Pas de limites à la vidéosurveillance des collèges vaudois 25 avril 2013
Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.add a comment
La Cour de droit administratif et public du Tribunal cantonal vaudois a rendu un arrêt le 1er mars 2013 dans la cause opposant la Municipalité de Lutry au Bureau du préposé à la protection des données et à l’information.
Elle a admis le recours de la Municipalité de Lutry qui contestait les limitations imposées par le Préposé vaudois à la protection des données, en particulier l’interdiction de l’utilisation des installations de vidéosurveillance des collèges pendant les heures régulières de cours.
Pour le Tribunal cantonal, le fonctionnement 24 heures sur 24 des caméras de surveillance, dont les images sont visibles en permanence sur des écrans installés à la réception du poste de police et conservées durant 48 heures ne pose pas de problèmes. Et cela même si les élèves et enseignants ne peuvent pas éviter d’être dans le champ des caméras.
La question principale est de savoir si la vidéosurveillance respecte le principe de la proportionnalité, ce qui implique de vérifier qu’elle est apte à produire les résultats escomptés (règle de l’aptitude), que ces résultat ne peuvent pas être atteints par une mesure moins incisive (règle de la nécessité), et qu’il y ait un rapport raisonnable entre le but visé et l’atteinte à la sphère privée (proportionnalité au sens étroit).
Le Tribunal est d’abord arrivé à la conclusion que la pose des caméras permet d’atteindre un but de prévention puisque les dommages aux bâtiments et aux véhicules, les voies de fait et la consommation de stupéfiants sur les deux sites scolaires ont baissés. Il retient ensuite que ces mesures sont nécessaires également pendant les heures de cours (notamment parce que des problèmes ont eu lieu avant la pose des caméras durant les heures de cours) et que le recours à une société de surveillance (agents privés) serait plus onéreux. Finalement le Tribunal a refusé de voir une contradiction entre la mission de l’école, qui vise notamment à contribuer au développement de la personnalité des élèves, et l’instauration d’un système de vidéosurveillance permanent. Il considère que l’atteinte portée à la liberté personnelle et à la sphère privée des élèves et des enseignants doit être considérée comme légère puisque les enregistrements sont effacés après 48h. Le Tribunal conclut que la vidéosurveillance a également des effets positifs pour les utilisateurs des sites scolaires puisqu’elle tend notamment à empêcher des dommages à la propriété ou des actes de violence dont ils peuvent être victimes.
Le fait que les élèves ne soient filmés qu’à l’extérieur des bâtiments scolaires, lorsqu’ils arrivent sur le site ou le quittent ou lors des récréations, a certes un impact relatif sur l’enseignement lui-même et le développement de la personnalité de l’élève. En revanche, l’impossibilité pour un élève d’entrer et sortir du bâtiment scolaire et surtout de prendre la récréation à l’extérieur sans être filmé, constitue une atteinte qui ne doit pas être négligée. Cette atteinte est d’autant plus importante que les images sont visibles en direct, et apparemment sans limitations particulières, à la réception du poste de police.
Remplacer les caméras par les enseignants
Durant les récréations (c’est durant ces périodes que la vidéosurveillance est la plus choquante), le but visé aurait tout aussi bien pu être atteint par des enseignants, dont on ne doute pas qu’ils soient déjà présents. Dans un souci de proportionnalité, on aurait aussi pu imaginer réserver des zones sans caméras pour permettre aux élèves de prendre la pause sans être filmés et diffusés en direct à la réception du poste de police.
On peut encore regretter que le Tribunal n’ait pas traité la question sous l’angle du droit à l’enseignement de base (art. 19 Cst.) et du droit du travail, puisque l’utilisation de systèmes destinés à surveiller le comportement des employés à leur poste de travail est par principe interdit et qu’une surveillance pour des motifs de sécurité doit obéir à des conditions strictes notamment en terme de proportionnalité (voir par exemple la Directive du Secrétariat d’Etat à l’économie concernant l’Ordonnance 3 de la loi sur le travail et le Guide pour le traitement des données personnelles dans le secteur du travail du Préposé fédéral à la protection des données).
Même s’il n’y pas de recours contre cette décision, l’affaire n’est peut-être pas finie car un enseignant ou un élève pourrait engager une action à titre individuelle pour atteinte à ses droits de la personnalité et demander la mise hors service des caméras.
voir également l’article paru sur le site du magazine Bilan Des caméras dans la cour de récré.
Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013
Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.
Protection des données: lobbyistes, on vous a à l’œil ! 27 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Logiciel, Protection des données, Sphère privée, Surveillance, USA.1 comment so far
L’Union européenne a entamé le processus de réforme de sa législation en matière de protection des données. Au début de l’année 2012, la Commission européenne a présenté un projet de Règlement général sur la protection des données qui s’appliquera à toutes les données personnelles traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens.
Le Règlement aura donc un impact direct sur les géants de l’Internet, dont certains sont déjà visés par des procédures dans plusieurs pays européens (on pense notamment à Facebook en Irlande ou Google en France). Il n’en fallait pas moins pour aiguiser les ardeurs des lobbyistes et l’on a rapidement vu un certain nombre d’Américains s’ajouter à ceux qui sont habituellement présents à Bruxelles. Mais ne jetons pas la pierre aux Américains, car les intérêts européens sont également représentés à Washington.
On trouve des entreprises américaines qui veulent empêcher toute limitation européenne à leurs activités actuelles, des organisations américaines de défense de la sphère privée qui soutiennent les mesures protectrices en Europe (et espèrent un effet direct ou indirect aux USA), des Européens (y compris au plus haut niveau politique) qui tentent de obtenir du gouvernement américain qu’il limite ses droit d’accès aux données européennes. Ou encore des entreprises européennes qui souhaitent moins de restrictions et tentent de trouver un appui dans ce sens aux USA.
Les lobbyistes ont largement dépassé le stade de simples discussions de couloirs et deviennent de plus en plus efficaces et influents, ressemblant parfois de manière troublante à des secrétaires parlementaires. Pour mesurer leur influence réelle, une plate-forme participative en ligne, Lobbyplag, compare les propositions des groupes d’intérêts et les amendements au projet de Règlement demandés par les parlementaires dans les différents comités actuellement saisis du projet.
Si l’idée même que l’industrie influence l’élaboration d’une loi n’est pas nouvelle, les ressemblances sont plus que troublantes et il peut être intéressant de savoir qui soutient quoi et par quel biais. En utilisant des données librement accessibles (Open Data) et un financement participatif (crowdfunding), Lobbyplag est un exemple de l’utilisation de moyens informatiques pour renforcer la transparence dans la démocratie. Et prouver que protection des données et transparence peuvent cohabiter !
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Un petit drone pour épier ses voisins? 13 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.3 comments
En Suisse, des drones de l’armée sont utilisés régulièrement depuis 2006 pour surveiller les zones frontières. Dans le cas d’un usage par une personne privée, les drones ne sont soumis à aucune autorisation tant qu’ils n’atteignent pas un poids de 30 kilos et que le pilote resté au sol maintient un contact visuel avec l’appareil. Non seulement ces machines volent discrètement, mais elles peuvent aussi embarquer un matériel de pointe capable de procéder à des enregistrements sonores, des prises de vues, des mesures de détection, etc.
La DARPA, une agence du Département américain de la défense, a présenté en début d’année une caméra dotée d’un capteur de 1,8 gigapixels. A 6’000 mètres d’altitude, cette caméra peut couvrir une surface de vingt-cinq kilomètres carrés et y repérer un objet au sol d’une taille de quinze centimètres. On trouve aussi des nanodrones, comme ceux utilisés par l’armée anglaise et qui pèsent quinze grammes (caméra comprise) pour une dizaine de centimètres d’envergure. Loin de ces performances technologiques, un amateur peut déjà trouver un matériel à un prix accessible et qui lui permettra d’obtenir des images de bonne qualité. La surveillance de ses voisins ou de ses concurrents par le ciel est devenue réalité.
La légalité d’une telle démarche ne change pas de celle qui prévaut en matière de vidéosurveillance classique. Les personnes filmées doivent y consentir (ce qui implique d’avoir été informé préalablement) et l’atteinte à la sphère privée des personnes filmées doit être proportionnée par rapport au but poursuivi. Dans certains cas précis, par exemple à des fins de sécurité, il sera possible de passer outre le consentement des personnes filmées en invoquant des intérêts prépondérants. N’empêche que souvent la surveillance sera illégale et restera inaperçue, donc impunie.
Le droit civil et de la protection des données permettent de faire cesser une atteinte illicite et une plainte pénale peut être déposée pour violation du domaine privé au moyen d’un appareil de prise de vues. Voilà pour la théorie, mais dans la pratique le jouet se transforme rapidement en un espion discret, peu coûteux et peu capricieux, contre lequel il est difficile de lutter. Au moins tant et aussi longtemps que le législateur ne le soumettra pas à autorisation, autorisation qui devrait aussi porter sur le but de leur utilisation.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.
Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.
Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.
L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
6e conférence «Computers, Privacy and Data Protection» à Bruxelles 28 janvier 2013
Posted by Sylvain Métille in Divers, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.
Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.
Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.
Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)
Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.
Des données biométriques pour contrôler l’accès aux installations sportives 21 janvier 2013
Posted by Sylvain Métille in Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique.add a comment
Les questions liées à la protection des données dans le sport ont fait l’objet de diverses attentions. Le Tribunal administratif fédéral a notamment dû traiter de la légalité d’un système biométrique pour accéder à un centre sportif et a retenu que le stockage centralisé de données biométriques était disproportionné. D’autres solutions sont néanmoins acceptables.
Plusieurs systèmes peuvent être considérés comme conformes au droit suisse et en particulier à la Loi sur la protection des données. De nombreux détails figurent dans le «Guide relatif aux systèmes de reconnaissance biométrique» du Préposé fédéral à la protection des données et à la transparence. Trois systèmes sont décrits:
1. Les données biométriques sont stockées de manière décentralisée sur un support de données qui est en possession du client concerné. Cela garantit que cette personne garde le contrôle sur ses données biométriques et que ses données ne peuvent donc pas être utilisées sans une coopération consciente de sa part. Cette variante répond le mieux aux exigences de la protection des données et c’est donc celle-ci qu’il faut préférer.
2. Les données biométriques sont stockées de manière centralisée. Elles ne peuvent cependant être rattachées à d’autres données personnelles que moyennant un code d’attribution qui est enregistré sur une carte détenue seulement par la personne concernée. Ainsi, les données biométriques sortent de leur domaine de contrôle mais, comme les références à d’autres données de la personne concernée ne peuvent pas être établies sans sa collaboration consciente, le risque d’abus s’en trouve fortement limité.
3. Les données biométriques sont stockées de manière centralisée. La référence à d’autres données personnelles n’existe pas et ne peut pas non plus être établie ultérieurement. Dans ce cas, seules des caractéristiques biométriques qui ne laissent pas de traces peuvent être utilisées (par exemple la forme des doigts, le réseau veineux du doigt, la forme de la main, mais pas les empreintes digitales. On peut en effet retrouver des empreintes digitales sur un verre, une poignée de porte, etc.). Comme il n’y a pas de référence à d’autres données personnelles, le potentiel d’abus est fortement restreint. De plus, l’utilisation de caractéristiques biométriques ne laissant pas de traces garantit que les caractéristiques biométriques ne peuvent pas être recueillies et utilisées à l’insu des personnes concernées.
Indépendamment du système choisi, les personnes concernées doivent avoir donné leur consentement (après avoir été informées de manière adéquate sur le système) et elles doivent pouvoir choisir une alternative qui n’utilise pas de caractéristiques biométriques. Ce point est particulièrement important.
Les données biométriques intégrales ne seront en outre pas conservées mais seulement les gabarits (template) nécessaires aux systèmes de reconnaissance biométrique. Ils seront au surplus conservés sous forme chiffrée.
Le Patriot Act américain permet-il d’obtenir des données en Europe ? 19 décembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
A lire un article publié récemment par CBS News la réponse serait clairement positive. Il convient toutefois de préciser le propos, un tel raccourci étant trompeur. Des chercheurs de l’Université de Amsterdam ont publié un rapport intitulé «Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act» qui a inspiré CBS.
Comme je l’avais déjà évoqué dans l’article concernant Evernote, le lieu où sont traitées des données conduit inévitablement à l’application du droit local impératif, qu’il s’agisse de normes liées à la protection des données, à la production de documents lors de procédures judiciaires ou à des demandes étatiques.
Le Patriot Act n’est pas responsable de tous les maux
Bien que très régulièrement cité, le USA Patriot Act (abréviation de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, soit la loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) n’est pas la loi qui met en danger les droits des européens. Le Patriot Act n’est pas une loi en tant que telle mais uniquement une série de modifications de lois existant déjà avant son adoption en 2001 (Electronic Communications Privacy Act, Computer Fraud and Abuse Act, Foreign Intelligence Surveillance Act, Family Educational Rights and Privacy Act, Money Laundering Control Act, Bank Secrecy Act, Right to Financial Privacy Act, Fair Credit Reporting Act, Immigration and Nationality Act, Victims of Crime Act of 1984, Telemarketing and Consumer Fraud and Abuse Prevention Act). Pour les non-résidents U.S., c’est en particulier le Foreign Intelligence Surveillance Act (FISA, la loi de surveillance d’intelligence étrangère) qui est le plus important.
Ce n’est donc pas tant le USA Patriot Act mais d’autres lois américaines qui peuvent permettre, cas échéant, d’accéder aux données européennes.
Des données qui ne sont pas exclusivement européennes
L’élément déterminant est que les données présentées comme européennes ne le sont pas tant que cela. Plus précisément, même si les données concernent des résidents européens (et sont soumises au droit européen), le fait de les faire héberger dans le cloud par une entreprise américaine (comme Amazon, Apple, Google, Microsoft,…) ou sur des serveurs situés aux USA crée un rattachement au droit américain.
En droit américain, le 4e amendement (que l’on peut considérer comme la norme constitutionnelle protégeant la sphère privée contre les demandes étatiques) ne s’applique qu’aux résidents U.S. Les étrangers ne peuvent pas l’invoquer et la loi FISA donne des pouvoirs assez larges d’enquête aux autorités. De manière générale, les exigences procédurales à respecter par la police ou les services de renseignement pour obtenir des informations ne sont pas très élevées.
Une situation logique aux conséquences désagréables
Je doute que l’on puisse blâmer un pays de vouloir appliquer son droit national à l’activité qui a lieu sur son territoire et aux entreprises qui ont leur siège dans son pays. Un pays européen ne peut pas à la fois reprocher aux Etats-Unis de vouloir que Google transmette des données en application du droit américain et simultanément vouloir que Google respecte le droit dudit pays européen en matière de traitement des données pour les services qu’il y propose.
Il ne fait en revanche aucun doute qu’il en résulte un sérieux problème que des données devant être protégées au regard du droit européen puisse ne plus l’être au regard du droit américain. Il s’agit là de la responsabilité de celui qui traite les données (maître du fichier ou data controller) d’évaluer les risques et de s’assurer qu’il utilise une infrastructure qui ne mette pas en péril les données traitées.
Lorsque le traitement de données est effectué par une entreprise privée, le contrat qui la lie au sujet des données prévoit que ce dernier autorise un traitement à l’étranger avec les conséquences qui en découle. La question est surtout de déterminer si le sujet qui y a consenti était réellement en mesure d’en comprendre les conséquences et de donner valablement son consentement.
Lorsqu’il s’agit de données traitées par une entité publique (école, administration, etc.), le rapport entre le sujet des données et l’entité en question découle généralement de la loi et il est plutôt rare qu’elle autorise ladite entité à « exposer » les données aux conditions d’un droit étranger. C’est pourtant ce qui arrive si des fournisseurs de services étrangers sont utilisés. Il faut toutefois traiter différemment des données qui ne sont pas des données personnelles (par exemple le catalogue d’une bibliothèque) des données personnelles (liste des utilisateurs de la bibliothèque ou données des passeports biométriques, etc.). Plus les données sont sensibles, plus le confort de l’utilisation d’une solution de type cloud doit être examinée sérieusement. Des solutions sur mesure existent (avec des limitations géographiques, etc.) mais le coût ou le confort d’utilisation peuvent être très différents.
Indépendamment du risque que peut représenter le gouvernement américain, il n’est pas inutile de se demander aussi si il est vraiment raisonnable de concentrer le stockage de données en mains d’une ou deux entreprises (qui ont, si pas légalement, au moins matériellement, accès à toutes les données de très nombreux utilisateurs autour du globe).
Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012
Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.add a comment
Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.
La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.
La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.
L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.
Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.
De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.
L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).
Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).
Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.
Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.
Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.
Surveillance d’employés par le service informatique: les règles à suivre 4 septembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.add a comment
Alors que des fonctionnaires et magistrats jurassiens consultaient des sites Internet non-professionnels, le service informatique de l’Etat a mis en place des mesures de surveillance informatique qui se sont avérées être clairement illégales. Aucune infraction pénale n’a été constatée en lien avec la consultation des sites Internet, mais des mesures administratives ont été prononcées. La question de la légalité de la surveillance n’a guère été abordée, quand bien même elle est déterminante et aurait pu conduire également à des sanctions.
La Commission cantonale à la protection des données a rendu une décision récemment dans cette affaire dite du «Pornogate». J’ai analysé cette décision dans un article paru dans la revue Jusletter intitulé «Les enseignements à tirer de la surveillance illicite de magistrats et fonctionnaires par un service informatique, commentaire de l’affaire jurassienne du Pornogate». Au-delà de l’affaire jurassienne, cet article décrit également la procédure à suivre dans un tel cas et surtout les mesures qui devraient être prises préalablement à la survenance de tout comportement nécessitant une surveillance. Ces mesures devraient prendre la forme d’une loi pour le secteur public, alors qu’un règlement de travail ou des directives internes suffisent pour le secteur privé.
