jump to navigation

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: Droit suisse de la protection des données et flux transfrontières de données (JICLT) 28 mai 2013

Posted by Sylvain Métille in Protection des données, Publications, Sphère privée, Suisse, USA.
add a comment

L’article intitulé «Swiss Information Privacy Law and the Transborder Flow of Personal Data» (Droit suisse de la protection des données et flux transfrontières de données) a été publié il y a quelques semaines dans le Journal of International Commercial Law and Technology, Vol 8, No 1 (2013), une revue juridique librement accessible éditée par l’International Association of IT Lawyers (IAITL) dans le but d’améliorer la compréhension du droit international commercial et des technologies.

Cet article rédigé en anglais présente les règles principales en matière de protection des données en applicables en Suisse et en particuliers celles qui concernent la transmission de données à l’étranger, de même que la possibilité d’utiliser l’accord dit de «sphère de sécurité» (Safe Harbor) lorsque les données sont exportées aux USA.

Surveillance d’employés par le service informatique: les règles à suivre 4 septembre 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
3 comments

Alors que des fonctionnaires et magistrats jurassiens consultaient des sites Internet non-professionnels, le service informatique de l’Etat a mis en place des mesures de surveillance informatique qui se sont avérées être clairement illégales. Aucune infraction pénale n’a été constatée en lien avec la consultation des sites Internet, mais des mesures administratives ont été prononcées. La question de la légalité de la surveillance n’a guère été abordée, quand bien même elle est déterminante et aurait pu conduire également à des sanctions.

La Commission cantonale à la protection des données a rendu une décision récemment dans cette affaire dite du «Pornogate». J’ai analysé cette décision dans un article paru dans la revue Jusletter intitulé «Les enseignements à tirer de la surveillance illicite de magistrats et fonctionnaires par un service informatique, commentaire de l’affaire jurassienne du Pornogate». Au-delà de l’affaire jurassienne, cet article décrit également la procédure à suivre dans un tel cas et surtout les mesures qui devraient être prises préalablement à la survenance de tout comportement nécessitant une surveillance. Ces mesures devraient prendre la forme d’une loi pour le secteur public, alors qu’un règlement de travail ou des directives internes suffisent pour le secteur privé.

Publications: Les mesures techniques de surveillance: des risques évités et des risques créés 10 avril 2012

Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique.
add a comment

L’article paru dans le livre Risque(s) et droit édité par Philippe Meier et Alain Papaux est désormais disponible : «Les mesures techniques de surveillance: des risques évités et des risques créés».

Cette contribution scientifique rédigée dans le cadre du séminaire de 3e cycle de la CUSO aborde les risques que les mesures de surveillance tendent à réduire et ceux qui sont la conséquence de l’utilisation de mesures de surveillances. Une attention particulière est portée sur l’atteinte à la sphère privée, l’utilisation de données à l’insu de la personne concernée, l’impossibilité de corriger des données inconnues et finalement la sécurité des données, les fuites et la transmission des données. Les moyens juridiques et techniques pour limiter ces risques sont brièvement évoqués.

Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.

Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.

L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.

Publications: Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP 6 janvier 2012

Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Publications, Sphère privée, Suisse, Surveillance.
add a comment

Un nouvel article scientifique récemment publié est disponible en ligne. «Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP» est paru dans la revue Medialex 03/2011.

Cet article rappelle les notions de secret professionnel telles que définies par le Code de procédure pénale Suisse (CPP) et les différents degrés de protection accordés en fonction de la catégorie professionnelle à laquelle appartient le détenteur du secret lorsqu’il est question de dispense de témoigner. La loi ne fait en revanche pas de distinction entre ces catégories lorsqu’il est question de mesures de surveillance techniques. Les règles particulières à respecter lors de la surveillance d’une personne tenue au secret sont rappelées et analysées.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 705 autres abonnés