jump to navigation

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Applications mobiles, profilage, mise en œuvre coordonnée, transparence et «webtracking» 3 octobre 2013

Posted by Sylvain Métille in Informatique, Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique, USA.
1 comment so far

La 35e Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée s’est tenue à Varsovie (Pologne) du 23 au 26 septembre 2013. En plus de la traditionnelle partie réservée aux commissaires (préposés) nationaux à la protection des données, il y avait une partie publique ouverte à tous les professionnels du domaine. Cette année, les principaux thèmes abordés étaient «les réformes dans le monde entier: l’interopérabilité entre les régions», «protections des données et technologie» et «les principaux acteurs: perspectives, rôles, intérêts».

A l’issue de la partie réservée aux gouvernements, plusieurs résolutions ont été acceptées, notamment:

  • une résolution sur les applications mobiles: les commissaires ont souligné l’importance pour les consommateurs de rester maîtres de leurs données et leur intention de faire de ce sujet une priorité pour l’année à venir. La résolution insiste également sur l’information qui doit être fournie à l’utilisateur avant que la collecte des données ne commence, la possibilité de ne partager que certaines informations, l’absence de fonctions cachées, le rôle et la responsabilité des fournisseurs de plateformes.
  • Une résolution sur le profilage: les commissaires demandent que le profilage soit limité dans son principe, dans la quantité de données utilisées et les buts visés, que les algorithmes utilisés soient continuellement vérifiées et améliorés, que les droits d’accès et de correction soient assurés et en particulier qu’un contrôle humain existent lorsque le profilage a ensuite des effets sur les êtres humains et qu’une surveillance appropriée soit mise en place.
  • Une résolution sur la coordination internationale des enquêtes et sanctions. Cela doit aboutir à un accord cadre pour la prochaine conférence, ainsi que la mise en place d’une plateforme sécurisée permettant aux différentes autorités d’échanger des informations. Dans l’intervalle, les commissaires encouragent déjà la coopération dans des cas concrets.
  • Une résolution sur l’inscription de la protection des données et de la protection de la sphère privée dans le droit international : les commissaires demandent aux gouvernements de soutenir l’adoption d’un protocole additionnel à l’art. 17 de la convention sur les droits civils et politiques dans le but d’avoir un standard applicable globalement qui reposerait sur le principe de la base légale. (La FTC américaine s’est abstenue de voter cette résolution.)
  • Une résolution sur la transparence qui insiste sur l’importance de donner les buts dans lesquelles les données sont utilisées, l’identité et les moyens de contacter le responsable, et le fait que ces informations et les politiques de confidentialités doivent être rédigés dans un langage clair et compréhensible, dans un format accessible. Les commissaires encouragent également les organisations privées comme les gouvernements à faire preuve de transparence sur les pratiques de collection et d’utilisation de données, ainsi qu’à recourir à des certifications. (La FTC américaine s’est abstenue de voter cette résolution en tant qu’elle concerne le secteur public pour lequel elle n’a pas de compétence.)
  • Une résolution sur le traçage sur le web: les commissaires encouragent les sociétés concernées à ne pas utiliser les données dans un but autre que celui annoncé, informer de manière transparente et donner le contrôle à l’utilisateur des éléments de traçage, n’utiliser des éléments invisibles et empreintes que pour des questions de sécurité et détection des fraudes, ne pas tracer les enfants et les sites qui leurs sont destinés, utiliser le principe de privacy by design, anonymiser / pseudonimiser les données et promouvoir des standards techniques tel que Do-Not-Track. (Les autorités slovène et française se sont abstenue de voter cette résolution.)

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: Droit suisse de la protection des données et flux transfrontières de données (JICLT) 28 mai 2013

Posted by Sylvain Métille in Protection des données, Publications, Sphère privée, Suisse, USA.
add a comment

L’article intitulé «Swiss Information Privacy Law and the Transborder Flow of Personal Data» (Droit suisse de la protection des données et flux transfrontières de données) a été publié il y a quelques semaines dans le Journal of International Commercial Law and Technology, Vol 8, No 1 (2013), une revue juridique librement accessible éditée par l’International Association of IT Lawyers (IAITL) dans le but d’améliorer la compréhension du droit international commercial et des technologies.

Cet article rédigé en anglais présente les règles principales en matière de protection des données en applicables en Suisse et en particuliers celles qui concernent la transmission de données à l’étranger, de même que la possibilité d’utiliser l’accord dit de «sphère de sécurité» (Safe Harbor) lorsque les données sont exportées aux USA.

Protection des données: lobbyistes, on vous a à l’œil ! 27 mars 2013

Posted by Sylvain Métille in Divers, Humeur, Logiciel, Protection des données, Sphère privée, Surveillance, USA.
1 comment so far

L’Union européenne a entamé le processus de réforme de sa législation en matière de protection des données. Au début de l’année 2012, la Commission européenne a présenté un projet de Règlement général sur la protection des données qui s’appliquera à toutes les données personnelles traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens.

Le Règlement aura donc un impact direct sur les géants de l’Internet, dont certains sont déjà visés par des procédures dans plusieurs pays européens (on pense notamment à Facebook en Irlande ou Google en France). Il n’en fallait pas moins pour aiguiser les ardeurs des lobbyistes et l’on a rapidement vu un certain nombre d’Américains s’ajouter à ceux qui sont habituellement présents à Bruxelles. Mais ne jetons pas la pierre aux Américains, car les intérêts européens sont également représentés à Washington.

On trouve des entreprises américaines qui veulent empêcher toute limitation européenne à leurs activités actuelles, des organisations américaines de défense de la sphère privée qui soutiennent les mesures protectrices en Europe (et espèrent un effet direct ou indirect aux USA), des Européens (y compris au plus haut niveau politique) qui tentent de obtenir du gouvernement américain qu’il limite ses droit d’accès aux données européennes. Ou encore des entreprises européennes qui souhaitent moins de restrictions et tentent de trouver un appui dans ce sens aux USA.

Les lobbyistes ont largement dépassé le stade de simples discussions de couloirs et deviennent de plus en plus efficaces et influents, ressemblant parfois de manière troublante à des secrétaires parlementaires. Pour mesurer leur influence réelle, une plate-forme participative en ligne, Lobbyplag, compare les propositions des groupes d’intérêts et les amendements au projet de Règlement demandés par les parlementaires dans les différents comités actuellement saisis du projet.

Si l’idée même que l’industrie influence l’élaboration d’une loi n’est pas nouvelle, les ressemblances sont plus que troublantes et il peut être intéressant de savoir qui soutient quoi et par quel biais. En utilisant des données librement accessibles (Open Data) et un financement participatif (crowdfunding), Lobbyplag est un exemple de l’utilisation de moyens informatiques pour renforcer la transparence dans la démocratie. Et prouver que protection des données et transparence peuvent cohabiter !

Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».

Respecter la loi sur la protection des données ne suffit plus! 13 février 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.
2 comments

Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.

En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.

Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.

Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.

Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).

Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants,  de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.

Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.

6e conférence «Computers, Privacy and Data Protection» à Bruxelles 28 janvier 2013

Posted by Sylvain Métille in Divers, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.

Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.

Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.

Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)

Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 648 followers