jump to navigation

Rapport 2014 du préposé fédéral à la protection des données 4 août 2014

Posted by Sylvain Métille in Jurisprudence, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié son 21e rapport d’activité. Pour rappel, le PFPDT c’est une équipe d’un peu moins de 30 personnes (équivalents plein temps), qui s’occupe principalement de protection des données (et dans une moindre mesure des questions de transparence) et en particulier du conseil et de la surveillance des organes fédéraux et des personnes privées, de la collaboration avec ses homologues étrangers, de la tenue du registre des fichiers ainsi que de la prise de position sur les projets législatifs fédéraux. Chaque canton a un préposé cantonal en charge de surveiller le traitement des données par son administration.

Vu les ressources et surtout les pouvoirs de contrainte limités du PFPDT (il ne peut pas imposer d’amende comme dans d’autres pays ni interdire le traitement de données sans devoir défendre sa recommandation devant un tribunal), l’essentiel de l’activité consiste en l’information des personnes privées et l’adoption de recommandations et conseils aux responsables de traitement de données. Il a ainsi développé un outil d’analyse d’impact relative à la protection des données qui offre un questionnaire qui évolue de manière dynamique en fonction des réponses déjà apportées (1.8.8).

Le numéro AVS à 13 chiffres
L’utilisation du numéro AVS (NAVS13) dans des domaines variés est un risque important pour la protection de la sphère privée. Le PFPDT a ainsi proposé d’utiliser seulement un numéro sectoriel calculé sur la base du NAVS13 (numéro AVS haché) pour la perception de la redevance radio-télé (1.2.8). Cette conversion au moyen d’une fonction unidirectionnelle permettrait de ne plus déterminer le numéro d’origine, ce qui réduirait considérablement le problème de l’interconnexion de différentes banques de données.

Il a également obtenu dans le cadre du projet de loi fédérale sur le dossier électronique du patient (LDEIP), qu’on recourt à l’utilisation comme identifiant du patient d’un numéro aléatoire, généré et géré par la Centrale de compensation (CdC), au lieu du numéro AVS. L’utilisation du numéro AVS dans le cadre du registre du commerce inquiète également le PFPDT (1.8.4).

Clients et secteur du travail
Dans le secteur du travail, le PFPDT a élaboré un feuillet thématique expliquant la démarche à suivre pour les banques souhaitant communiquer des données personnelles dans le cadre du différend fiscal (1.7.1).

Il a également ouvert une procédure d’éclaircissement des faits auprès de la Poste Suisse suite à la plainte d’un syndicat concernant les enregistrements téléphoniques des collaborateurs du service clientèle. Il est arrivé à la conclusion que les prescriptions en matière de protection des données, notamment l’information aux collaborateurs et la proportionnalité des processus de contrôle, étaient respectées. Il semble en revanche que toutes les caisses de pension n’ont pas tiré les conséquences de la décision du TAF qui leur interdit de transmettre les certificats de prévoyance à l’employeur (1.7.4).

Le PFPDT s’est aussi penché sur un système d’accueil destiné au marché hôtelier de luxe, collectant les mouvements et les préférences des clients à l’aide de la technologie RFID. Un tel profilage nécessite une information préalable des personnes concernées ainsi que leur consentement explicite et une alternative doit être proposée (1.8.9). Des contrôles sont encore en cours concernant l’utilisation plus classique de cartes-clients (1.8.2).

S’agissant des cartes de paiement sans contact, le PFPDT regrette une absence de choix du consommateur et appel le secteur bancaire à permettre au client de refuser cette technologie (1.9.2).

Le droit à l’oubli
Bien que l’existence du droit à l’oubli a été rappelé par la Cour de justice de l’Union européenne récemment, le projet de loi sur la modernisation du registre du commerce ne prévoit pas d’interdire la libre consultation des données du registre du commerce sur Internet après une certaine période (1.8.4). Dans ce domaine, il faut relever que le PFPDT est en train d’examiner les différents traitements de données effectués par la société Itonex SA (qui gère le site Moneyhouse) (1.8.5).

L’archivage numérisé d’articles journalistiques constitue un traitement de données personnelles et doit être légitimé par un motif justificatif, en principe par un intérêt public prépondérant. Il s’agit donc essentiellement d’une question de proportionnalité. Le principe de proportionnalité requiert que les données personnelles soient effacées ou rendues anonymes après un certain délai, dans la mesure où leur conservation n’est plus justifiée. Il faut procéder à une pesée d’intérêts et mettre en balance, d’une part, l’intérêt de l’individu à l’effacement de ses données personnelles des archives numériques d’un journal ou de son intérêt au retrait de l’indexation dans les moteurs de recherche, et d’autre part, l’intérêt public à la conservation des données dans les archives numériques ou dans les moteurs de recherche (1.3.5).

Vidéosurveillance
En matière de vidéosurveillance à des fins de recherches (1.2.2), le PFPDT a précisé les conditions d’information préalable. Si une telle information n’est pas envisageable, les images ne devront alors pas être publiées, où seulement d’une manière à ce que les personnes ne soient pas reconnaissables.

Quant à la question de la transmission d’images vidéos à une autorité pénale, le PFPDT considère qu’elle est justifiée et légale lorsqu’elle repose sur une décision (1.2.3). Cet avis, s’il pourra souvent être suivi, n’est pas absolu. Selon le type de vidéosurveillance, l’utilisation des images à des fins pénales pourrait être contraire au but dans lequel les données ont été traitées et les preuves pourraient être illégales. L’autorité fribourgeoise de protection des données a d’ailleurs récemment refusé la transmission des images d’une caméra de surveillance du trafic à une assurance en responsabilité civile.

Le PFPDT s’est encore prononcé sur les possibilités de partage d’informations entre des boîtes de nuits concernant les clients interdits et la manière dont une entreprise qui travaillerait pour plusieurs établissements doit séparer les informations (1.2.4).

Il a par ailleurs obtenu l’ajout dans la loi sur les systèmes d’information de la Confédération dans le domaine du sport de l’exigence du consentement du sportif concerné avant la communication de données et de résultats du diagnostic de performance (1.2.9).

Cookies et webtracking
Comme la plupart du temps les internautes ne se rendent pas compte de la présence de cookies et autres traceurs, il y a en règle générale une violation des droits de la personnalité des personnes concernées.

Un principe fondamental pour l’exploitant du site web lors de l’utilisation du webtracking est le principe de la transparence: cela signifie que l’exploitant du site web doit informer en détail les visiteurs du fait qu’il utilise des outils de webtracking et les possibilités qu’a un visiteur de s’y opposer. Etant donné que le webtracking est généralement utilisé pour créer des profils de la personnalité, ceci requiert le consentement explicite du visiteur du site avant de pouvoir collecter des données. Si le site web intègre des plugins sociaux, il faut utiliser une solution dite «à deux clics».

Les chiffres entre parenthèse font référence aux chapitres du rapport.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Le problème, ce n’est pas les drones! 6 novembre 2013

Posted by Sylvain Métille in Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Plusieurs médias se sont fait récemment l’écho de l’utilisation prochaine de drones par le Service de renseignement civil de la Confédération (SRC). Il risque pourtant d’y avoir encore un long chemin jusque-là et même si les drones sont relativement nouveaux en Suisse, ce n’est pas le principal changement à être au programme.

L’avant-projet de loi fédérale sur le renseignement (LRens) a été mis en consultation se printemps. La LRens s’appliquera dans des situations où aucun procédure pénale n’est en cours (parce qu’aucune infraction n’a été commise ou est en cours de commission). Au niveau des mesures de surveillance et de recherches d’informations, il prévoit deux nouveautés par rapport au droit actuel: la possibilité pour le SRC de faire des enregistrements vidéos et audios, de surveiller la correspondance postale et les télécommunications, utiliser des balises GPS, des chevaux de Troie et effectuer des perquisitions informatiques. Ce genre de mesures avait été clairement rejeté par le parlement fédéral dans le cadre des projets de révision de loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (en particulier le projet LMSI II).

Enregistrements audios et vidéos
La LRens permettra certes d’embarquer des caméras sur des drones, mais cela ne se limitera pas à des drones: la vraie nouveauté est que le SRC pourra utiliser des micros et des caméras dans n’importe quel espace public, sans aucun contrôle judiciaire. Le SRC pourrait procéder sans aucune autorisation à des enregistrements vidéos et audios dans les lieux publics (art. 12). Il aura en revanche besoin d’une autorisation judiciaire et politique pour de tels enregistrements dans des espaces privés ainsi que pour les mesures de surveillance de la correspondance postale et des télécommunications, l’utilisation de balises GPS, de chevaux de Troie, et des perquisitions informatiques (art. 22ss).

A titre de comparaison, dans le cas d’une enquête pénale faisant suite à la commission (avérée) d’une infraction pénale, la demande du procureur doit être validée par le tribunal des mesures de contraintes (une autorité judiciaire indépendante) avant qu’une caméra ne puisse être utilisée.

Le projet de LRens devrait être transmis prochainement au Parlement qui devra alors décider s’il autorise l’utilisation de moyens invasifs, parfois même plus invasifs que ce qui est admis dans le cadre d’enquêtes pénales, ou s’il continue à s’opposer à la surveillance préventive demandée par le Conseil fédéral.

Pour aller plus loin:
Projet de Loi fédérale sur le Service de renseignement civil (loi sur le renseignement; LRens)

Rapport sur les résultats de la procédure de consultation

20e rapport d’activités du Préposé PFPDT 2012/2013 10 juillet 2013

Posted by Sylvain Métille in Informatique, Jurisprudence, Localisation, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.
add a comment

Conformément à l’art. 30 LPD, le Préposé fédéral à la protection des données et à la transparence a fourni son rapport à l‘Assemblée fédérale. Le 20e Rapport d’activités (2012/2013)  couvre la période du 1er avril 2012 au 31 mars 2013. On y trouve les principaux cas dont le Préposé a eu à traiter par exemple:

  • La présence de caméras de surveillance dans les vestiaires et toilettes de centres de loisirs: des caméras ne peuvent être installées que si leur champ de vision n’englobe pas toute la surface et que les utilisateurs ont la possibilité de se changer à l’abri des regards (par exemple dans cabines individuelles). Les espaces filmés et non filmés doivent être clairement reconnaissables.
  • La conservation par les CFF de données concernant des voyageurs sans titre de transports datant de 1999 et 2000, alors que la conservation n’était prévue que pour deux ans.
  • Le manque de consentement au traitement des données lors de manifestations sportives de masse: le consentement comme condition ne participation est excessif et ne respecte pas la LPD.
  • Dans le domaine sportif toujours, l’entrée en vigueur de la Loi sur l’encouragement du sport (LESp) permet le traitement des données dans le cadre de la lutte contre le dopage (le consentement des sportifs n’était jusqu’alors généralement pas recueilli de manière valable puisqu’il n’était pas donné de plein gré et avec une information suffisante). En revanche, et comme pour toutes les données, un transfert à l’étranger n’est possible que si des garanties spécifiques existent.
  • Les mises au pilori sur Internet (liste de mauvais payeurs, membres d’autorités qui rendent de mauvaises décisions, etc.): ce n’est pas parce que des données sont déjà accessibles sur Internet ou qu’il s’agit de membres d’autorités qu’elles peuvent être utilisées sans restrictions. Le Préposé a publié des Explications relatives aux mises au pilori sur Internet.
  • Les outils d’analyse d’audience sur Internet: il est recommandé aux autorités fédérales de ne pas les utiliser vu l’absence de base légale permettant de récolter de telles données et que ces données peuvent être accessibles à des autorités étrangères si elles sont traitées dans d’autres pays comme c’est le plus souvent le cas.
  • Recherche de véhicules et surveillance de la circulation automatisées: c’est au droit cantonal de prévoir les conditions auxquelles les polices cantonales peuvent y recourir.
  • Recherche médicale: le consentement des patients n’est souvent pas valablement recueilli car ils ne savent pas qu’ils ont un droit de veto, qu’ils sont insuffisamment informés ou que leur situation de santé fait qu’ils ne peuvent pas librement se décider et sont prêts n’importe quoi dans l’espoir d’une solution médicale. Le recours à des données pseudonymisées est recommandé.
  • Communication de données de collaborateurs aux autorités américaines: le Préposé admet un intérêt public à la transmission d’informations, mais il recommande une attitude transparente, soit une information préalable des personnes concernées. Il a publié des recommandations à ce sujet.
  • Analyse du panier pour les programmes de fidélisation des clients: une analyse de panier qui n’était initialement pas prévue nécessite l’accord express des clients, qui doivent être informés. La simple utilisation continue de la carte client après avoir été informé n’est pas suffisante.
  • Moneyhouse: une procédure est en cours. A titre provisoire, le Tribunal administratif fédéral a admis que Moneyhouse devait cesser la publication de données de personnes qui s’y sont opposée et doit réagir aux demandes dans un délai d’un jour ouvrable. La question de la publication des adresses et aux données n’est pas encore résolue.
  • Commerce d’adresses: l’utilisation des données provenant de demandes de permis de construire ou du registre foncier doit être conforme à son but et ne permet pas d’activités marketing.

Le rapport traite aussi des demandes d’accès en application de la Loi sur la transparence et rappelle les différentes publications du Préposé durant l’année écoulée (Explications sur la protection des données dans les bibliothèques, brochure Protection des données et de la personnalité sur le lieu de travail: un droit légitime , ainsi que les autres documents déjà mentionnés).

A la lecture de ce rapport, on peut regretter une approche souvent consensuelle et gentille, alors que l’on pourrait souhaiter parfois à une position plus forte des services du Préposé, comme c’est le cas dans d’autres pays. Le Rapport mentionne par exemple que le système de contrôle d’accès utilisé par de nombreuses stations de ski en Suisse doit faire l’objet d’améliorations au niveau de la sécurité des données, les mesures actuelles étant insuffisantes. Le Préposé a examiné avec le fabricant du système comment améliorer la sécurité des données. Une adaptation immédiate des systèmes existants n’apparaissant pas possible, le Préposé semble se contenter de l’engagement du fabricant à concevoir aussi rapidement que possible des mesures appropriées. Le Préposé avait en revanche eu une position plus ferme dans le cas de l’affaire Google Street View ou de la transmission d’informations des caisses de pension. A la décharge du Préposé, on relèvera que ses moyens d’action sont limités, en particulier le fait qu’il ne puisse pas prononcer directement de sanctions.

Voir également
le 18ème rapport d’activités (2010/2011) et le 19ème rapport d’activités (2011/2012)

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Pas de limites à la vidéosurveillance des collèges vaudois 25 avril 2013

Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Vidéosurveillance.
add a comment

La Cour de droit administratif et public du Tribunal cantonal vaudois a rendu un arrêt le 1er mars 2013 dans la cause opposant la Municipalité de Lutry au Bureau du préposé à la protection des données et à l’information.

Elle a admis le recours de la Municipalité de Lutry qui contestait les limitations imposées par le Préposé vaudois à la protection des données, en particulier l’interdiction de l’utilisation des installations de vidéosurveillance des collèges pendant les heures régulières de cours.

Pour le Tribunal cantonal, le fonctionnement 24 heures sur 24 des caméras de surveillance, dont les images sont visibles en permanence sur des écrans installés à la réception du poste de police et conservées durant 48 heures ne pose pas de problèmes. Et cela même si les élèves et enseignants ne peuvent pas éviter d’être dans le champ des caméras.

La question principale est de savoir si la vidéosurveillance respecte le principe de la proportionnalité, ce qui implique de vérifier qu’elle est apte à produire les résultats escomptés (règle de l’aptitude), que ces résultat ne peuvent pas être atteints par une mesure moins incisive (règle de la nécessité), et qu’il y ait un rapport raisonnable entre le but visé et l’atteinte à la sphère privée (proportionnalité au sens étroit).

Le Tribunal est d’abord arrivé à la conclusion que la pose des caméras permet d’atteindre un but de prévention puisque les dommages aux bâtiments et aux véhicules, les voies de fait et la consommation de stupéfiants sur les deux sites scolaires ont baissés. Il retient ensuite que ces mesures sont nécessaires également pendant les heures de cours (notamment parce que des problèmes ont eu lieu avant la pose des caméras durant les heures de cours) et que le recours à une société de surveillance (agents privés) serait plus onéreux. Finalement le Tribunal a refusé de voir une contradiction entre la mission de l’école, qui vise notamment à contribuer au développement de la personnalité des élèves, et l’instauration d’un système de vidéosurveillance permanent. Il considère que l’atteinte portée à la liberté personnelle et à la sphère privée des élèves et des enseignants doit être considérée comme légère puisque les enregistrements sont effacés après 48h. Le Tribunal conclut que la vidéosurveillance a également des effets positifs pour les utilisateurs des sites scolaires puisqu’elle tend notamment à empêcher des dommages à la propriété ou des actes de violence dont ils peuvent être victimes.

Le fait que les élèves ne soient filmés qu’à l’extérieur des bâtiments scolaires, lorsqu’ils arrivent sur le site ou le quittent ou lors des récréations, a certes un impact relatif sur l’enseignement lui-même et le développement de la personnalité de l’élève. En revanche, l’impossibilité pour un élève d’entrer et sortir du bâtiment scolaire et surtout de prendre la récréation à l’extérieur sans être filmé, constitue une atteinte qui ne doit pas être négligée. Cette atteinte est d’autant plus importante que les images sont visibles en direct, et apparemment sans limitations particulières, à la réception du poste de police.

Remplacer les caméras par les enseignants
Durant les récréations (c’est durant ces périodes que la vidéosurveillance est la plus choquante), le but visé aurait tout aussi bien pu être atteint par des enseignants, dont on ne doute pas qu’ils soient déjà présents. Dans un souci de proportionnalité, on aurait aussi pu imaginer réserver des zones sans caméras pour permettre aux élèves de prendre la pause sans être filmés et diffusés en direct à la réception du poste de police.

On peut encore regretter que le Tribunal n’ait pas traité la question sous l’angle du droit à l’enseignement de base (art. 19 Cst.) et du droit du travail, puisque l’utilisation de systèmes destinés à surveiller le comportement des employés à leur poste de travail est par principe interdit et qu’une surveillance pour des motifs de sécurité doit obéir à des conditions strictes notamment en terme de proportionnalité (voir par exemple la Directive du Secrétariat d’Etat à l’économie concernant l’Ordonnance 3 de la loi sur le travail et le Guide pour le traitement des données personnelles dans le secteur du travail du Préposé fédéral à la protection des données).

Même s’il n’y pas de recours contre cette décision, l’affaire n’est peut-être pas finie car un enseignant ou un élève pourrait engager une action à titre individuelle pour atteinte à ses droits de la personnalité et demander la mise hors service des caméras.

voir également l’article paru sur le site du magazine Bilan Des caméras dans la cour de récré.

Google Street View: l’arrêt du Tribunal fédéral qui satisfait toutes les parties 1C_230/2011 2 octobre 2012

Posted by Sylvain Métille in ATF, Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA, Vidéosurveillance.
add a comment

L’Affaire Google Street View a commencé en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) contestée par Google. Le PFPDT avait alors dû porter l’affaire devant le Tribunal administratif fédéral (TAF) contre les sociétés Google Inc. (Mountain View, USA) et Google Switzerland Sàrl (Zurich). Par arrêt du 30 mars 2011, le Tribunal administratif fédéral (TAF), avait enjoint Google de rendre l’intégralité des visages et plaques de d’immatriculation méconnaissables avant la publication des images sur Internet, au moyen d’un contrôle manuel si nécessaire. Google a recouru au Tribunal fédéral (TF) et avait même menacé de fermer le service Google Street View en Suisse (commentaire de l’arrêt du TAF ).

Le Tribunal fédéral a rendu un arrêt le 31 mai 2012 (1C_230/2011), mettant un terme définitif à cette affaire et réussissant au passage à satisfaire les deux parties. En bref, le TF donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100%. La Haute Cour admet une marge d’erreur de 1% si d’autres conditions strictes sont remplies.

Il ne s’agit donc pas d’une victoire claire de Google comme on cela pu être écrit puisque la majorité des arguments du Préposé ont été confirmés comme devant l’instance précédente, mais c’est néanmoins la possibilité pour Google de confirmer à offrir son service. C’est également la reconnaissance par le Tribunal fédéral que l’on ne peut pas exiger, même d’un géant de l’informatique une marge d’erreur égale à zéro mais qu’il convient plutôt de dreser une liste de conditions particulières à respecter pour réduire les conséquences que ces erreurs inévitables pourraient avoir.

Google Street View est soumis à la loi sur la protection des données
De manière logique le TF confirme l’application de la Loi fédérale sur la protection des données. Que les données soient traitées aux USA n’y change rien, car elles ont été enregistrées en Suisse, contiennent des informations sur des personnes et des lieux en Suisse et sont publiées de manière à être accessibles de Suisse. Le TF a ensuite confirmé Google Sàrl pouvait répondre devant un Tribunal des conséquences de Google Street View.

Sur le fonds, Google reprend d’abord l’argument qu’elle ne traitait pas de données personnelles. Les données personnelles sont les données qui permettent d’identifier précisément une personne, soit directement avec ces données, soit en les combinant avec des informations issues du contexte ou d’autres informations. Le TAF avait admis, à bon droit dit le TF, que les données d’enregistrement brutes étaient reconnaissables et devaient être considérées comme des données personnelles. Il en est de même après le traitement automatique des données puisque la procédure a démontré qu’il existait des visages ou des plaques d’immatriculation qui n’étaient pas floutés, de même que des lieux ou des personnes reconnaissables en fonction du contexte. La notion de données personnelles doit être admise également pour les signes distinctifs des voitures, les maisons, cours et jardins, qui peuvent avoir facilement un caractère personnel. Les données étant mises gratuitement à disposition du public dans toute la Suisse, une erreur de système de Google Street View est susceptible de porter atteinte à la personnalité d’un nombre important de personnes et justifie l’intervention du Préposé.

La finalité du traitement, qui doit être reconnaissable dès la collecte des données, ne peut pas être comprise par la seule vue des caméras sur une voiture ou une annonce sur une page Internet publiée une semaine à l’avance.

Le droit à l’image
Le TF rappelle que le droit de la protection des données complète et concrétise la protection de la sphère privée découlant de la Constitution et des articles 28ss du Code civil. Le droit à l’image est le droit à l’auto-détermination qui protège contre la représentation sans droit de sa propre image. C’est le droit de chacun de décider de la diffusion de sa propre photo, en particulier dans un but économique ou politique, mais également celui de s’opposer à la diffusion de photos et vidéos qui permettent d’identifier une personne. La maîtrise de ses données personnelles est garantie par le droit à l’auto-détermination informationnelle, et cela qu’il s’agisse de données sensibles ou non.

La simple prise de photos dans la rue viole déjà le droit à l’image, car des personnes peuvent être photographiées et leur image diffusée (durablement) sur Internet sans même qu’elles en aient conscience. Les possibilités techniques actuelles (zoom par exemple) font qu’une personne apparaissant comme un élément accessoire de l’image peut également être reconnaissable. La publication à grande échelle d’images de personnes ou de véhicules dans des lieux sensibles ou dans des situations désagréables peut aussi créer une représentation négative. Une différence doit d’autre part être faite entre le simple regard que pourrait jeter un passant dans une cour ou un jardin privé et la diffusion durable d’images sur Internet.

Le floutage automatique ne suffit pas à éviter une atteinte à la personnalité
La plupart des atteintes à la personnalité peuvent être évitées par la technologie de floutage automatique des visages et plaques d’immatriculation. Une amélioration de cette technologie ne suffit toutefois pas à diminuer le risque d’atteinte d’un grand nombre de personnes vu le nombre important d’images publiées. Considérant que 20 millions d’images environ sont actuellement diffusées pour la Suisse, un taux d’erreur réduit à 0.5% représente néanmoins 100 000 images insuffisamment anonymisées. L’atteinte est renforcée par le fait que la même personne peut se retrouver sur plusieurs images et que même en cas de floutage automatique une identification demeure parfois possible (ce qui constitue donc une atteinte). Google doit donc rendre les images de visages ou numéros de plaques non-reconnaissables.

Pour le TF (comme précédemment le TAF), le fait que Google Street View soit offert gratuitement ou que des mesures de respect de la sphère privée auraient un coût supplémentaire pour l’entreprise ne peut pas être retenu comme un intérêt public ou privé prépondérant.

Le floutage manuel sur demande
La diffusion de photos de visages représente une atteinte à la personnalité, en l’absence de l’accord de la personne concernée ou d’un motif justificatif. Google doit alors donner la possibilité à chacun de demander à ce que son image soit anonymisée, ce qui permet de compenser les lacunes du système automatique. Ce système doit être facilement accessible et Google doit y donner suite rapidement, sans formalité et gratuitement. Ce droit devra être rappelé régulièrement dans les médias (au minimum tous les trois ans), de même que de futures prises de vues doivent être largement annoncées.

Protéger manuellement les lieux sensibles
En plus des mesures décrites précédemment, des mesures particulières doivent être prises à proximité des lieux sensibles : un floutage manuel est requis et il ne doit pas seulement viser le visage ou le numéro de plaques mais s’étend à tout élément reconnaissable (couleur de peau, habits, moyens auxiliaires des handicapés, etc.). Le floutage devra être fait de manière à ce qu’il ne soit pas possible d’en déduire d’informations, en particulier pourquoi et à la demande de qui il a été effectuée.

Si ce travail devait être trop difficile pour Google, le Tribunal fédéral souligne que la société a toujours la possibilité d’anonymiser entièrement les bâtiments sensibles et les environs, ce qui ne mettrait pas pour autant le contenu informatif de Google Street View en péril.

Quoiqu’il en soit un visage qui ne serait pas flouté automatiquement demeure une atteinte à la personnalité que la personne concernée peut faire valoir en justice et il en découle un intérêt important pour Google à améliorer continuellement son logiciel de floutage automatique.

Soigner l’information et respecter les espaces privés
Il faut encore ajouter le respect des espaces privés clôturés qui ne sont pas visibles par les passants (garages, cours, balcons, etc.). Google dispose d’un délai transitoire de trois ans pour retirer ces images, à moins évidement qu’une personne ne demande le retrait dans un cas particulier. A l’avenir, les images devront être prises depuis une hauteur de 2 mètres maximum (au lieu de 2.80 actuellement).

Le TF a encore confirmé l’obligation faite à Google d’annoncer dans les médias de futurs enregistrement, considérant que l’on ne pouvant pas attendre de chacun qu’il aille régulièrement consulter le site internet de Google pour savoir s’il y aurait, et cas échéant quand, des prises de vues dans sa région.

Il ressort d’une pesée d’intérêts, qu’en cas de respect strict des exigences mentionnées auparavant (floutage complet des zones sensibles, information, suppression rapide, gratuite et sans formalité en cas de demande, amélioration du logiciel, etc), un taux d’erreur inférieur à 1% est acceptable.

Moins de 1% d’erreur acceptable, si…
En conclusion, une marge d’erreur de 1% lors du floutage automatiques est admissible si les conditions suivantes sont remplies:

  • le floutage automatique doit être adapté régulièrement selon l’état de la technique ;
  • à proximité des établissements sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d’accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur Internet ;
  • les images d’espaces privés (cours clôturées, jardins, etc.) qui sont à l’abri des regards des passants habituels, prises avec des appareils à plus de 2 m de hauteur ne doivent pas être publiées sur Google Street View, sauf accord des personnes concernées. Les images actuellement visibles doivent être supprimées immédiatement en cas de requête et dans tous les cas automatiquement dans les 3 ans ;
  • Google doit exécuter manuellement, efficacement et sans formalité, les demandes ultérieures d’anonymisation. Un lien clair doit figurer sur Google Street View ainsi qu’une adresse postale. Une information régulière et suffisante sur les possibilités d’opposition, doit être donnée dans les médias et sur Internet, au moins tous les 3 ans.

Thinkdata dévoilé lors de la journée internationale de la protection des données 27 janvier 2012

Posted by Sylvain Métille in ATF, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
1 comment so far

ThinkData a été dévoilé à l’IDHEAP lors de la 6e journée internationale de la protection des données. Il s’agit d’un service interactif de sensibilisation à la protection des données et à la transparence dans le cadre organisationnel, largement accessible et compréhensible, proposé sous licence creative commons (libre pour toute utilisation non commerciale).

ThinkData est le fruit du travail d’un groupe interdisciplinaire, dans le cadre d’un laboratoire d’idées sur la science des services et l’innovation (ThinkServices). Plusieurs professeurs et préposés à la protection des données font partie de ce groupe.

Des réponses simples et des liens juridiques pour en savoir plus
ThinkData permet de se familiariser avec les concepts de protection des données et de transparence au travers d’histoires courtes, mettant en situation des employés, des cadres, des responsables des ressources humaines et des systèmes d’information. Ce site est actuellement proposé en français seulement mais devrait être disponible prochainement dans d’autres langues et avec des scénarios supplémentaires.

ThinkData est simple à utiliser et propose des questions claires (par exemple Que faire de mes courriels privés quand je quitte mon poste ?, Comment dois-je installer un GPS dans les véhicules ?, Puis-je contacter un précédent employeur dont le nom figure dans un CV ?,etc) puis y répond sous une forme tout aussi simple, soit un scénario en cinq phrases, la dernière apportant la réponse. Une recommandation et un bref rappel des principes juridiques applicables à la question posée figurent en dessous du scénario, avec un lien direct vers les dispositions légales applicables. Deux degrés d’informations sont donc apportés, une réponse claire et concise d’abord, et des références légales ensuite.

Cette plate-forme apporte des réponses claires et compréhensibles sans qu’il soit nécessaire d’avoir des connaissances juridiques. Elle peut être utilisée pour trouver la réponse à une question claire précise, mais il est aussi intéressant de s’y promener sans but précis pour se rendre compte des enjeux de la protection des données choisissant un thème (gestion RH, publication d’images sur Internet, transparence, géolocalisation, utilisation de la vidéosurveillance, courriels professionnels, biométrie, accès aux données, dossier personnel), un métier (Direction des ressources humaines, employé, cadre, direction des systèmes d’information ou un type de données) ou un type de données (bancaires, localisation, biométriques, images, médicales, privées, professionnelles, publiques/non publiques).

Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.

Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.

L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 694 autres abonnés