6e conférence «Computers, Privacy and Data Protection» à Bruxelles 28 janvier 2013
Posted by Sylvain Métille in Divers, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.
Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.
Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.
Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)
Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.
Surveillance d’employés par le service informatique: les règles à suivre 4 septembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.add a comment
Alors que des fonctionnaires et magistrats jurassiens consultaient des sites Internet non-professionnels, le service informatique de l’Etat a mis en place des mesures de surveillance informatique qui se sont avérées être clairement illégales. Aucune infraction pénale n’a été constatée en lien avec la consultation des sites Internet, mais des mesures administratives ont été prononcées. La question de la légalité de la surveillance n’a guère été abordée, quand bien même elle est déterminante et aurait pu conduire également à des sanctions.
La Commission cantonale à la protection des données a rendu une décision récemment dans cette affaire dite du «Pornogate». J’ai analysé cette décision dans un article paru dans la revue Jusletter intitulé «Les enseignements à tirer de la surveillance illicite de magistrats et fonctionnaires par un service informatique, commentaire de l’affaire jurassienne du Pornogate». Au-delà de l’affaire jurassienne, cet article décrit également la procédure à suivre dans un tel cas et surtout les mesures qui devraient être prises préalablement à la survenance de tout comportement nécessitant une surveillance. Ces mesures devraient prendre la forme d’une loi pour le secteur public, alors qu’un règlement de travail ou des directives internes suffisent pour le secteur privé.
Rapport annuel du Préposé fédéral à la protection des données et à la transparence 17 juillet 2012
Posted by Sylvain Métille in Liens, Protection des données, Publications, Sphère privée, Suisse, Technique.add a comment
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) vient de publier son dernier rapport d’activités (19ème rapport d’activités 2011/2012).
Ces douze derniers mois, le Préposé et ses collaborateurs (trente personnes environ) ont publié des informations concernant l’informatique en nuage (cloud computing), une version révisée du «Guide relatif aux mesures techniques et organisationnelles de la protection des données», une version révisée du feuillet concernant la vidéosurveillance et un nouveau feuillet sur la vidéosurveillance de l’espace public et du matériel d’enseignement sur les principes de base de la sécurité des données pour les jeunes adultes. Actuellement uniquement disponible en allemand, ce matériel devrait être traduit en français d’ici l’automne.
Le PFPDT a également publié des «Explications sur la protection des données dans les bibliothèques». Ce document rappelle les points essentiels que les bibliothèques (publics et privées) doivent observer au regard de la législation sur la protection des données. Il traite notamment des données des utilisateurs, mais aussi des données personnelles provenant ordinateurs à disposition du public connectés à Internet, ainsi que les particularités relatives aux réseaux des bibliothèques.
Publications: Les mesures techniques de surveillance: des risques évités et des risques créés 10 avril 2012
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique.add a comment
L’article paru dans le livre Risque(s) et droit édité par Philippe Meier et Alain Papaux est désormais disponible : «Les mesures techniques de surveillance: des risques évités et des risques créés».
Cette contribution scientifique rédigée dans le cadre du séminaire de 3e cycle de la CUSO aborde les risques que les mesures de surveillance tendent à réduire et ceux qui sont la conséquence de l’utilisation de mesures de surveillances. Une attention particulière est portée sur l’atteinte à la sphère privée, l’utilisation de données à l’insu de la personne concernée, l’impossibilité de corriger des données inconnues et finalement la sécurité des données, les fuites et la transmission des données. Les moyens juridiques et techniques pour limiter ces risques sont brièvement évoqués.
Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.add a comment
«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.
Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.
L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.
Publications: Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP 6 janvier 2012
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Publications, Sphère privée, Suisse, Surveillance.add a comment
Un nouvel article scientifique récemment publié est disponible en ligne. «Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP» est paru dans la revue Medialex 03/2011.
Cet article rappelle les notions de secret professionnel telles que définies par le Code de procédure pénale Suisse (CPP) et les différents degrés de protection accordés en fonction de la catégorie professionnelle à laquelle appartient le détenteur du secret lorsqu’il est question de dispense de témoigner. La loi ne fait en revanche pas de distinction entre ces catégories lorsqu’il est question de mesures de surveillance techniques. Les règles particulières à respecter lors de la surveillance d’une personne tenue au secret sont rappelées et analysées.
Publications: L’utilisation privée des moyens techniques de surveillance et la procédure pénale 6 décembre 2011
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance.add a comment
Une nouvelle publication est mise en ligne gratuitement à disposition: «L’utilisation privée des moyens techniques de surveillance et la procédure pénale». Cet article est paru en 2009 dans le livre «Le droit décloisonné», interférences et interdépendances entre droit privé et droit public publié par Jean-Philippe Dunand et Pascal Mahon.
Ce texte s’intéresse à la surveillance privée et les limites que le cadre légal lui impose, en particulier les normes figurant dans le Code civil, le Code pénal et la Loi fédérale sur la protection des données. La question de l’utilisation dans une procédure pénale des résultats obtenus par une surveillance privée est ensuite appréhendée, ce qui est aussi l’occasion de rappeler les principes généraux en matière d’exclusion de preuves illégales.
Revue de presse 7 novembre 2011
Posted by Sylvain Métille in Divers, Facebook, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique, USA.4 comments
De retour en Suisse depuis quelques jours, j’ai été sollicité par plusieurs médias. Voici un petit tour d’horizon de la semaine dernière.
Presse écrite
Le journal Le Matin m’a interrogé en lien avec la collaboration de la Haute Ecole d’ingénierie et gestion du canton de Vaud (HEIG-VD) et la police cantonale vaudoise, pour développer des chevaux de Troie pour smartphones. L’article est disponible sur le site du quotidien orange. Il a été repris et adapté en allemand par le journal 20 Minuten et peut également être consulté sur le site du quotidien alémanique.
Télévision
La Télévision Suisse Romande a réalisé un reportage traitant de la protection des données par Facebook, en particulier les données conservées par le réseau social et le droit d’accès à ses propres données. Une version courte du reportage a été diffusée dans le cadre du 19h30 du 3 novembre 2011 et le reportage complet a été programmé dans l’émission Nouvo du lendemain. On peut le revoir sur le site de Nouvo (avec comme d’habitude une interview complémentaire).
Publications: «Mesures de surveillance secrètes: le rôle de l’information dans la protection des droits de l’individu» 17 octobre 2011
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Localisation, Publications, Sphère privée, Suisse, Surveillance.add a comment
Comme annoncé récemment, les contributions scientifiques qui n’étaient accessibles qu’en version imprimée sont progressivement mises en ligne et un nouvel article est désormais disponible gratuitement.
«Mesures de surveillance secrètes: le rôle de l’information dans la protection des droits de l’individu» est paru ce printemps dans le numéro 2/11 de la revue Plaidoyer, pp 33-36, 2011.
Cette contribution rappelle les règles applicables aux mesures techniques de surveillance et plus particulièrement les exigences liées à l’information de la personne qui a fait l’objet de la surveillance. Cela donne la possibilité de contrôler, voire de faire contrôler par une autorité judiciaire, la légalité des actes d’enquête. Les conséquences des mesures de surveillance illégales sont également traitées.
Publications bientôt disponibles gratuitement 26 septembre 2011
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Renseignement, Suisse, USA.1 comment so far
Plusieurs contributions scientifiques ont été rédigées ces derniers temps et publiées dans des revues imprimées, mais seulement trois textes étaient accessibles gratuitement en ligne:
- La surveillance préventive en Suisse en 2010, un article publié exclusivement en ligne par le Centre français de recherche sur le renseignement (CF2R), Tribune libre N°11, 7 p., 2011;
- «L’immunité des chefs d’Etats au XXIe siècle, les conséquences de l’affaire du mandat d’arrêt du 11 avril 2002», publié en 2004 dans la Revue de Droit International et de Sciences Diplomatiques et Politiques, vol 82 / n°1 (janvier-avril 2004), pp 29 à 86. Le texte de cette contribution est disponible par le biais de rerodoc, mais avec une pagination différente.
- «La Constitution européenne: adoption et révision» a été publié en 2004 dans la Revue Québécoise de Droit International Public, vol 17.1 (2004), pp 3 à 38, et est accessible sur le site de la revue.
Cela devrait toutefois changer et, dans la mesure des accords conclus avec les éditeurs, mes publications devraient être disponible progressivement. Pour commencer, voici déjà «Une lettre de Berkeley (Californie)», une tribune publiée dans la revue Plaidoyer 3/2011.
