Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

Mise à jour importante – nouvelle adresse

Plus de 200 billets ont été écrits ces cinq dernières années et j’avais depuis un certain temps déjà envie de migrer ce blog vers une structure plus professionnelle, sans publicité et plus respectueuse de la sphère privée. C’est donc le dernier article à être publié ici et je vous invite désormais à me suivre sur le nouveau site https://www.smetille.ch/blog/. Pensez à mettre à jour vos abonnements, vos raccourcis et vos marques-pages.

Vous pouvez également vous abonner au flux RSS des articles  ou les recevoir par courriel (inscription en bas à droite à la nouvelle adresse).

La justice peut-elle obtenir de Google Switzerland l’identité de l’utilisateur d’un compte Gmail ?

Alors qu’il vient de déclarer que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook, le Tribunal fédéral refuse (provisoirement) de reconnaître une obligation pour Google Switzerland GmbH de donner l’identité du titulaire d’une adresse @gmail.com (1B_142/2016). L’affaire est renvoyée à l’autorité cantonale pour éclaircir les faits.

Un service fourni par Google Inc.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d’auteur, suite à une plainte/dénonciation de la Société française des auteurs, compositeurs et éditeurs de musique (SACEM) dirigée contre l’administrateur d’un site web qui aurait diffusé à large échelle des œuvres musicales en proposant des liens de téléchargements illicites. Le Ministère public vaudois a alors requis de la société Google Switzerland GmbH la production de l’identité du détenteur d’un compte Gmail, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte.

Google Switzerland explique que les informations demandées sont en mains de la société américaine Google Inc.. Google Switzerland GmbH exerce un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés par un site dont elle est l’administratrice, ainsi que d’autres activités en lien avec les annonces publicitaires, mais elle n’intervient pas en lien avec l’exploitation d’un compte Gmail, le système de messagerie électronique Gmail étant exploité en Californie par la société américaine Google Inc.. Le Tribunal fédéral a considéré que ce point n’était pas suffisant établi et a renvoyé l’affaire pour compléter l’état de fait.

Une situation différente en matière de protection des données
Le Tribunal fédéral a profité de rappeler, comme dans la décision concernant Facebook rendue le même jour (lien), que la situation différait de l’affaire Google Street View qui concernait une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l’activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d’effacement), même si on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine. Pour le TF, cette jurisprudence de droit public ne saurait s’appliquer dans le cadre d’une demande de preuve en matière pénale.

Commentaire
Le raisonnement est le même que pour la décision Facebook du même jour. On peut néanmoins regretter sincèrement dans ces deux décisions que le Tribunal fédéral soit resté très lacunaire sur certaines questions essentielles, comme la raison pour laquelle un traitement différent s’impose en droit pénal et en droit public (protection des données), ou sur la question du fournisseur de services de télécommunication. Si l’on peut éventuellement discuter s’agissant d’un réseau social, la question ne fait pas de doute concernant un fournisseur de messagerie…

On s’étonnera finalement que ces deux décisions importantes, dont au moins l’une sera publiée au recueil officiel, ne contiennent aucune référence à la doctrine.

La justice ne peut pas obtenir de Facebook Suisse l’identité des utilisateurs du réseau social

Dans un arrêt qui vient d’être publié (1B_185/2016), le Tribunal fédéral a décidé que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse. Pour la Haute Cour, Facebook Suisse n’est pas titulaire des données en question et n’en a pas non plus le contrôle. Pour y avoir accès, il y a lieu d’agir par voie de l’entraide judiciaire auprès de Facebook Ireland Ltd (Facebook Irlande).

Une demande classique
Suite à la plainte d’un journaliste belge traité d’antisémite sur un compte Facebook ouvert vraisemblablement en Suisse sous un pseudonyme, le Ministère public du canton de Vaud a ouvert une instruction pénale contre inconnu pour atteinte à l’honneur. Il a exigé de Facebook Suisse et de ses deux associés gérants la production de l’identité du détenteur du compte, de ses données d’accès et son adresse IP.

Un service fourni par Facebook Irlande
Le Tribunal a retenu qu’aucun des documents ne permettait de conclure que Facebook Suisse soit titulaire des données d’utilisateur réclamées, ou qu’elle ait un accès direct à ces données. Comme l’indique le site web du réseau social, le service est fourni par Facebook Inc. (Etats-Unis) pour les utilisateurs résidant aux Etats-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs. Il n’y a pas de contrat entre la société suisse (qui n’est que la filiale de Facebook Global Holdings II LLC) et la société Facebook Irlande. L’activité de Facebook Suisse se limite au support marketing, à la vente d’espaces publicitaires, aux relations publiques et à la communication. Facebook Suisse ne représente pas non plus la société irlandaise.

En suivant ce raisonnement, il est logique que le Tribunal arrive à la conclusion que seule l’entité irlandaise doive répondre à la demande du Ministère public et qu’il faille lui adresser aux autorités irlandaises une demande d’entraide judiciaire pénale.

Un raisonnement différent en matière de protection des données
La Cour de justice de l’Union Européenne (CJUE) a tenu un raisonnement différent dans l’arrêt Costeja González. La CJUE a en effet jugé que même si le moteur de recherche était exploité par la société-mère du groupe Google Inc. (USA), la filiale espagnole était en charge de la promotion des ventes d’espaces publicitaires générés sur le site web et a désigné auprès de l’autorité locale de protection des données comme responsable du traitement de fichiers enregistrés par Google Inc. Pour la CJUE, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement ont donc été considérées comme indissociablement liées. Un raisonnement similaire avait été tenu par le Tribunal fédéral dans l’affaire Google Street View et l’entité suisse avait été considérée comme étant impliquée dans le traitement des données.

Commentaire
Cette décision se rapproche de la décision américaine de la Cour d’Appel du 2e Circuit qui a conclu que le mandat accordé par un juge américain ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe.

La situation est également différente entre Google Spain, représentant de Google Inc. en Espagne, et les deux sociétés Facebook qui n’ont pas de relation contractuelle directe. Il n’y avait apparemment pas non plus d’indice que Facebook Suisse participe au traitement des données ou pouvait accéder aux données demandées. Pour contraindre Facebook Suisse, il aurait fallu que les juges considèrent que les différentes sociétés du groupe Facebook sont un tout et que leur séparation est artificielle et constitue un abus de droit.

Une autre possibilité aurait été de retenir qu’un réseau social est un fournisseur de services de télécommunications. Le Tribunal a seulement exclu qu’il puisse s’agir d’un fournisseur d’accès. Au lieu d’utiliser un ordre de production similaire à un séquestre, le ministère public aurait pu faire une demande d’identification basée sur la surveillance des télécommunications. La notion de fournisseur de services de télécommunications n’est actuellement pas très claire. La nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui va entrer en vigueur prochainement introduit la notion de fournisseurs de services de communication dérivés, soit les fournisseurs de services qui se fondent sur des services de télécommunication, et qui pourraient être contraints de fournir certaines informations. L’Office fédéral de la communication (OFCOM) a une vision large de la notion de fournisseurs de services de télécommunication. L’avant-projet de révision de la LTC ne modifie pas cette notion et comprend les fournisseurs dits OTT (« over the top », à rapprocher de la notion de fournisseurs de services de communication dérivés de la nouvelle LSCPT).

Une troisième possibilité, probablement la plus raisonnable, serait d’adapter le cadre légal. Tout fournisseur de services en Suisse d’une certaine importance sera obligé de désigner un représentant en Suisse. Cette approche modérée, semblable à ce que prévoit le futur Règlement Général sur la Protection des Données (RGPD) en matière de traitement des données, permettrait aux autorités comme aux individus d’avoir un interlocuteur proche. Une telle obligation est en outre bien moins contraignante que l’obligation de traiter les données dans le pays (comme c’est le cas en Russie par exemple).

Voir également la décision concernant Google rendue le même jour

Une adresse IP dynamique est une donnée personnelle

La Cour de justice de l’Union européenne (CJUE) a mis fin à un long suspense en précisant que l’adresse IP dynamique d’un visiteur, enregistrée lors de la consultation d’un site web accessible au public, est une donnée personnelle pour le site web, même s’il ne peut pas identifier directement le visiteur mais qu’il a des moyens légaux de le faire identifier grâce à des informations supplémentaires dont dispose par exemple le fournisseur d’accès à Internet de cette personne.

Après les adresses statiques, les adresses dynamiques
La CJUE a déjà eu l’occasion de dire que lorsque la collecte et l’identification des adresses IP des utilisateurs d’Internet sont effectuées par les fournisseurs d’accès, les adresses IP sont des données personnelles, car elles permettent l’identification précise de ces utilisateurs.

Dans l’Affaire Patrick Breyer contre Bundesrepublik Deutschland (C-582/14), la CJUE devait préciser si les adresses IP des utilisateurs d’un site web proposé au public par un fournisseur de services de médias en ligne sont des données personnelles, même si ce fournisseur de service ne dispose pas des informations supplémentaires nécessaires pour identifier ces utilisateurs.

La Cour distingue entre les adresses IP attribuées par les fournisseurs d’accès à Internet dites «statiques» et celles dites «dynamique», car elles changent à chaque nouvelle connexion. Les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Dans cette affaire, il s’agit d’adresses IP dynamiques.

Une personne identifiable
En résumé, le fournisseur de médias en ligne dispose d’une adresse IP dynamique, ainsi que de la date et l’heure de la session de consultation de son site web à partir de cette adresse IP. Le fournisseur d’accès à Internet dispose lui d’informations supplémentaires qui, si elles sont combinées avec l’adresse IP, permettent d’identifier le titulaire de l’adresse IP.

Pour la CJUE, l’adresse IP dynamique ne se rapporte pas à une personne identifiée (l’adresse ne révèle pas directement l’identité de la personne), mais une personne identifiable. Pour rappel une donnée personnelle est une donnée qui se rapporte tant à une personne identifiée qu’à une personne identifiable. On considère que la personne est identifiable lorsque des informations supplémentaires susceptibles d’être raisonnablement mis en œuvre permettent d’identifier la personne.

Dans les cas des adresses IP, les informations supplémentaires nécessaires ne sont pas détenues par le site web, mais par le fournisseur d’accès à Internet de l’utilisateur. Pour la CJUE, cela n’empêche pas la qualification de données personnelles. Le droit allemand applicable à cette affaire ne permet certes pas au fournisseur d’accès à Internet de transmettre directement au site web les informations supplémentaires nécessaires à l’identification de la personne concernée, mais des voies légales permettent au site web de s’adresser à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.

En droit suisse, si une plainte pénale est déposée contre un inconnu identifiable au moyen d’une adresse IP, l’autorité de poursuite pénale obtiendra du fournisseur d’accès les informations d’identification et le plaignant aura aussi connaissance de ces informations.

La CJUE a finalement rappelé qu’un État membre ne peut pas déroger au droit européen et empêcher un fournisseur de services de collecter et d’utiliser des données personnelles relatives à un utilisateur, même en l’absence du consentement de celui-ci, dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et cas échéant facturer l’utilisation desdits services par cet utilisateur. Un site web peut donc, même sans le consentement de l’internaute, traiter l’adresse IP. Cette adresse ne devrait en revanche pas être conservée après une session ou pour une utilisation dans d’autres buts.

Et en Suisse
Le Tribunal fédéral avait déjà affirmé de manière claire en 2010 que l’adresse IP dynamique est une donnée personnelle (ATF 136 II 508).

Un policier qui intervient sous un faux nom sur le web n’est pas un agent infiltré

Le policier qui se fait passer pour une jeune fille sur un forum de discussions sur Internet en se basant sur un nom de fantaisie, des mensonges, une photo et une adresse électronique ne doit pas être qualifié d’agent infiltré selon un arrêt récent du Tribunal fédéral (6B_1293/2015). Une autorisation judiciaire n’est donc pas nécessaire.

Manuela_13
La police zurichoise avait participé sous le pseudonyme «manuela_13» à une discussion sur un forum de discussion (chat) du site Internet de Bluewin. Lorsque l’homme qui croyait s’entretenir avec la fille mineure lui a proposé une rencontre en vue de relations sexuelles, c’est la police qu’il a rencontrée. Le Tribunal fédéral a toutefois retenu que les preuves avaient été recueillies illégalement : toute prise de contact avec un suspect aux fins d’élucidation d’une infraction par un fonctionnaire de police qui n’est pas reconnaissable comme tel devait être qualifiée d’investigation secrète au sens de la LFIS (ATF 134 IV 266). C’était avant l’entrée en vigueur du Code de procédure pénale fédéral (CPP).

Le CPP et les recherches secrètes
Le CPP est ensuite entré en vigueur et il a été complété par des dispositions sur les recherches secrètes. L’art. 285a CPP définit désormais l’investigation secrète comme le fait, pour un policier, d’infiltrer un milieu criminel pour élucider des infractions particulièrement graves, en nouant des contacts avec des individus et en instaurant avec eux une relation de confiance particulière par le biais d’actions ciblées menées sous le couvert d’une fausse identité dont il est muni dans la durée et qui est attestée par un titre (identité d’emprunt).

Les recherches secrètes sont définies à l’art. 298a CPP comme la simple faculté pour un policier de tenter d’élucider des crimes ou des délits dans le cadre d’interventions de courte durée où son identité et sa fonction ne sont pas reconnaissables. Il n’est pas muni d’une identité d’emprunt mais il peut en revanche donner de fausses indications sur son identité.

L’investigation secrète (agent infiltré) est soumise à des conditions strictes et exige notamment une autorisation judiciaire. Les recherches secrètes sont simplement de la compétence de la police ou du ministère public si elles s’étendent sur plus d’un mois. Une autorisation judiciaire n’est pas exigée.

Sabrina
Un agent de la police zurichoise se fait passer pour Sabrina, une fille de 14 ans sur un «chat». Elle est abordée par un homme de 23 ans, qui lui propose rapidement de se rencontrer en vue de relations sexuelles. Ils échangent encore leurs adresses électroniques et numéros de téléphones portables. Une rencontre est prévue à la gare, où le jeune homme découvre que Sabrina est en réalité un agent de police et se fait arrêter. Le tribunal doit trancher la question de savoir s’il s’agit de recherches secrètes et dont les preuves obtenues sont utilisables ou d’une investigation secrète, auquel cas les preuves sont inexploitables en l’absence d’autorisation judiciaire.

La distinction entre l’activité préventive de la police, indépendante d’un soupçon d’infraction et fondée sur le droit cantonal, et l’activité fondée sur le droit fédéral de procédure pénale (lorsqu’une infraction a été commise) n’est pas toujours évidente. Le CPP ne s’applique que s’il y a un soupçon qu’une infraction a été commise (ou est en train d’être commise). Dans le cas présent, c’est d’abord sous l’angle préventif et tel que prévu par la loi de police zurichoise que le policier est intervenu sur le forum de discussion. Dès lors que le jeune homme a envoyé une photo de lui nu, le soupçon de pornographie est réalisé et il ne s’agit plus de surveillance préventive mais bien d’une recherche secrète (ou éventuellement d’une investigation secrète).

Le Tribunal fédéral considère que le policier n’a pas utilisé une identité d’emprunt mais qu’il s’est contenté de simples mensonges sur son âge, sexe et lieu de résidence. Il a transmis une adresse électronique, une photo, une description et un numéro de téléphone portable (qui était attribué à la police). Il ne s’est pas appuyé sur des titres mais principalement sur des informations et noms de fantaisie. Un titre, selon la définition de l’art. 110 al. 4 CP est un écrit destiné et propre à prouver un fait ayant une portée juridique. Les contacts n’ont eu lieu que de manière virtuelle et cela n’a duré que pendant quelques jours (contre plusieurs mois en principe pour les agents infiltrés).

Avec cette décision, le Tribunal fédéral a choisi de ne pas qualifier de titre les éléments échangés (adresse électronique, photo, etc.), quand bien même il a précédemment admis un faux dans les titre pour un courriel (sans signature électronique) car l’identité de l’expéditeur était clairement reconnaissable (6B_130/2012). C’est une décision assez favorable pour les forces de l’ordre. Le résultat aurait pu être différent si l’adresse utilisée était de type prenom.nom@entreprise.ch et laissait penser que la personne travaillait dans cette entreprise ou correspondait à une personne existante, ou si le numéro de téléphone avait été inscrit sous un faux nom.

La surveillance secrète d’un assuré viole sa sphère privée

La Suisse s’est fait taper sur les doigts par la Cour européenne des droits de l’Homme (CourEDH) en matière de surveillance. Dans un arrêt de principe 135 I 169, le Tribunal fédéral avait retenu que la surveillance d’un assuré par une caisse d’assurance sociale est admissible et qu’elle pouvait recourir aux services d’un détective privé pour autant que la surveillance se limite à l’espace public. Pour la CourEDH en revanche, la surveillance secrète, même conduite dans l’espace public, constitue une atteinte à la sphère privée. Il aurait alors fallu, pour qu’elle soit admissible, qu’une loi en prévoie les modalités. Ce n’est pas le cas et la Suisse a donc été condamnée le 18 octobre 2016 (Vukota-Bojic c. Suisse, no 61838/10).

Victime d’un accident de la route en 1995, la recourante se voit accorder une rente complète d’invalidité par le tribunal cantonal (malgré le refus initial de l’assureur). En 2005, l’assureur décide de suspendre les prestations et demande à la recourante de subir des nouveaux examens, ce qu’elle refuse. L’assureur la fait alors surveiller en secret par des détectives privés.

La sphère privée existe aussi dans l’espace public
Les enquêteurs ont agi de manière systématique et ont observé la recourante pendant quatre fois sept heures sur une période de vingt-trois jours. Ils l’ont notamment filmée en train de promener son chien, faire de longs trajets en voiture ou faire des achats. Un médecin rédige ensuite un avis sur la base du rapport de surveillance et l’assurance réduit ses prestations. La recourante conteste la légalité des preuves et de l’avis du médecin qui en découle.

La CourEDH a eu à plusieurs occasions la possibilité de rappeler que l’interaction d’une personne avec d’autres dans l’espace public peut entrer dans la définition de sphère privée. Celle-ci ne s’arrête en effet pas à la sortie de sa maison. L’enregistrement systématique ou permanent d’une personne se distingue de l’usage normal d’une caméra de sécurité dans l’espace public. Il s’agissait ici d’un enregistrement intentionnel, dirigé sur la recourante et effectué par des professionnels sur instruction de la recourante.

L’absence de loi prévoyant une telle surveillance
L’assureur intervient au titre de l’assurance accidents obligatoire et a donc la qualité d’autorité (ce qui lui permet de rendre des décisions mais l’oblige aussi à respecter la procédure administrative et les principes constitutionnels). Ses activités doivent dès lors reposer sur une loi.

L’art. 43 al. 1 de la Loi fédérale sur la partie générale du droit des assurances sociales (LPGA) prévoit que l’assureur prend les mesures d’instruction nécessaires et recueille les renseignements dont il a besoin. Cette disposition toute générale est insuffisante aux yeux de la CourEDH car il n’y a aucune exigence d’une procédure d’autorisation ou de contrôle, pas de durée maximum, pas de contrôle judiciaire, pas de règles sur la conservation, l’utilisation ou la destruction des données recueillies, les personnes pouvant y accéder, etc.

Les compagnies d’assurance jouissent alors d’un (trop) grand pouvoir d’appréciation pour décider si, et comment, une surveillance doit être menée.

Et maintenant ?
Si les assureurs veulent pouvoir mener de telles surveillances secrètes, une loi (en particulier la LPGA) doit prévoir cette éventualité, les cas dans lesquelles elle serait justifiée, les modalités d’exécution et une autorité de contrôle ou devant laquelle la personne visée pourrait contester la surveillance.

A noter finalement que si l’assureur était intervenu au titre d’une assurance privée (et non d’une assurance sociale), l’exigence d’une base légale nécessaire à l’activité d’une autorité n’aurait pas été retenue et la surveillance aurait surtout dû respecter les principes généraux de la LPD. Il n’est donc pas exclu qu’elle aurait pu être admissible dans ce cas.