jump to navigation

La liberté d’information peut justifier l’enregistrement d’une conversation privée par un journaliste 25 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Dans une Affaire Haldimann et autre contre Suisse du 24 février 2015, la Cour européenne des droits de l’Homme a constaté que la Suisse avait violé la CEDH en condamnant pénalement des journalistes qui avait enregistré au moyen d’une caméra caché des conversations non publiques (Requête no 21830/09). La Cour a retenu que la liberté d’information devait prendre le pas sur le droit à l’image.

La procédure suisse
En 2003, la rédaction de l’émission hebdomadaire de protection des consommateurs de la télévision suisse alémanique Kassensturz a produit et diffusé un reportage sur les pratiques dans le domaine de la vente des produits d’assurance-vie. Dans ce but, ils ont convenu d’un entretien avec un courtier en assurances lors duquel une journaliste s’est faite passer pour une cliente potentielle. Deux caméras cachées ont enregistré la scène. A la fin de l’entretien, le courtier a été informé et la possibilité de donner son avis lui a été donnée, ce qu’il a refusé. Une partie de l’entretien est ensuite diffusée, mais le visage du courtier est «pixélisé» de manière à ce que seule la couleur de ses cheveux et de sa peau soient encore visibles après cette transformation de l’image, ainsi que ses vêtements. Sa voix a aussi été modifiée.

Au terme de la procédure pénale, les quatre journalistes sont condamnés pour avoir enregistré en secret une conversation de l’un d’entre eux avec le courtier d’assurances et pour avoir diffusé certaines parties de cette conversation sous forme «anonymisée» à la télévision. Les journalistes n’ont pas été condamnés pour avoir fait un enregistrement avec une caméra cachée, mais pour avoir utilisé ce procédé pour enregistrer une conversation non publique.

En droit, il s’agit pour la journaliste qui a participé à la conversation d’une violation de l’art. 179ter CP qui sanctionne l’enregistrement d’une conversation non publique par l’un des participants, sans le consentement de son interlocuteur, et pour les autres une violation de l’art. 179bis CP qui sanctionne l’enregistrement d’une conversation non publique entre d’autres personnes, sans leur consentement, et la communication à des tiers d’un fait obtenu au moyen d’un tel enregistrement. Ces articles garantissent en particulier la confidentialité des conversations non publiques. La violation du domaine secret ou du domaine privé au moyen d’un appareil de prise de vues au sens de l’art. 179quater CP n’a pas été retenue.

Droit à l’image contre liberté d’expression
La Cour européenne des droits de l’Homme était saisie d’un recours formé par les journalistes, qui considèrent que les dispositions pénales en question portent atteinte à la liberté d’expression et ne devraient pas leur être applicables. Ils soulignent d’ailleurs qu’ils ont respecté la décision no 51/2007 du Conseil suisse de la presse qui dit que les recherches cachées sont autorisées si les informations sont dans l’intérêt public et si les informations ne peuvent pas être reçues par un autre moyen.

La Cour aborde l’affaire comme un conflit entre deux droits fondamentaux, la liberté d’expression des journalistes d’une part et le droit au respect de la vie privée du courtier d’autre part. La Cour ne conteste pas que les dispositions pénales protègent le droit du courtier à sa propre image, à sa propre parole ainsi que sa réputation, mais elle se demande si les dispositions pénales sont une restriction justifiée de la liberté d’expression.

La Cour passe en revue les différents critères qu’elle utilise habituellement pour analyser la mise en balance du droit à la liberté d’expression et du droit au respect de la vie privée:

  • la contribution à un débat d’intérêt général: la mauvaise qualité du conseil délivré par des courtiers en assurances et la protection du droit des consommateurs en découlant est un débat d’un intérêt public très important auquel les journalistes participent.
  • la notoriété de la personne visée, l’objet du reportage et son comportement antérieur: le courtier filmé à son insu n’était pas un personnage public. Le reportage litigieux n’était pas focalisé sur la personne du courtier mais sur certaines pratiques commerciales mises en œuvre au sein d’une catégorie professionnelle. En outre, l’entretien ne s’était pas déroulé dans les bureaux du courtier ou autre local professionnel. L’atteinte à la vie privée du courtier est moins importante que s’il avait été visé exclusivement et en personne par le reportage.
  • le mode d’obtention des informations et leur véracité: les journalistes ont respectés les règles déontologiques et la véracité des informations n’a jamais été contestée.
  • le contenu, la forme et les répercussions de la publication: l’enregistrement a été diffusé sous forme de reportage, particulièrement péjoratif à l’égard du courtier. Des mesures ont toutefois été prises pour l’«anonymiser». Pour la Cour, l’ingérence dans la vie privée du courtier n’est pas d’une gravité telle qu’elle doive occulter l’intérêt public à l’information des malfaçons alléguées en matière de courtage en assurances.
  • la gravité de la sanction imposée: même si les peines sont très faibles (quatre et douze jours-amendes), cette sanction pénale peut inciter la presse à s’abstenir d’exprimer des critiques.

En conclusion, la Cour estime que la mesure litigieuse n’était pas, en l’espèce, nécessaire dans une société démocratique et que, par conséquent, il y a eu violation de l’art. 10 CEDH. Autrement dit, la Cour considère que dans ce cas précis, la norme pénale ne devait pas l’emporter sur la liberté d’expression et qu’il ne fallait pas condamner pénalement les journalistes. La Cour crée d’une certainement manière un motif justificatif pour les journalistes rendant leurs actes licites dans ce cas particulier.

Confidentialité des conversations
Pour le juge Paul Lemmens qui signe une opinion dissidente très intéressante, il ne s’agissait pas simplement de la mise en balance de deux intérêts privés. Les dispositions pénales en question visent à protéger non pas la vie privée (ou la réputation) de certains individus, mais la confidentialité en général des conversations non publiques. Il s’agit alors d’un intérêt général touchant à l’ordre public et concrétisé dans la loi pénale, et non pas à de simples intérêts privés.

La question n’est pas de savoir dans quelle mesure l’utilisation de la caméra cachée est acceptable, mais de savoir dans quelle mesure des accusés peuvent invoquer avec succès une cause de justification contre l’accusation d’enregistrement et de diffusion d’une conversation protégée par la loi. Comme l’avait relevé le Tribunal fédéral, la défense d’intérêts légitimes suppose que l’acte délictuel soit un moyen nécessaire et adéquat pour atteindre un but légitime, voire que ce soit la seule voie possible pour atteindre ce but, et que le bien juridique protégé par l’interdiction légale pèse moins lourd que celui que l’auteur de l’acte cherchait à préserver. Cela n’était probablement pas le cas en l’espèce puisqu’il était possible de montrer les abus en matière d’assurance de manière différente. Et cette interprétation ne rendait pas pour autant illégale le recours à une caméra cachée lorsque c’est le seul moyen d’arriver au but visé, et légitime, pour un journaliste.

Cette décision de la Cour européenne des droits de l’Homme va conduire à la révision de la condamnation des journalistes, mais elle va aussi permettre, de manière plus générale, aux journalistes d’investigation suisses d’utiliser des caméras cachées. Leur utilisation devrait toutefois restée limitée, car la Cour n’a pas indiqué que le droit pénal ne s’appliquait pas aux journalistes mais seulement que dans ce cas particulier, le droit à l’information devrait primer sur la protection de la sphère privée. Si le reportage avait visé une personne en particulier, la conclusion aurait pu être différente.

A noter finalement que la Cour ne s’est pas prononcée sur l’éventuelle utilisation de l’enregistrement par la justice pénale. En l’absence d’infraction pénale, la preuve ne serait vraisemblablement plus illégale. Le journaliste pourrait néanmoins se réfugier derrière la protection des sources pour refuser de la communiquer.

Publications: Infrastructures et données informatiques 10 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Téléchargement, Technique.
add a comment

L’article écrit avec Joanna Aeschlimann intitulé Infrastructures et données informatiques: quelle protection au regard du code pénal suisse? est paru il y a quelques semaines dans la Revue pénale suisse 03/2014. Nous avons examiné en détail les conditions devant être remplies pour que l’infraction soit réalisée, mais également les mesures à prendre par la victime potentielle pour pouvoir prétendre à la protection pénale. Les infractions envisagées sont :

  • La soustraction de données (143 CP)
  • La soustraction de données personnelles (Art. 179novies)
  • L’accès indu à un système informatique (143bis al. 1 CP)
  • La mise à disposition d’informations en vue d’un accès indu (143bis al. 2 CP)
  • La détérioration de données proprement dite (144bis ch. 1 CP)
  • La mise à disposition d’informations permettant la détérioration de données (144bis ch. 2 CP)
  • L’utilisation frauduleuse d’un ordinateur (147 CP)
  • L’obtention frauduleuse d’une prestation (art. 150 CP)

Le tribunal fédéral fixe les conditions auxquelles les cantons peuvent prévoir des mesures de surveillance préventives 29 décembre 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Les mesures de surveillance dites invasives (en principe conduites à l’insu de la personne concernée) sont envisagées dans trois situations précises :

  1. une infraction pénale a été commise ou est en train d’être commise et l’on veut identifier l’auteur ou réunir des preuves (surveillance répressive);
  2. une infraction pénale sera potentiellement commise et l’on veut la prévenir ou la révéler (surveillance préventive);
  3. il existe une menace concrète pour la sûreté intérieure ou extérieure, sans qu’il ne s’agisse d’une infraction pénale (surveillance préventive).

On distingues ces mesures de la surveillance d’observation (qui est utilisée pour surveiller un rayon déterminé accessible au public, afin de constater des mouvements ou des phénomènes objectifs, sans traiter des données personnelles, dont l’exemple classique est le contrôle de la fluidité du trafic routier, et de la surveillance dissuasive) et de la surveillance dissuasive (qui consiste à surveiller ouvertement un lieu pour tenter d’empêcher les personnes qui s’y trouvent de commettre des infractions, dont l’exemple classique est la vidéosurveillance).

Des compétences cantonales et fédérales
La surveillance répressive est une compétence fédérale. Les modalités sont prévues dans le Code de procédure pénale (CPP), qui prévoit les conditions auxquelles ces mesures peuvent être mises en place. Dans ce domaine, les cantons ne peuvent plus adopter des mesures supplémentaires que le droit fédéral ne prévoit pas.

La surveillance préventive est un mélange de compétences cantonales et fédérales. Le parlement doit discuter prochainement du projet de Loi fédérale sur le renseignement qui donnerait à la Confédération de nouveaux pouvoirs, en particulier celui de procéder à des écoutes téléphoniques, des enregistrements audios et vidéos, ainsi que l’exploration radio et du réseau câblé. Cela ne concerne pas le cas où une infraction va être commise, mais celui où l’on craint un risque pour la sécurité intérieure ou extérieure de la Suisse.

Le nouveau CPP a supprimé la surveillance lors de l’enquête préliminaire que connaissaient certains cantons. Ainsi, une mesure de surveillance n’est possible qu’une fois l’enquête ouverte (c’est-à-dire lorsqu’il y a des soupçons suffisants qu’une infraction pénale a été commise). Restait alors la question de savoir si cela interdisait une surveillance avant que l’infraction ne soit commise (le CPP ayant exclu la surveillance préventive, ou si les cantons pouvaient adopter des normes la prévoyant dans leurs lois de police (le CPP ne pouvait ni l’exclure ni la prévoir).

Le Tribunal fédéral a justement dû se pencher sur deux cas, l’un zurichois (1C_653/2012) et l’autre genevois (1C_518/2013). Il est arrivé à la conclusion que les cantons peuvent prévoir des mesures de surveillance secrètes, mais que des conditions similaires à celles prévues par le CPP doivent être mises en place.

La compétence des cantons de veiller sur leur territoire au maintien de la sécurité publique et de l’ordre est réputée compétence originelle des cantons et le législateur fédéral n’’a pas voulu réglementer les investigations secrètes préventives dans le CPP. Les investigations secrètes préventives sont des mesures qui servent à prévenir ou à révéler une infraction potentielle. Elles sont antérieures à la procédure pénale (qui est une compétence fédérale) et doivent s’inscrire dans la législation policière cantonale.

Les garanties lors de la surveillance préventive
La surveillance n’en porte pas moins une atteinte importante à la sphère privée et familiale, protégée par la constitution et la CEDH. Toute atteinte doit être fondée sur une base légale (les restrictions graves devant être prévues par une loi au sens formel), être justifiée par un intérêt public et être proportionnée au but visé.

Le Tribunal fédéral met en parallèle les mesures préventives du droit cantonal et les mesures contenues dans le CPP et exige au moins les mêmes garanties. Ainsi, il doit toujours exister des indices sérieux qu’une infraction pourrait être commise et la mesure doit être subsidiaire (échec avéré ou probable d’autres procédés d’investigation). Elle doit être réservée à des infractions d’une certaine gravité (mais il est possible de se contenter des crimes et délits dans dresser un catalogue). Finalement, la personne concernée devra être informée et avoir la possibilité de faire contrôler la légalité de la mesure devant une autorité judiciaire indépendante.

Selon le type de mesure retenue, une autorisation judiciaire préalable est nécessaire. C’est notamment le cas pour les recherches secrètes, les enquête sous couverture et la surveillance de plateformes de communications fermées sur Internet.

Publications: jurisprudence 2013 8 décembre 2014

Posted by Sylvain Métille in ATF, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse.
add a comment

A l’été 2013, j’ai été invité par l’Université de Fribourg à commenter quelques jurisprudences actuelles en matière de protection des données.

Ces résumés et commentaires ont depuis été publiés sous le titre «Jurisprudence actuelle en matière de protection des données Surveillance, infiltration et transmission de données à un tiers : quelques atteintes à la sphère privée qui ont occupé récemment les tribunaux» dans l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung/Instruments de mise en œuvre du droit à l’autodétermination informationnelle édité par Astrid Epiney, Tobias Fasnacht et Gaëtan Blaser. Les décisions abordées concernent en particulier la surveillance des employés, la transmission de certificats de prévoyance, le droit d’accès à ses propres données et la cessation de l’atteinte à la personnalité par un des participants.

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Identification du titulaire d’une adresse IP 30 décembre 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
4 comments

L’art. 273 du Code de procédure pénale (CPP) permet au ministère public d’obtenir des fournisseurs de services de télécommunications les données indiquant quand et avec quelles personnes ou quels raccordements la personne surveillée a été ou est en liaison par poste ou télécommunication (a) et  les données relatives au trafic et à la facturation (b) lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis. L’ordre de surveillance doit être autorisé par le tribunal des mesures de contrainte et les principes de proportionnalité et de subsidiarité doivent notamment être respectés.

On appelle ces informations «données accessoires» ou encore «données relatives au trafic et à la facturation et identification des usagers». Elles se distinguent des autres mesures de surveillance de la correspondance et des télécommunications par le fait qu’elles ne portent pas sur le contenu. Elles portent donc une atteinte moins grande à la sphère privée et peuvent être autorisées plus facilement que l’accès au contenu (ATF 137 IV 340, consid. 5.5). Ces données peuvent être demandées en temps réel (comme une écoute), mais c’est assez rare. Elles sont le plus souvent demandées avec effet rétroactif. Dans ce cas l’art. 273 al. 3 CPP prévoit une limite à six mois, indépendamment de la durée de la surveillance.

Certains considèrent qu’il s’agit là d’une obligation pour les fournisseurs de conserver les données durant 6 mois et qu’il serait possible d’obtenir des données plus anciennes si elles sont disponibles. Cette interprétation ne devrait pas être suivie. L’obligation de conserver les données découle des art. 12 al. 2 et 15 al. 3 de la Loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). C’est cette loi qui impose des obligations aux fournisseurs de services, alors que les conditions de surveillance (et d’obtention des données) découlent du CPP. La limite de six mois s’impose donc aux autorités de poursuite et elles ne peuvent pas demander des données antérieures, même si elles sont disponibles. Le projet de révision de la LSCPT prévoit une extension de la durée de conservation des données à 12 mois.

Pas de limite temporelle pour l’adresse IP
Au début de cette année, le Tribunal fédéral (TF) s’est prononcé sur une demande d’identification d’une adresse IP antérieure à plus de 6 mois. Cette décision vient d’être publiée au recueil officiel des ATF (139 IV 98).

L’art. 14 LSCPT dispose que les fournisseurs de services de télécommunication doivent fournir d’une part le nom, l’adresse et, si celle-ci est connue, la profession de l’usager d’un raccordement déterminé, et d’autre part les ressources d’adressage (les paramètres de communication ainsi que les éléments de numérotation tels que les indicatifs, les numéros d’appel et les numéros courts, ce qui inclut l’adresse IP). Ces informations sont fournies sur demande aux autorités fédérales et cantonales qui peuvent ordonner ou autoriser une surveillance de la correspondance par télécommunication, pour déterminer les raccordements et les personnes à surveiller, mais également à l’Office fédéral de la police et aux commandements des polices cantonales et municipales, pour exécuter des tâches de police.

La LSCPT est donc une lex specialis, soit une loi spéciale qui déroge au régime général du CPP selon le TF. On peut aussi considérer simplement que l’identification de l’utilisateur d’une ressource d’adressage (ou dans l’autre sens de la ressource d’adressage d’un utilisateur) est un renseignement sur les raccordements de télécommunication qui ne fait pas partie des mesures de surveillance. Une telle demande n’est pas soumise aux exigences strictes applicables à ces mesures et l’information peut être obtenue facilement, y compris en dehors d’une procédure pénale.

A noter que l’art. 82 de l’Ordonnance sur les services de télécommunication (OST), permet au client d’un service de télécommunication qui reçoit des communications abusives d’obtenir la date et l’heure des messages, les ressources d’adressage ainsi que le nom et l’adresse des titulaires des raccordements ayant servi à établir les communications. Si les messages abusifs sont des emails et non des appels téléphoniques, cette disposition devrait aussi inclure l’adresse IP.

Le TF avait laissé ouverte la question de savoir si des données accessoires (soit d’autres données que le nom et l’adresse du titulaire d’un numéro de téléphone ou d’une adresse IP) qui seraient disponibles au-delà de six mois pouvaient être transmises aux autorités de poursuite. C’est dans une autre affaire (ATF 139 IV 195) que le TF a apporté la réponse à cette question, confirmant que la limite de six mois doit être respectée pour les données accessoires au sens de l’art. 273 al. 3 CPP.

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
3 comments

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

En cas d’atteinte à la personnalité, l’hébergeur a (aussi) un devoir de supprimer le contenu illicite 20 février 2013

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse.
add a comment

Le Tribunal fédéral vient de statuer sur le recours déposé par la Tribune de Genève contre la décision l’obligeant à supprimer une publication d’un politicien genevois sur son blog (5A_792/2011).

Toute l’affaire débute le 9 avril 2008, lorsque le président du MCG Eric Stauffer publie sur son blog hébergé par la Tribune de Genève un article intitulé «Banque cantonale : nous exigeons toute la vérité!» dans lequel il accuse un ancien responsable de la Banque Cantonale de Genève d’avoir contribué à la déconfiture de cette banque.

La personne visée dans l’article a obtenu des mesures provisoires ordonnant à la Tribune de Genève et à Eric Stauffer de retirer l’article en question et leur interdisant de le publier. Ces mesures provisoires ont ensuite été confirmées par le Tribunal de première instance de Genève qui a constaté le caractère illicite de l’atteinte. Les frais et dépens ont été mis à la charge de l’auteur pour ¾ et de l’hébergeur pour ¼.

L’hébergeur participe à l’atteinte
Selon le Tribunal fédéral, l’atteinte à la personnalité résulte de la publication d’un texte rédigé par Eric Stauffer sur internet, soit plus précisément sur le blog de ce dernier, hébergé par la Tribune de Genève sur son propre site internet. Si Eric Stauffer est l’auteur originaire de la lésion aux intérêts personnels, la Tribune de Genève, en lui fournissant l’espace internet sur lequel il a pu créer son blog, a permis la diffusion du billet incriminé auprès du public et d’un large cercle de lecteurs. Si elle n’est pas l’auteur de l’atteinte, elle a contribué à son développement et, partant, y a participé conformément à l’art. 28 al. 1 CC.

Le Tribunal souligne ensuite qu’il n’est pas question de contrôler constamment le contenu de tous les blogs hébergés, ni de dommages-intérêts ou en réparation du tort moral. Dans le cas d’une action en réparation du dommage, il faut une faute. Alors qu’ici il s’agit d’une action en cessation de l’atteinte, qui peut être dirigée contre toute personne qui y participe. L’hébergeur d’un blog devra supprimer un article qui porte atteinte à l’honneur comme le responsable d’un panneau d’affichage pourra être obligé de retirer une affiche, même s’il n’en n’est pas l’auteur.

Une obligation de réagir, pas de censure avant
Cette décision ne crée pas un devoir de contrôle de l’hébergeur, mais elle confirme que celui qui participe à une atteinte à la personnalité et qui techniquement est en mesure de la faire cesser doit donner suite à une telle requête. La victime peut choisir librement contre qui elle souhaite diriger sa requête (auteur, hébergeur, éventuellement fournisseur d’accès,…).

La victime n’est pas obligée de s’être adressée préalablement au site avant de saisir la justice mais il lui est recommandé de le faire, comme il est recommandé au site de donné suite déjà à la requête de la victime sans attendre une décision judiciaire (sauf s’il y a des doutes sérieux sur le fait que la publication constitue une atteinte), cela en particulier pour éviter des frais judiciaires.

A noter que cette décision judiciaire concerne le cas d’une demande de suppression d’un contenu portant atteinte à la personnalité et qu’elle ne s’applique pas à n’importe quel contenu illicite. L’art. 28 CC prévoit en effet que celui qui subit une atteinte illicite à sa personnalité peut agir en justice pour sa protection contre toute personne qui y participe, et non seulement contre l’auteur comme c’est le cas pour d’autres contenus illégaux.

Google Street View: l’arrêt du Tribunal fédéral qui satisfait toutes les parties 1C_230/2011 2 octobre 2012

Posted by Sylvain Métille in ATF, Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA, Vidéosurveillance.
add a comment

L’Affaire Google Street View a commencé en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) contestée par Google. Le PFPDT avait alors dû porter l’affaire devant le Tribunal administratif fédéral (TAF) contre les sociétés Google Inc. (Mountain View, USA) et Google Switzerland Sàrl (Zurich). Par arrêt du 30 mars 2011, le Tribunal administratif fédéral (TAF), avait enjoint Google de rendre l’intégralité des visages et plaques de d’immatriculation méconnaissables avant la publication des images sur Internet, au moyen d’un contrôle manuel si nécessaire. Google a recouru au Tribunal fédéral (TF) et avait même menacé de fermer le service Google Street View en Suisse (commentaire de l’arrêt du TAF ).

Le Tribunal fédéral a rendu un arrêt le 31 mai 2012 (1C_230/2011), mettant un terme définitif à cette affaire et réussissant au passage à satisfaire les deux parties. En bref, le TF donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100%. La Haute Cour admet une marge d’erreur de 1% si d’autres conditions strictes sont remplies.

Il ne s’agit donc pas d’une victoire claire de Google comme on cela pu être écrit puisque la majorité des arguments du Préposé ont été confirmés comme devant l’instance précédente, mais c’est néanmoins la possibilité pour Google de confirmer à offrir son service. C’est également la reconnaissance par le Tribunal fédéral que l’on ne peut pas exiger, même d’un géant de l’informatique une marge d’erreur égale à zéro mais qu’il convient plutôt de dreser une liste de conditions particulières à respecter pour réduire les conséquences que ces erreurs inévitables pourraient avoir.

Google Street View est soumis à la loi sur la protection des données
De manière logique le TF confirme l’application de la Loi fédérale sur la protection des données. Que les données soient traitées aux USA n’y change rien, car elles ont été enregistrées en Suisse, contiennent des informations sur des personnes et des lieux en Suisse et sont publiées de manière à être accessibles de Suisse. Le TF a ensuite confirmé Google Sàrl pouvait répondre devant un Tribunal des conséquences de Google Street View.

Sur le fonds, Google reprend d’abord l’argument qu’elle ne traitait pas de données personnelles. Les données personnelles sont les données qui permettent d’identifier précisément une personne, soit directement avec ces données, soit en les combinant avec des informations issues du contexte ou d’autres informations. Le TAF avait admis, à bon droit dit le TF, que les données d’enregistrement brutes étaient reconnaissables et devaient être considérées comme des données personnelles. Il en est de même après le traitement automatique des données puisque la procédure a démontré qu’il existait des visages ou des plaques d’immatriculation qui n’étaient pas floutés, de même que des lieux ou des personnes reconnaissables en fonction du contexte. La notion de données personnelles doit être admise également pour les signes distinctifs des voitures, les maisons, cours et jardins, qui peuvent avoir facilement un caractère personnel. Les données étant mises gratuitement à disposition du public dans toute la Suisse, une erreur de système de Google Street View est susceptible de porter atteinte à la personnalité d’un nombre important de personnes et justifie l’intervention du Préposé.

La finalité du traitement, qui doit être reconnaissable dès la collecte des données, ne peut pas être comprise par la seule vue des caméras sur une voiture ou une annonce sur une page Internet publiée une semaine à l’avance.

Le droit à l’image
Le TF rappelle que le droit de la protection des données complète et concrétise la protection de la sphère privée découlant de la Constitution et des articles 28ss du Code civil. Le droit à l’image est le droit à l’auto-détermination qui protège contre la représentation sans droit de sa propre image. C’est le droit de chacun de décider de la diffusion de sa propre photo, en particulier dans un but économique ou politique, mais également celui de s’opposer à la diffusion de photos et vidéos qui permettent d’identifier une personne. La maîtrise de ses données personnelles est garantie par le droit à l’auto-détermination informationnelle, et cela qu’il s’agisse de données sensibles ou non.

La simple prise de photos dans la rue viole déjà le droit à l’image, car des personnes peuvent être photographiées et leur image diffusée (durablement) sur Internet sans même qu’elles en aient conscience. Les possibilités techniques actuelles (zoom par exemple) font qu’une personne apparaissant comme un élément accessoire de l’image peut également être reconnaissable. La publication à grande échelle d’images de personnes ou de véhicules dans des lieux sensibles ou dans des situations désagréables peut aussi créer une représentation négative. Une différence doit d’autre part être faite entre le simple regard que pourrait jeter un passant dans une cour ou un jardin privé et la diffusion durable d’images sur Internet.

Le floutage automatique ne suffit pas à éviter une atteinte à la personnalité
La plupart des atteintes à la personnalité peuvent être évitées par la technologie de floutage automatique des visages et plaques d’immatriculation. Une amélioration de cette technologie ne suffit toutefois pas à diminuer le risque d’atteinte d’un grand nombre de personnes vu le nombre important d’images publiées. Considérant que 20 millions d’images environ sont actuellement diffusées pour la Suisse, un taux d’erreur réduit à 0.5% représente néanmoins 100 000 images insuffisamment anonymisées. L’atteinte est renforcée par le fait que la même personne peut se retrouver sur plusieurs images et que même en cas de floutage automatique une identification demeure parfois possible (ce qui constitue donc une atteinte). Google doit donc rendre les images de visages ou numéros de plaques non-reconnaissables.

Pour le TF (comme précédemment le TAF), le fait que Google Street View soit offert gratuitement ou que des mesures de respect de la sphère privée auraient un coût supplémentaire pour l’entreprise ne peut pas être retenu comme un intérêt public ou privé prépondérant.

Le floutage manuel sur demande
La diffusion de photos de visages représente une atteinte à la personnalité, en l’absence de l’accord de la personne concernée ou d’un motif justificatif. Google doit alors donner la possibilité à chacun de demander à ce que son image soit anonymisée, ce qui permet de compenser les lacunes du système automatique. Ce système doit être facilement accessible et Google doit y donner suite rapidement, sans formalité et gratuitement. Ce droit devra être rappelé régulièrement dans les médias (au minimum tous les trois ans), de même que de futures prises de vues doivent être largement annoncées.

Protéger manuellement les lieux sensibles
En plus des mesures décrites précédemment, des mesures particulières doivent être prises à proximité des lieux sensibles : un floutage manuel est requis et il ne doit pas seulement viser le visage ou le numéro de plaques mais s’étend à tout élément reconnaissable (couleur de peau, habits, moyens auxiliaires des handicapés, etc.). Le floutage devra être fait de manière à ce qu’il ne soit pas possible d’en déduire d’informations, en particulier pourquoi et à la demande de qui il a été effectuée.

Si ce travail devait être trop difficile pour Google, le Tribunal fédéral souligne que la société a toujours la possibilité d’anonymiser entièrement les bâtiments sensibles et les environs, ce qui ne mettrait pas pour autant le contenu informatif de Google Street View en péril.

Quoiqu’il en soit un visage qui ne serait pas flouté automatiquement demeure une atteinte à la personnalité que la personne concernée peut faire valoir en justice et il en découle un intérêt important pour Google à améliorer continuellement son logiciel de floutage automatique.

Soigner l’information et respecter les espaces privés
Il faut encore ajouter le respect des espaces privés clôturés qui ne sont pas visibles par les passants (garages, cours, balcons, etc.). Google dispose d’un délai transitoire de trois ans pour retirer ces images, à moins évidement qu’une personne ne demande le retrait dans un cas particulier. A l’avenir, les images devront être prises depuis une hauteur de 2 mètres maximum (au lieu de 2.80 actuellement).

Le TF a encore confirmé l’obligation faite à Google d’annoncer dans les médias de futurs enregistrement, considérant que l’on ne pouvant pas attendre de chacun qu’il aille régulièrement consulter le site internet de Google pour savoir s’il y aurait, et cas échéant quand, des prises de vues dans sa région.

Il ressort d’une pesée d’intérêts, qu’en cas de respect strict des exigences mentionnées auparavant (floutage complet des zones sensibles, information, suppression rapide, gratuite et sans formalité en cas de demande, amélioration du logiciel, etc), un taux d’erreur inférieur à 1% est acceptable.

Moins de 1% d’erreur acceptable, si…
En conclusion, une marge d’erreur de 1% lors du floutage automatiques est admissible si les conditions suivantes sont remplies:

  • le floutage automatique doit être adapté régulièrement selon l’état de la technique ;
  • à proximité des établissements sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d’accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur Internet ;
  • les images d’espaces privés (cours clôturées, jardins, etc.) qui sont à l’abri des regards des passants habituels, prises avec des appareils à plus de 2 m de hauteur ne doivent pas être publiées sur Google Street View, sauf accord des personnes concernées. Les images actuellement visibles doivent être supprimées immédiatement en cas de requête et dans tous les cas automatiquement dans les 3 ans ;
  • Google doit exécuter manuellement, efficacement et sans formalité, les demandes ultérieures d’anonymisation. Un lien clair doit figurer sur Google Street View ainsi qu’une adresse postale. Une information régulière et suffisante sur les possibilités d’opposition, doit être donnée dans les médias et sur Internet, au moins tous les 3 ans.
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 756 autres abonnés