jump to navigation

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
- lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
- survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
- lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014 (C-293/12 et C-594/12), la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Sécurité de l’information: un projet du Conseil fédéral en consultation 27 mars 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Renseignement, Suisse, Surveillance, Technique.
2 comments

Le Conseil fédéral a ouvert une procédure de consultation (jusqu’au 27 juin 2014) relative au projet de loi fédérale sur la sécurité de l’information. Ce projet de loi vise à adapter la protection des informations et la sécurité dans l’utilisation des technologies de l’information et de la communication (TIC) aux exigences et risques actuels. Il fait écho à la proposition de Directive européenne concernant la sécurité des réseaux et de l’information.

Le constat
Dans son long rapport explicatif (presque cent pages), le Conseil fédéral décrit l’état actuel de la société de l’information et les risques inhérents. Il rappelle qu’il incombe aux autorités fédérales de veiller à la sécurité des informations qu’elles traitent ou dont elles confient le traitement à des organisations qui lui sont subordonnées, alors que plusieurs attaques récentes contre des systèmes informatiques de la Confédération ont montré que la protection des informations présentait des lacunes. La Confédération repose de plus aujourd’hui, sur des organisations parallèles en matière de protection des données, de protection des informations (protection des informations classifiées), de sécurité informatique, de sécurité des personnes, de sécurité physique et de gestion des risques, ce qui rend l’appréciation des risques et leur gestion encore plus compliquée. A noter que l’adoption de cette nouvelle loi en modifierait une dizaine d’autres déjà existantes.

Le besoin d’une approche unifiée
Le projet de loi doit créer des bases légales uniformes pour la gestion de la sécurité de l’information de toute la Confédération. Il doit s’appliquer à toutes les autorités fédérales (l’Assemblée fédérale, les tribunaux fédéraux, le Conseil fédéral, le Ministère public de la Confédération et son autorité de surveillance, la Banque nationale suisse) et à leurs organisations subordonnées (les Services du Parlement, les administrations des tribunaux fédéraux, l’administration fédérale et l’armée).

Il prévoit aussi que la législation d’exécution du Conseil fédéral s’applique aux autres autorités de la Confédération, à moins qu’elles n’aient édicté leur propre réglementation. Cela permettrait d’avoir une approche uniforme par défaut, à laquelle certaines autorités pourraient déroger si nécessaire. Des exigences et mesures standards pourront aussi être recommandées par le Conseil fédéral et la Conférence des préposés à la sécurité de l’information, un nouvel organe, devra veiller à la coordination et l’application transversale de la loi.

Les principaux éléments traités dans ce projet de loi sont:

  • La gestion des risques (évaluation systématique du besoin de protection des informations et l’appréciation des risques);
  • Une clarification de la classification des informations (INTERNE, CONFIDENTIEL et SECRET);
  • La sécurité dans l’engagement des TIC (sécurité des systèmes et moyens TIC les plus critiques);
  • Le soutien de la Confédération aux exploitants d’infrastructures critiques;
  • L’organisation de la sécurité de l’information (avec l’introduction d’un préposé à la sécurité de l’information dans chaque autorité et la prise en compte des normes standards reconnues comme ISO/IEC 27001 et 27002); et
  • Les Contrôles de sécurité relatifs aux personnes (qui seront traités dans cette loi et non plus dans la LMSI.)

Le Conseil fédéral a renoncé à introduire de nouvelles dispositions pénales. Il envisage toutefois de revoir ultérieurement, et de manière plus globale, les dispositions relatives à la protection du secret de fonction et à celle des informations classifiées.

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Ce qu’une adresse IP peut révéler à votre sujet 11 décembre 2013

Posted by Sylvain Métille in Google, Informatique, Localisation, Protection des données, Renseignement, Sphère privée, Technique.
2 comments

La Direction de l’analyse des technologies du Commissariat à la protection de la vie privée du Canada a publié en mai 2013 un rapport intitulé «Ce qu’une adresse IP peut révéler à votre sujet». Ce rapport a fait suite à un projet de loi qui devait permettre de transmettre sans autorisation judiciaire des renseignements à un certain nombre d’entités administratives. Le rapport s’intéresse aux conséquences sur la vie privée que peuvent avoir les renseignements sur les abonnés ne figurant pas dans un annuaire téléphonique, soit l’adresse de courriel, le numéro de téléphone portable et l’adresse IP.

La méthode
Le Commissariat a tout d’abord utilisé l’adresse IP du serveur Web du Commissariat ainsi que l’adresse IP d’un contributeur actif de Wikipedia. A l’aide d’outils comme WHOIS, il a ensuite cherché le propriétaire de l’adresse IP, ainsi que toute personne ou organisation enregistrée à cette adresse puis effectué des recherches au moyen de l’adresse IP pour déterminer l’emplacement géographique du propriétaire de l’adresse IP et localiser le réseau utilisé. Il a encore utilisé l’adresse IP comme terme de recherche dans différents moteurs de recherche et examiné les pages Web affichées dans la liste des résultats afin de trouver des exemples d’activités sur Internet (p. ex. entrées dans les journaux du serveur Web, participation à des forums en ligne). La combinaison de ces résultats a permis d’établir le profil détaillé des personnes associées à une adresse IP.

Il est important de relever que la seule difficulté ici est d’avoir l’adresse IP, l’adresse de courriel ou le numéro de téléphone, car toutes les autres démarches ont été menées avec des services gratuits disponibles sur Internet.

Les résultats
Plus de 240 résultats ont été obtenus en utilisant l’adresse IP du serveur du Commissariat comme terme de recherche. Ces résultats ont indiqué que les personnes travaillant à partir de cette adresse IP avaient consulté des sites concernant par exemple la formation sur l’optimisation des moteurs de recherche, le monde de la publicité et du marketing au Canada, la gouvernance du Web, la gestion de l’identité, les questions de vie privée, les conseils juridiques sur le droit des assurances et les litiges pour lésions corporelles, un certain groupe religieux, le partage de photos en ligne, l’historique des révisions d’une page Wikipédia ou encore certains artistes, ce qui a permis de révéler un éventail de noms d’utilisateurs. La qualité des informations obtenues dépendra surtout de la manière dont les sites traitent les adresses IP (sont-elles ou non visibles aux moteurs de recherche).

La même démarche a été effectuée avec l’adresse IP d’un individu (et non plus d’un serveur) en prenant au hasard l’adresse laissée par un contributeur de Wikipedia. Le Commissariat a ainsi découvert que cette personne avait révisé des centaines de pages Wikipédia au sujet de certaines émissions de télévision (pour des questions de confidentialité plus de détails ne sont pas donnés) ainsi que des douzaines de pages sur des sujets liés à l’histoire. Cette personne avait aussi consulté un site consacré aux préférences sexuelles, puis effectué une recherche en ligne pour un type de personne particulier.

Le Commissariat décrit ensuite, en prenant l’exemple l’affaire Petraeus aux États-Unis, les renseignements qu’il est possible d’obtenir en se servant d’une adresse IP comme point de départ d’une enquête.

Le Commissariat arrive donc à la conclusion que contrairement aux simples données contenues dans un annuaire téléphonique, une adresse IP peut servir à dresser un profil très détaillé d’une personne, de même que révéler ses activités, ses goûts, ses penchants et son style de vie.

Nous verrons prochainement les conditions auxquelles une autorité pénale peut obtenir une adresse IP en Suisse

Le problème, ce n’est pas les drones! 6 novembre 2013

Posted by Sylvain Métille in Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Plusieurs médias se sont fait récemment l’écho de l’utilisation prochaine de drones par le Service de renseignement civil de la Confédération (SRC). Il risque pourtant d’y avoir encore un long chemin jusque-là et même si les drones sont relativement nouveaux en Suisse, ce n’est pas le principal changement à être au programme.

L’avant-projet de loi fédérale sur le renseignement (LRens) a été mis en consultation se printemps. La LRens s’appliquera dans des situations où aucun procédure pénale n’est en cours (parce qu’aucune infraction n’a été commise ou est en cours de commission). Au niveau des mesures de surveillance et de recherches d’informations, il prévoit deux nouveautés par rapport au droit actuel: la possibilité pour le SRC de faire des enregistrements vidéos et audios, de surveiller la correspondance postale et les télécommunications, utiliser des balises GPS, des chevaux de Troie et effectuer des perquisitions informatiques. Ce genre de mesures avait été clairement rejeté par le parlement fédéral dans le cadre des projets de révision de loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (en particulier le projet LMSI II).

Enregistrements audios et vidéos
La LRens permettra certes d’embarquer des caméras sur des drones, mais cela ne se limitera pas à des drones: la vraie nouveauté est que le SRC pourra utiliser des micros et des caméras dans n’importe quel espace public, sans aucun contrôle judiciaire. Le SRC pourrait procéder sans aucune autorisation à des enregistrements vidéos et audios dans les lieux publics (art. 12). Il aura en revanche besoin d’une autorisation judiciaire et politique pour de tels enregistrements dans des espaces privés ainsi que pour les mesures de surveillance de la correspondance postale et des télécommunications, l’utilisation de balises GPS, de chevaux de Troie, et des perquisitions informatiques (art. 22ss).

A titre de comparaison, dans le cas d’une enquête pénale faisant suite à la commission (avérée) d’une infraction pénale, la demande du procureur doit être validée par le tribunal des mesures de contraintes (une autorité judiciaire indépendante) avant qu’une caméra ne puisse être utilisée.

Le projet de LRens devrait être transmis prochainement au Parlement qui devra alors décider s’il autorise l’utilisation de moyens invasifs, parfois même plus invasifs que ce qui est admis dans le cadre d’enquêtes pénales, ou s’il continue à s’opposer à la surveillance préventive demandée par le Conseil fédéral.

Pour aller plus loin:
Projet de Loi fédérale sur le Service de renseignement civil (loi sur le renseignement; LRens)

Rapport sur les résultats de la procédure de consultation

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Ces chères écoutes téléphoniques 6 juin 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Alors que le Parlement fédéral doit se pencher prochainement sur une révision de la LSCPT qui prévoit notamment un allongement de la durée de conservation des données par les fournisseurs de services de télécommunications, c’est l’occasion de se pencher sur les dernières statistiques du Service de surveillance de la correspondance par poste et télécommunication de la Confédération (Service SCPT). Les autorités suisses de poursuite pénale ont dû dépenser quatorze millions de francs d’émoluments en 2012, dont presque dix millions ont été reversés aux fournisseurs de services de télécommunication (FST). Les tarifs, fixés par une Ordonnance du Conseil fédéral, avaient été adaptés au 1er janvier 2012. Ainsi pour la somme de 2’410.- (dont 1’330.- reversés au FST concerné), un procureur pourra obtenir la surveillance d’un numéro téléphonique (fixe ou mobile) en temps réel, alors qu’il lui coûtera 700.- (540.-) pour obtenir les données de facturation des six derniers mois.

Le Code de procédure pénal contient des exigences strictes sur la manière et les conditions auxquelles les mesures de surveillance peuvent être ordonnées par les procureurs et doivent être ensuite confirmées par le tribunal des mesures de contrainte. Cela se justifie car ces mesures de surveillance portent atteinte à la sphère privée de l’individu et elles ont lieu à l’insu de la personne concernée. Cette dernière peut donc difficilement faire valoir le respect de ses droits. Même si ce n’est pas son but, le coût élevé de ces démarches est peut-être tout aussi efficace que les garde-fous légaux pour s’assurer que les autorités d’instruction pénale n’en abusent pas.

Neuf autorisations d’écoutes téléphoniques par jour
Le nombre de mesures de surveillance effectuées augmente néanmoins régulièrement ces dernières années. En 2012, 3’233 mesures de surveillance en temps réel ont été exécutées, ainsi que 6’960 mesures de surveillance rétroactives. En moyenne, c’est l’écoute de presque neuf nouveaux raccordements qui est ordonnée chaque jour en Suisse et des informations de facturation livrées concernant dix-neuf raccordements. La majorité des mesures de surveillance concernait des infractions graves à la législation sur les stupéfiants ou contre le patrimoine, mais leur répartition dans le pays est très inégale. La palme revient à Genève qui a prononcé une mesure de surveillance sur cinq, suivi de Zurich (17%), Vaud et Tessin (10%).

Les émoluments sont avancés par les cantons et figurent ensuite dans les frais de justice, mis à la charge du condamné. Si le prévenu n’est pas condamné ou si le condamné est indigent (la carrière criminelle n’étant pas toujours gage de fortune), l’Etat n’obtiendra pas le remboursement de ces avances, qui seront finalement supportées par le contribuable au travers de la part des impôts finançant le budget du département de justice et police.

Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 688 autres abonnés