jump to navigation

Un moteur de recherche est un responsable de traitement (maître de fichier) 20 mai 2014

Posted by Sylvain Métille in Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA.
add a comment

Après avoir annulé la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) vient de rendre une nouvelle décision importante en matière de protection des données (arrêt de la Cour du 13 mai 2014 dans l’affaire C‑131/12, Google Spain SL et Google Inc. Contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González).

La Cour devait répondre à des questions soumises par une autorité judiciaire espagnole, qui elle-même avait à traiter de la demande d’un citoyen Espagnol qui exigeait qu’un journal local et Google retirent les liens vers deux pages sur lesquelles figurait une annonce, mentionnant son nom pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale. Cette saisie était conforme à la réalité au moment de la parution de l’annonce en 1998, mais elle a maintenant été réglée.

Un moteur de recherche est un responsable de traitement
Pour la Cour, il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Il s’agit chaque fois d’un traitement de données au sens de la directive 95/46/CE. La CJUE avait d’ailleurs déjà retenu dans un arrêt Lindqvist (C‑101/01) que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement de données. Que les données aient déjà fait l’objet d’une publication sur Internet et ne soint pas modifiées par le moteur de recherche n’y change rien. On a donc deux responsables de traitement (ou responsable de fichier pour reprendre la terminologie du droit suisse) étant donné qu’il y a deux traitements différentes: celui effectué dans le cadre de l’activité du moteur de recherche et celui effectué par l’éditeur du site web (où les données sont hébergées la première fois).

La CJUE a également insisté sur le rôle décisif des moteurs de recherche qui rendent accessibles aux internautes des données qu’ils n’auraient pas trouvées autrement. L’aperçu structuré des résultats constitue en outre un profil plus ou moins détaillé de la personne concernée.

Ce raisonnement doit être suivi car un moteur de recherche fait généralement bien plus que reprendre des liens sans aucune maîtrise sur leur contenu (comme cela a pourtant parfois pu être admis). Et quand bien même ce serait le cas, l’agrégation et la mise en structure de ces données constituent un traitement de données, puisque le simple affichage de données personnelles sur une page de résultats d’une recherche est déjà un traitement de telles données.

Le rattachement territorial
Le moteur de recherche est exploité par Google Inc. (USA), la société-mère du groupe. Le groupe Google a recours à sa filiale espagnole pour la promotion des ventes d’espaces publicitaires générés sur le site web www.google.com et elle a désigné auprès de l’AEPD cette filiale comme responsable du traitement de fichiers enregistrés par Google Inc.

Pour la CJUE, Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’un établissement stable en Espagne. Il n’est pas nécessaire que le traitement de données soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci. En l’espèce, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement sont indissociablement liées. Cette approche n’est pas nouvelle et le Tribunal fédéral suisse avait déjà appliqué un raisonnement similaire dans l’affaire Google Street View.

Le droit à l’oubli
La Cour n’apporte pas vraiment de réponses sur la question du droit à l’oubli et ses limites. Elle rappelle que chacun peut obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement viole la personnalité en raison du caractère incomplet ou inexact des données.

Même un traitement initialement licite de données exactes peut devenir, avec le temps, illicite lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. Le traitement doit évidemment être licite durant toute la période pendant laquelle il est effectué.

Il n’y a toutefois pas de réponse absolue sur la portée du droit à l’oubli et même si en règle générale la protection des données doit prévaloir, il se peut que la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information puisse renverser la balance.

En Suisse, Le Tribunal administratif fédéral (TAF) avait retenu au contraire en 2008 (ATAF208/16) que la fonction du registre du commerce s’opposait au droit à l’oubli, au vu de l’intérêt public prépondérant à la publicité de ces informations, même longtemps après leur parution dans la Feuille officielle suisse du commerce. Le TAF avait également souligné que la limite de temps imposée aux recherches en ligne dans la Feuille officielle ne s’appliquait pas au sites privés. Cet intérêt presque perpétuel retenu par le TAF tranche singulièrement avec l’approche de la CJUE qui considère que des informations liées à une saisie 16 ans auparavant ne sont plus pertinentes au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche et doivent être effacées.

Les motifs justificatifs
Il faut procéder à une pesée d’intérêts entre l’intérêt de la personne à la suppression de ses données et un intérêt légitime du moteur de recherche à les traiter.

La CJUE souligne que l’atteinte se trouve démultipliée en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne (caractère ubiquitaire des informations contenues dans une liste de résultats) et que les données peuvent être répliquées facilement sur d’autres sites web (y compris dans des pays n’offrant pas les mêmes garanties légales). Les motifs justificatifs qui profitent à l’éditeur d’une page web ne sont pas forcément valables pour le moteur de recherche. L’inclusion dans la liste de résultats affichés à la suite d’une recherche effectuée à partir du nom d’une personne est susceptible de constituer une atteinte plus grande que la publication par l’éditeur de cette page web.

L’exploitant d’un moteur de recherche peut donc être obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même si le nom ou ces informations ne sont pas effacés de ces pages web elle-même (y compris lorsque cette publication-là serait licite).

Les conséquences concrètes
La CJUE a affirmé le rôle de responsable de traitement (maître du fichier) du moteur de recherche et son obligation de respecter les normes de protection des données. Il ne peut plus prétendre à un statut d’hébergeur sans maîtrise du contenu, ce qui pourrait le disculper lors de l’application d’autres normes juridiques. Dans le même ordre d’idées, le Tribunal fédéral a rappelé que toute personne qui participe à l’atteinte peut être tenu de la faire cesser (en cessant sa participation), même s’il n’en est pas à l’origine ni n’a commis aucune faute.

Un moteur de recherche ne pourra désormais plus présumer qu’il effectue un traitement licite de données par ce que les données personnelles proviennent d’autres sites. Il devra aussi donner suite aux demandes qui lui sont adressées au-cas par cas et vérifier s’il y a des motifs suffisants pour justifier son traitement ou s’il doit supprimer le contenu.

Reste encore la question la plus intéressante (et celle à laquelle la CJUE n’a que peu répondu), qui est celle de savoir dans quelle mesure le droit à l’oubli peut permettre à chacun de demander la suppression d’informations  (et après combien de temps), voire  si celui qui traite des données doit en tenir compte spontanément et supprimer certaines données (lesquelles ?).

Mises à jour 30 mai et 24 juillet 2014
Google et Bing ont mis en ligne des formulaires de demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données. A noter que la Suisse figure parmi les pays concernés.

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Applications mobiles, profilage, mise en œuvre coordonnée, transparence et «webtracking» 3 octobre 2013

Posted by Sylvain Métille in Informatique, Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique, USA.
1 comment so far

La 35e Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée s’est tenue à Varsovie (Pologne) du 23 au 26 septembre 2013. En plus de la traditionnelle partie réservée aux commissaires (préposés) nationaux à la protection des données, il y avait une partie publique ouverte à tous les professionnels du domaine. Cette année, les principaux thèmes abordés étaient «les réformes dans le monde entier: l’interopérabilité entre les régions», «protections des données et technologie» et «les principaux acteurs: perspectives, rôles, intérêts».

A l’issue de la partie réservée aux gouvernements, plusieurs résolutions ont été acceptées, notamment:

  • une résolution sur les applications mobiles: les commissaires ont souligné l’importance pour les consommateurs de rester maîtres de leurs données et leur intention de faire de ce sujet une priorité pour l’année à venir. La résolution insiste également sur l’information qui doit être fournie à l’utilisateur avant que la collecte des données ne commence, la possibilité de ne partager que certaines informations, l’absence de fonctions cachées, le rôle et la responsabilité des fournisseurs de plateformes.
  • Une résolution sur le profilage: les commissaires demandent que le profilage soit limité dans son principe, dans la quantité de données utilisées et les buts visés, que les algorithmes utilisés soient continuellement vérifiées et améliorés, que les droits d’accès et de correction soient assurés et en particulier qu’un contrôle humain existent lorsque le profilage a ensuite des effets sur les êtres humains et qu’une surveillance appropriée soit mise en place.
  • Une résolution sur la coordination internationale des enquêtes et sanctions. Cela doit aboutir à un accord cadre pour la prochaine conférence, ainsi que la mise en place d’une plateforme sécurisée permettant aux différentes autorités d’échanger des informations. Dans l’intervalle, les commissaires encouragent déjà la coopération dans des cas concrets.
  • Une résolution sur l’inscription de la protection des données et de la protection de la sphère privée dans le droit international : les commissaires demandent aux gouvernements de soutenir l’adoption d’un protocole additionnel à l’art. 17 de la convention sur les droits civils et politiques dans le but d’avoir un standard applicable globalement qui reposerait sur le principe de la base légale. (La FTC américaine s’est abstenue de voter cette résolution.)
  • Une résolution sur la transparence qui insiste sur l’importance de donner les buts dans lesquelles les données sont utilisées, l’identité et les moyens de contacter le responsable, et le fait que ces informations et les politiques de confidentialités doivent être rédigés dans un langage clair et compréhensible, dans un format accessible. Les commissaires encouragent également les organisations privées comme les gouvernements à faire preuve de transparence sur les pratiques de collection et d’utilisation de données, ainsi qu’à recourir à des certifications. (La FTC américaine s’est abstenue de voter cette résolution en tant qu’elle concerne le secteur public pour lequel elle n’a pas de compétence.)
  • Une résolution sur le traçage sur le web: les commissaires encouragent les sociétés concernées à ne pas utiliser les données dans un but autre que celui annoncé, informer de manière transparente et donner le contrôle à l’utilisateur des éléments de traçage, n’utiliser des éléments invisibles et empreintes que pour des questions de sécurité et détection des fraudes, ne pas tracer les enfants et les sites qui leurs sont destinés, utiliser le principe de privacy by design, anonymiser / pseudonimiser les données et promouvoir des standards techniques tel que Do-Not-Track. (Les autorités slovène et française se sont abstenue de voter cette résolution.)

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: Droit suisse de la protection des données et flux transfrontières de données (JICLT) 28 mai 2013

Posted by Sylvain Métille in Protection des données, Publications, Sphère privée, Suisse, USA.
add a comment

L’article intitulé «Swiss Information Privacy Law and the Transborder Flow of Personal Data» (Droit suisse de la protection des données et flux transfrontières de données) a été publié il y a quelques semaines dans le Journal of International Commercial Law and Technology, Vol 8, No 1 (2013), une revue juridique librement accessible éditée par l’International Association of IT Lawyers (IAITL) dans le but d’améliorer la compréhension du droit international commercial et des technologies.

Cet article rédigé en anglais présente les règles principales en matière de protection des données en applicables en Suisse et en particuliers celles qui concernent la transmission de données à l’étranger, de même que la possibilité d’utiliser l’accord dit de «sphère de sécurité» (Safe Harbor) lorsque les données sont exportées aux USA.

Protection des données: lobbyistes, on vous a à l’œil ! 27 mars 2013

Posted by Sylvain Métille in Divers, Humeur, Logiciel, Protection des données, Sphère privée, Surveillance, USA.
1 comment so far

L’Union européenne a entamé le processus de réforme de sa législation en matière de protection des données. Au début de l’année 2012, la Commission européenne a présenté un projet de Règlement général sur la protection des données qui s’appliquera à toutes les données personnelles traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens.

Le Règlement aura donc un impact direct sur les géants de l’Internet, dont certains sont déjà visés par des procédures dans plusieurs pays européens (on pense notamment à Facebook en Irlande ou Google en France). Il n’en fallait pas moins pour aiguiser les ardeurs des lobbyistes et l’on a rapidement vu un certain nombre d’Américains s’ajouter à ceux qui sont habituellement présents à Bruxelles. Mais ne jetons pas la pierre aux Américains, car les intérêts européens sont également représentés à Washington.

On trouve des entreprises américaines qui veulent empêcher toute limitation européenne à leurs activités actuelles, des organisations américaines de défense de la sphère privée qui soutiennent les mesures protectrices en Europe (et espèrent un effet direct ou indirect aux USA), des Européens (y compris au plus haut niveau politique) qui tentent de obtenir du gouvernement américain qu’il limite ses droit d’accès aux données européennes. Ou encore des entreprises européennes qui souhaitent moins de restrictions et tentent de trouver un appui dans ce sens aux USA.

Les lobbyistes ont largement dépassé le stade de simples discussions de couloirs et deviennent de plus en plus efficaces et influents, ressemblant parfois de manière troublante à des secrétaires parlementaires. Pour mesurer leur influence réelle, une plate-forme participative en ligne, Lobbyplag, compare les propositions des groupes d’intérêts et les amendements au projet de Règlement demandés par les parlementaires dans les différents comités actuellement saisis du projet.

Si l’idée même que l’industrie influence l’élaboration d’une loi n’est pas nouvelle, les ressemblances sont plus que troublantes et il peut être intéressant de savoir qui soutient quoi et par quel biais. En utilisant des données librement accessibles (Open Data) et un financement participatif (crowdfunding), Lobbyplag est un exemple de l’utilisation de moyens informatiques pour renforcer la transparence dans la démocratie. Et prouver que protection des données et transparence peuvent cohabiter !

Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».

Respecter la loi sur la protection des données ne suffit plus! 13 février 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.
2 comments

Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.

En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.

Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.

Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.

Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).

Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants,  de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.

Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 700 autres abonnés