Les différentes signatures selon le projet

La signature électronique qualifiée a la même valeur qu’une signature manuscrite (art. 14 al. 2bis CO). Elle reste réservée aux personnes physiques (ce qui est logique puisqu’une une entreprise ne peut pas avoir de signature manuscrite, mais seulement agir par le bais d’une personne physique) mais elle devra désormais être horodatée pour valoir signature manuscrite.

Elle repose sur un certificat numérique qualifié (qui lie la clef publique d’une paire asymétrique de clefs cryptographiques à son titulaire) délivré par un fournisseur de services de certification reconnu au sens de la SCSE. Si le fournisseur n’est pas reconnu ou si les exigences de la SCSE liées au certificat ne sont pas remplies, on parlera alors de signature électronique avancée (mais elle n’équivaut pas à une signature manuscrite).

La signature électronique réglementée repose sur un certificat numérique réglementé (contrairement au certificat numérique qualifié qui n’est pas destiné exclusivement à être utilisé pour la signature électronique). Elle est réservée aux personnes physiques.

La signature électronique réglementée ne remplacera pas la signature manuscrite. Elle permettra  en revanche d’authentifier son propriétaire. Elle sera utilisée notamment pour la signature de courriers électroniques, l’authentification lors de l’utilisation d’un programme ou d’un service Web, ou encore d’autres applications de sécurité telles que celles qui requièrent un certificat SSL.

La signature électronique réglementée aura donc essentiellement un rôle d’identification et d’authentification. Elle pourra être utilisée pour tous les actes juridiques pour lesquels la loi n’exige pas une signature manuscrite. Cette exigence est plutôt rare, par exemple pour la constitution d’une fondation, la vente immobilière, le testament, etc.

Le cachet électronique réglementé est réservé aux personnes morales. C’est l’équivalent de la signature électronique réglementée des personnes physiques.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 731 autres abonnés