jump to navigation

Hausse des escroqueries sur les sites de vente aux enchères et de petites annonces 22 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Facebook, Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique.
1 comment so far

Le Service national de Coordination de la lutte contre la Criminalité sur Internet (SCOCI) a publié son rapport annuel, qui marque également ses dix ans d’activité. En 2013, ce sont surtout les annonces de tentatives d’escroquerie sur des sites de vente aux enchères ou de petites annonces qui ont augmenté. Ces arnaques visent autant les vendeurs que les acheteurs.

Les escroqueries sont toujours mieux réalisées, les auteurs allant jusqu’à créer des sites web complets d’entreprises de transport fictives, avec un faux système de suivi des paquets pour faire croire le plus longtemps possible à la victime que la marchandise est encore en route. La pénurie de logements est aussi exploitée, avec la réapparition des fausses annonces d’appartements bon marché qui n’existent pas mais pour lesquels l’avance de paiement demandée est bien réelle.

Les tentatives de phishing (hameçonnage) ont également fortement augmenté. La variante la plus courante reste l’envoi massif de courriels à des victimes potentielles sans ciblage particulier pour les attirer sur des sites web ressemblant à de services Internet connus et où les victimes introduiront leurs données d’utilisateur (nom d’utilisateur, mot de passe, données personnelles). Les données seront ainsi récupérées sans difficultés par les escrocs.

Les rançongiciels (ransomware)
Au niveau de la détérioration de données, ce sont également des attaques bien organisées mais non ciblées qui sont le plus souvent rapportées. Les données sont d’abord supprimées ou encryptées sur l’ordinateur de la victime (par le biais d’un logiciel malveillant), puis la victime est invitée à procéder à un paiement (rançon) pour obtenir la libération de ses données.

Au niveau des entreprises, on note en particulier des attaques ciblées contre infrastructures de télécommunication (pour effectuer des appels surtaxés ou longues distances à charge de l’entreprise) et contre des données de clients (en exploitant des failles de sécurité des sites web).

Pour 2014, le SCOCI craint une augmentation du nombre de logiciels malveillants présents sur les téléphones mobiles ainsi que la difficulté croissante pour les victimes de distinguer les faux sites Internet au vu de l’amélioration de leur qualité de réalistaion  (fautes d’orthographes moins présentes, apparence visuelle du site plus réaliste, etc.)

Au sujet du Service national de Coordination de la lutte contre la Criminalité sur Internet
Le SCOCI a été créé en 2002 par le biais d’une convention administrative entre la Confédération et les cantons. Avec son rattachement à la Police judiciaire fédérale, le SCOCI s’est implanté également au niveau international en tant que partenaire des autorités d’enquête d’Europol European Cybercrime Center (EC3) et d’Interpol Global Complex for Innovation (IGCI). Il dispose désormais de son profil sur Facebook et sur Twitter.

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014, la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Sécurité de l’information: un projet du Conseil fédéral en consultation 27 mars 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Renseignement, Suisse, Surveillance, Technique.
2 comments

Le Conseil fédéral a ouvert une procédure de consultation (jusqu’au 27 juin 2014) relative au projet de loi fédérale sur la sécurité de l’information. Ce projet de loi vise à adapter la protection des informations et la sécurité dans l’utilisation des technologies de l’information et de la communication (TIC) aux exigences et risques actuels. Il fait écho à la proposition de Directive européenne concernant la sécurité des réseaux et de l’information.

Le constat
Dans son long rapport explicatif (presque cent pages), le Conseil fédéral décrit l’état actuel de la société de l’information et les risques inhérents. Il rappelle qu’il incombe aux autorités fédérales de veiller à la sécurité des informations qu’elles traitent ou dont elles confient le traitement à des organisations qui lui sont subordonnées, alors que plusieurs attaques récentes contre des systèmes informatiques de la Confédération ont montré que la protection des informations présentait des lacunes. La Confédération repose de plus aujourd’hui, sur des organisations parallèles en matière de protection des données, de protection des informations (protection des informations classifiées), de sécurité informatique, de sécurité des personnes, de sécurité physique et de gestion des risques, ce qui rend l’appréciation des risques et leur gestion encore plus compliquée. A noter que l’adoption de cette nouvelle loi en modifierait une dizaine d’autres déjà existantes.

Le besoin d’une approche unifiée
Le projet de loi doit créer des bases légales uniformes pour la gestion de la sécurité de l’information de toute la Confédération. Il doit s’appliquer à toutes les autorités fédérales (l’Assemblée fédérale, les tribunaux fédéraux, le Conseil fédéral, le Ministère public de la Confédération et son autorité de surveillance, la Banque nationale suisse) et à leurs organisations subordonnées (les Services du Parlement, les administrations des tribunaux fédéraux, l’administration fédérale et l’armée).

Il prévoit aussi que la législation d’exécution du Conseil fédéral s’applique aux autres autorités de la Confédération, à moins qu’elles n’aient édicté leur propre réglementation. Cela permettrait d’avoir une approche uniforme par défaut, à laquelle certaines autorités pourraient déroger si nécessaire. Des exigences et mesures standards pourront aussi être recommandées par le Conseil fédéral et la Conférence des préposés à la sécurité de l’information, un nouvel organe, devra veiller à la coordination et l’application transversale de la loi.

Les principaux éléments traités dans ce projet de loi sont:

  • La gestion des risques (évaluation systématique du besoin de protection des informations et l’appréciation des risques);
  • Une clarification de la classification des informations (INTERNE, CONFIDENTIEL et SECRET);
  • La sécurité dans l’engagement des TIC (sécurité des systèmes et moyens TIC les plus critiques);
  • Le soutien de la Confédération aux exploitants d’infrastructures critiques;
  • L’organisation de la sécurité de l’information (avec l’introduction d’un préposé à la sécurité de l’information dans chaque autorité et la prise en compte des normes standards reconnues comme ISO/IEC 27001 et 27002); et
  • Les Contrôles de sécurité relatifs aux personnes (qui seront traités dans cette loi et non plus dans la LMSI.)

Le Conseil fédéral a renoncé à introduire de nouvelles dispositions pénales. Il envisage toutefois de revoir ultérieurement, et de manière plus globale, les dispositions relatives à la protection du secret de fonction et à celle des informations classifiées.

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Le tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, "Consortium de la protection civile").

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Le problème, ce n’est pas les drones! 6 novembre 2013

Posted by Sylvain Métille in Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Plusieurs médias se sont fait récemment l’écho de l’utilisation prochaine de drones par le Service de renseignement civil de la Confédération (SRC). Il risque pourtant d’y avoir encore un long chemin jusque-là et même si les drones sont relativement nouveaux en Suisse, ce n’est pas le principal changement à être au programme.

L’avant-projet de loi fédérale sur le renseignement (LRens) a été mis en consultation se printemps. La LRens s’appliquera dans des situations où aucun procédure pénale n’est en cours (parce qu’aucune infraction n’a été commise ou est en cours de commission). Au niveau des mesures de surveillance et de recherches d’informations, il prévoit deux nouveautés par rapport au droit actuel: la possibilité pour le SRC de faire des enregistrements vidéos et audios, de surveiller la correspondance postale et les télécommunications, utiliser des balises GPS, des chevaux de Troie et effectuer des perquisitions informatiques. Ce genre de mesures avait été clairement rejeté par le parlement fédéral dans le cadre des projets de révision de loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (en particulier le projet LMSI II).

Enregistrements audios et vidéos
La LRens permettra certes d’embarquer des caméras sur des drones, mais cela ne se limitera pas à des drones: la vraie nouveauté est que le SRC pourra utiliser des micros et des caméras dans n’importe quel espace public, sans aucun contrôle judiciaire. Le SRC pourrait procéder sans aucune autorisation à des enregistrements vidéos et audios dans les lieux publics (art. 12). Il aura en revanche besoin d’une autorisation judiciaire et politique pour de tels enregistrements dans des espaces privés ainsi que pour les mesures de surveillance de la correspondance postale et des télécommunications, l’utilisation de balises GPS, de chevaux de Troie, et des perquisitions informatiques (art. 22ss).

A titre de comparaison, dans le cas d’une enquête pénale faisant suite à la commission (avérée) d’une infraction pénale, la demande du procureur doit être validée par le tribunal des mesures de contraintes (une autorité judiciaire indépendante) avant qu’une caméra ne puisse être utilisée.

Le projet de LRens devrait être transmis prochainement au Parlement qui devra alors décider s’il autorise l’utilisation de moyens invasifs, parfois même plus invasifs que ce qui est admis dans le cadre d’enquêtes pénales, ou s’il continue à s’opposer à la surveillance préventive demandée par le Conseil fédéral.

Pour aller plus loin:
Projet de Loi fédérale sur le Service de renseignement civil (loi sur le renseignement; LRens)

Rapport sur les résultats de la procédure de consultation

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Applications mobiles, profilage, mise en œuvre coordonnée, transparence et «webtracking» 3 octobre 2013

Posted by Sylvain Métille in Informatique, Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique, USA.
1 comment so far

La 35e Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée s’est tenue à Varsovie (Pologne) du 23 au 26 septembre 2013. En plus de la traditionnelle partie réservée aux commissaires (préposés) nationaux à la protection des données, il y avait une partie publique ouverte à tous les professionnels du domaine. Cette année, les principaux thèmes abordés étaient «les réformes dans le monde entier: l’interopérabilité entre les régions», «protections des données et technologie» et «les principaux acteurs: perspectives, rôles, intérêts».

A l’issue de la partie réservée aux gouvernements, plusieurs résolutions ont été acceptées, notamment:

  • une résolution sur les applications mobiles: les commissaires ont souligné l’importance pour les consommateurs de rester maîtres de leurs données et leur intention de faire de ce sujet une priorité pour l’année à venir. La résolution insiste également sur l’information qui doit être fournie à l’utilisateur avant que la collecte des données ne commence, la possibilité de ne partager que certaines informations, l’absence de fonctions cachées, le rôle et la responsabilité des fournisseurs de plateformes.
  • Une résolution sur le profilage: les commissaires demandent que le profilage soit limité dans son principe, dans la quantité de données utilisées et les buts visés, que les algorithmes utilisés soient continuellement vérifiées et améliorés, que les droits d’accès et de correction soient assurés et en particulier qu’un contrôle humain existent lorsque le profilage a ensuite des effets sur les êtres humains et qu’une surveillance appropriée soit mise en place.
  • Une résolution sur la coordination internationale des enquêtes et sanctions. Cela doit aboutir à un accord cadre pour la prochaine conférence, ainsi que la mise en place d’une plateforme sécurisée permettant aux différentes autorités d’échanger des informations. Dans l’intervalle, les commissaires encouragent déjà la coopération dans des cas concrets.
  • Une résolution sur l’inscription de la protection des données et de la protection de la sphère privée dans le droit international : les commissaires demandent aux gouvernements de soutenir l’adoption d’un protocole additionnel à l’art. 17 de la convention sur les droits civils et politiques dans le but d’avoir un standard applicable globalement qui reposerait sur le principe de la base légale. (La FTC américaine s’est abstenue de voter cette résolution.)
  • Une résolution sur la transparence qui insiste sur l’importance de donner les buts dans lesquelles les données sont utilisées, l’identité et les moyens de contacter le responsable, et le fait que ces informations et les politiques de confidentialités doivent être rédigés dans un langage clair et compréhensible, dans un format accessible. Les commissaires encouragent également les organisations privées comme les gouvernements à faire preuve de transparence sur les pratiques de collection et d’utilisation de données, ainsi qu’à recourir à des certifications. (La FTC américaine s’est abstenue de voter cette résolution en tant qu’elle concerne le secteur public pour lequel elle n’a pas de compétence.)
  • Une résolution sur le traçage sur le web: les commissaires encouragent les sociétés concernées à ne pas utiliser les données dans un but autre que celui annoncé, informer de manière transparente et donner le contrôle à l’utilisateur des éléments de traçage, n’utiliser des éléments invisibles et empreintes que pour des questions de sécurité et détection des fraudes, ne pas tracer les enfants et les sites qui leurs sont destinés, utiliser le principe de privacy by design, anonymiser / pseudonimiser les données et promouvoir des standards techniques tel que Do-Not-Track. (Les autorités slovène et française se sont abstenue de voter cette résolution.)

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 653 followers