jump to navigation

Sécurité de l’information: un projet du Conseil fédéral en consultation 27 mars 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Renseignement, Suisse, Surveillance, Technique.
add a comment

Le Conseil fédéral a ouvert une procédure de consultation (jusqu’au 27 juin 2014) relative au projet de loi fédérale sur la sécurité de l’information. Ce projet de loi vise à adapter la protection des informations et la sécurité dans l’utilisation des technologies de l’information et de la communication (TIC) aux exigences et risques actuels. Il fait écho à la proposition de Directive européenne concernant la sécurité des réseaux et de l’information.

Le constat
Dans son long rapport explicatif (presque cent pages), le Conseil fédéral décrit l’état actuel de la société de l’information et les risques inhérents. Il rappelle qu’il incombe aux autorités fédérales de veiller à la sécurité des informations qu’elles traitent ou dont elles confient le traitement à des organisations qui lui sont subordonnées, alors que plusieurs attaques récentes contre des systèmes informatiques de la Confédération ont montré que la protection des informations présentait des lacunes. La Confédération repose de plus aujourd’hui, sur des organisations parallèles en matière de protection des données, de protection des informations (protection des informations classifiées), de sécurité informatique, de sécurité des personnes, de sécurité physique et de gestion des risques, ce qui rend l’appréciation des risques et leur gestion encore plus compliquée. A noter que l’adoption de cette nouvelle loi en modifierait une dizaine d’autres déjà existantes.

Le besoin d’une approche unifiée
Le projet de loi doit créer des bases légales uniformes pour la gestion de la sécurité de l’information de toute la Confédération. Il doit s’appliquer à toutes les autorités fédérales (l’Assemblée fédérale, les tribunaux fédéraux, le Conseil fédéral, le Ministère public de la Confédération et son autorité de surveillance, la Banque nationale suisse) et à leurs organisations subordonnées (les Services du Parlement, les administrations des tribunaux fédéraux, l’administration fédérale et l’armée).

Il prévoit aussi que la législation d’exécution du Conseil fédéral s’applique aux autres autorités de la Confédération, à moins qu’elles n’aient édicté leur propre réglementation. Cela permettrait d’avoir une approche uniforme par défaut, à laquelle certaines autorités pourraient déroger si nécessaire. Des exigences et mesures standards pourront aussi être recommandées par le Conseil fédéral et la Conférence des préposés à la sécurité de l’information, un nouvel organe, devra veiller à la coordination et l’application transversale de la loi.

Les principaux éléments traités dans ce projet de loi sont:

  • La gestion des risques (évaluation systématique du besoin de protection des informations et l’appréciation des risques);
  • Une clarification de la classification des informations (INTERNE, CONFIDENTIEL et SECRET);
  • La sécurité dans l’engagement des TIC (sécurité des systèmes et moyens TIC les plus critiques);
  • Le soutien de la Confédération aux exploitants d’infrastructures critiques;
  • L’organisation de la sécurité de l’information (avec l’introduction d’un préposé à la sécurité de l’information dans chaque autorité et la prise en compte des normes standards reconnues comme ISO/IEC 27001 et 27002); et
  • Les Contrôles de sécurité relatifs aux personnes (qui seront traités dans cette loi et non plus dans la LMSI.)

Le Conseil fédéral a renoncé à introduire de nouvelles dispositions pénales. Il envisage toutefois de revoir ultérieurement, et de manière plus globale, les dispositions relatives à la protection du secret de fonction et à celle des informations classifiées.

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Le tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, "Consortium de la protection civile").

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Une nouvelle signature électronique 27 janvier 2014

Posted by Sylvain Métille in Informatique, Logiciel, Suisse, Technique.
add a comment

Le Conseil fédéral suisse veut introduire une signature électronique pour les entreprises («le cachet électronique réglementé») et une signature qui aura uniquement une fonction d’authentification («la signature électronique réglementée»). Il a publié le projet de nouvelle Loi sur la signature électronique (de son nom complet Loi fédérale sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques, SCSE) accompagnée du message à l’intention du parlement fédéral.

La signature électronique a été introduite en 2003. Réservée aux personnes physiques, elle est l’équivalent d’une signature manuscrite. Il faut néanmoins admettre qu’elle n’a pas eu le succès escompté. Elle n’est pas fournie par l’Etat mais par un fournisseur reconnu. Ce principe sera maintenu dans la nouvelle loi.

Même s’il conserve cette signature, le Conseil fédéral propose de réviser complétement la loi pour proposer de nouveaux instruments, plus accessibles. La signature électronique réglementée et le cachet électronique réglementé reposeront sur des exigences un peu moins sévères, ce qui permettra d’en faire une diffusion plus large.

Les différentes signatures selon le projet

La signature électronique qualifiée a la même valeur qu’une signature manuscrite (art. 14 al. 2bis CO). Elle reste réservée aux personnes physiques (ce qui est logique puisqu’une une entreprise ne peut pas avoir de signature manuscrite, mais seulement agir par le bais d’une personne physique) mais elle devra désormais être horodatée pour valoir signature manuscrite.

Elle repose sur un certificat numérique qualifié (qui lie la clef publique d’une paire asymétrique de clefs cryptographiques à son titulaire) délivré par un fournisseur de services de certification reconnu au sens de la SCSE. Si le fournisseur n’est pas reconnu ou si les exigences de la SCSE liées au certificat ne sont pas remplies, on parlera alors de signature électronique avancée (mais elle n’équivaut pas à une signature manuscrite).

La signature électronique réglementée repose sur un certificat numérique réglementé (contrairement au certificat numérique qualifié qui n’est pas destiné exclusivement à être utilisé pour la signature électronique). Elle est réservée aux personnes physiques.

La signature électronique réglementée ne remplacera pas la signature manuscrite. Elle permettra  en revanche d’authentifier son propriétaire. Elle sera utilisée notamment pour la signature de courriers électroniques, l’authentification lors de l’utilisation d’un programme ou d’un service Web, ou encore d’autres applications de sécurité telles que celles qui requièrent un certificat SSL.

La signature électronique réglementée aura donc essentiellement un rôle d’identification et d’authentification. Elle pourra être utilisée pour tous les actes juridiques pour lesquels la loi n’exige pas une signature manuscrite. Cette exigence est plutôt rare, par exemple pour la constitution d’une fondation, la vente immobilière, le testament, etc.

Le cachet électronique réglementé est réservé aux personnes morales. C’est l’équivalent de la signature électronique réglementée des personnes physiques.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Identification du titulaire d’une adresse IP 30 décembre 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
4 comments

L’art. 273 du Code de procédure pénale (CPP) permet au ministère public d’obtenir des fournisseurs de services de télécommunications les données indiquant quand et avec quelles personnes ou quels raccordements la personne surveillée a été ou est en liaison par poste ou télécommunication (a) et  les données relatives au trafic et à la facturation (b) lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis. L’ordre de surveillance doit être autorisé par le tribunal des mesures de contrainte et les principes de proportionnalité et de subsidiarité doivent notamment être respectés.

On appelle ces informations «données accessoires» ou encore «données relatives au trafic et à la facturation et identification des usagers». Elles se distinguent des autres mesures de surveillance de la correspondance et des télécommunications par le fait qu’elles ne portent pas sur le contenu. Elles portent donc une atteinte moins grande à la sphère privée et peuvent être autorisées plus facilement que l’accès au contenu (ATF 137 IV 340, consid. 5.5). Ces données peuvent être demandées en temps réel (comme une écoute), mais c’est assez rare. Elles sont le plus souvent demandées avec effet rétroactif. Dans ce cas l’art. 273 al. 3 CPP prévoit une limite à six mois, indépendamment de la durée de la surveillance.

Certains considèrent qu’il s’agit là d’une obligation pour les fournisseurs de conserver les données durant 6 mois et qu’il serait possible d’obtenir des données plus anciennes si elles sont disponibles. Cette interprétation ne devrait pas être suivie. L’obligation de conserver les données découle des art. 12 al. 2 et 15 al. 3 de la Loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). C’est cette loi qui impose des obligations aux fournisseurs de services, alors que les conditions de surveillance (et d’obtention des données) découlent du CPP. La limite de six mois s’impose donc aux autorités de poursuite et elles ne peuvent pas demander des données antérieures, même si elles sont disponibles. Le projet de révision de la LSCPT prévoit une extension de la durée de conservation des données à 12 mois.

Pas de limite temporelle pour l’adresse IP
Au début de cette année, le Tribunal fédéral (TF) s’est prononcé sur une demande d’identification d’une adresse IP antérieure à plus de 6 mois. Cette décision vient d’être publiée au recueil officiel des ATF (139 IV 98).

L’art. 14 LSCPT dispose que les fournisseurs de services de télécommunication doivent fournir d’une part le nom, l’adresse et, si celle-ci est connue, la profession de l’usager d’un raccordement déterminé, et d’autre part les ressources d’adressage (les paramètres de communication ainsi que les éléments de numérotation tels que les indicatifs, les numéros d’appel et les numéros courts, ce qui inclut l’adresse IP). Ces informations sont fournies sur demande aux autorités fédérales et cantonales qui peuvent ordonner ou autoriser une surveillance de la correspondance par télécommunication, pour déterminer les raccordements et les personnes à surveiller, mais également à l’Office fédéral de la police et aux commandements des polices cantonales et municipales, pour exécuter des tâches de police.

La LSCPT est donc une lex specialis, soit une loi spéciale qui déroge au régime général du CPP selon le TF. On peut aussi considérer simplement que l’identification de l’utilisateur d’une ressource d’adressage (ou dans l’autre sens de la ressource d’adressage d’un utilisateur) est un renseignement sur les raccordements de télécommunication qui ne fait pas partie des mesures de surveillance. Une telle demande n’est pas soumise aux exigences strictes applicables à ces mesures et l’information peut être obtenue facilement, y compris en dehors d’une procédure pénale.

A noter que l’art. 82 de l’Ordonnance sur les services de télécommunication (OST), permet au client d’un service de télécommunication qui reçoit des communications abusives d’obtenir la date et l’heure des messages, les ressources d’adressage ainsi que le nom et l’adresse des titulaires des raccordements ayant servi à établir les communications. Si les messages abusifs sont des emails et non des appels téléphoniques, cette disposition devrait aussi inclure l’adresse IP.

Le TF avait laissé ouverte la question de savoir si des données accessoires (soit d’autres données que le nom et l’adresse du titulaire d’un numéro de téléphone ou d’une adresse IP) qui seraient disponibles au-delà de six mois pouvaient être transmises aux autorités de poursuite. C’est dans une autre affaire (ATF 139 IV 195) que le TF a apporté la réponse à cette question, confirmant que la limite de six mois doit être respectée pour les données accessoires au sens de l’art. 273 al. 3 CPP.

Nouvelles recommandations sur l’utilisation des cookies 22 novembre 2013

Posted by Sylvain Métille in Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
2 comments

Le groupe de travail article 29 a publié en octobre 2013 un document de travail sur la manière d’obtenir le consentement lors de l’utilisation des cookies. Ce document se base sur la Directive européenne 95/46/CE qui exige en principe un consentement de l’utilisateur. Ces recommandations s’appliquent évidemment non seulement aux cookies, mais également à tous les systèmes de traçage similaires. En droit suisse il suffit que l’utilisation des cookies soit reconnaissable, à moins qu’ils ne constituent un profil de personnalité. Ce sera souvent le cas et, il faut bien l’admettre, s’il l’on se doute qu’un site utilise des cookies ou d’autres méthodes de traçage il est bien difficile de savoir qui collecte quoi et dans quel but (d’autant qu’il y a souvent des cookies de tiers). Les cookies ne seront donc que rarement reconnaissables et une information devra être fournie à l’utilisateur, qui consentira alors expressément ou implicitement à leur utilisation.

Pour simplifier le travail des éditeurs ou propriétaires de sites, le groupe de travail  article 29 a retenu les exigences les plus strictes en Europe, divisées en quatre éléments. On ne peut que recommander l’application de ces règles en Suisse également au titre de bonnes pratiques.

Une information spécifique
Pour que le consentement soit valable, il faut qu’il repose sur une information claire, compréhensive et facilement accessible. L’information précisera le type de cookies utilisés, leur date d’expiration, les informations techniques, la présence de cookies tiers, etc. l’information ne doit pas disparaître tant que l’utilisateur n’a pas accepté.

Le moment
Le consentement doit évidemment être donné avant l’utilisation des cookies et la collecte de données. Cela implique que le site doit pouvoir être d’abord visité dans une version sans cookie, au moins jusqu’à ce que la personne a consenti. Si les cookies sont essentiels au fonctionnement du site, il faudra prévoir une page d’accueil spéciale sans cookies. Cet élément est considéré comme nouveau, même s’il est logique de ne pas laisser la possibilité au propriétaire de site de récolter des informations contre la volonté de l’internaute (y compris durant une durée limitée).

Un comportement actif
Le consentement de l’utilisateur doit être exprimé de manière active, par exemple en cliquant sur un lien ou un bouton, en cochant une case ou encore en fermant une fenêtre présentant les informations.

Un consentement libre
Le consentement doit être libre pour être valide, ce qui implique de pouvoir choisir dès la première page l’option d’accepter tous les cookies, seulement certains ou aucun. L’internaute doit pouvoir aussi modifier son choix ultérieurement. En principe, l’utilisateur devrait pouvoir également visiter un site sans accepter aucun cookie et sans être sanctionné de ce fait (par exemple en lui refusant sans raison l’accès à certaines pages).

Voir également sur le site de la Commission Nationale de l’Informatique et des Libertés
Cookies & traceurs : outils et codes sources (La mesure d’audience, les boutons sociaux et la publicité)

Voir également sur le site du Préposé fédéral à la protection des données
Explications concernant le webtracking

Le problème, ce n’est pas les drones! 6 novembre 2013

Posted by Sylvain Métille in Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Plusieurs médias se sont fait récemment l’écho de l’utilisation prochaine de drones par le Service de renseignement civil de la Confédération (SRC). Il risque pourtant d’y avoir encore un long chemin jusque-là et même si les drones sont relativement nouveaux en Suisse, ce n’est pas le principal changement à être au programme.

L’avant-projet de loi fédérale sur le renseignement (LRens) a été mis en consultation se printemps. La LRens s’appliquera dans des situations où aucun procédure pénale n’est en cours (parce qu’aucune infraction n’a été commise ou est en cours de commission). Au niveau des mesures de surveillance et de recherches d’informations, il prévoit deux nouveautés par rapport au droit actuel: la possibilité pour le SRC de faire des enregistrements vidéos et audios, de surveiller la correspondance postale et les télécommunications, utiliser des balises GPS, des chevaux de Troie et effectuer des perquisitions informatiques. Ce genre de mesures avait été clairement rejeté par le parlement fédéral dans le cadre des projets de révision de loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (en particulier le projet LMSI II).

Enregistrements audios et vidéos
La LRens permettra certes d’embarquer des caméras sur des drones, mais cela ne se limitera pas à des drones: la vraie nouveauté est que le SRC pourra utiliser des micros et des caméras dans n’importe quel espace public, sans aucun contrôle judiciaire. Le SRC pourrait procéder sans aucune autorisation à des enregistrements vidéos et audios dans les lieux publics (art. 12). Il aura en revanche besoin d’une autorisation judiciaire et politique pour de tels enregistrements dans des espaces privés ainsi que pour les mesures de surveillance de la correspondance postale et des télécommunications, l’utilisation de balises GPS, de chevaux de Troie, et des perquisitions informatiques (art. 22ss).

A titre de comparaison, dans le cas d’une enquête pénale faisant suite à la commission (avérée) d’une infraction pénale, la demande du procureur doit être validée par le tribunal des mesures de contraintes (une autorité judiciaire indépendante) avant qu’une caméra ne puisse être utilisée.

Le projet de LRens devrait être transmis prochainement au Parlement qui devra alors décider s’il autorise l’utilisation de moyens invasifs, parfois même plus invasifs que ce qui est admis dans le cadre d’enquêtes pénales, ou s’il continue à s’opposer à la surveillance préventive demandée par le Conseil fédéral.

Pour aller plus loin:
Projet de Loi fédérale sur le Service de renseignement civil (loi sur le renseignement; LRens)

Rapport sur les résultats de la procédure de consultation

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 648 followers