Un policier qui intervient sous un faux nom sur le web n’est pas un agent infiltré

Le policier qui se fait passer pour une jeune fille sur un forum de discussions sur Internet en se basant sur un nom de fantaisie, des mensonges, une photo et une adresse électronique ne doit pas être qualifié d’agent infiltré selon un arrêt récent du Tribunal fédéral (6B_1293/2015). Une autorisation judiciaire n’est donc pas nécessaire.

Manuela_13
La police zurichoise avait participé sous le pseudonyme «manuela_13» à une discussion sur un forum de discussion (chat) du site Internet de Bluewin. Lorsque l’homme qui croyait s’entretenir avec la fille mineure lui a proposé une rencontre en vue de relations sexuelles, c’est la police qu’il a rencontrée. Le Tribunal fédéral a toutefois retenu que les preuves avaient été recueillies illégalement : toute prise de contact avec un suspect aux fins d’élucidation d’une infraction par un fonctionnaire de police qui n’est pas reconnaissable comme tel devait être qualifiée d’investigation secrète au sens de la LFIS (ATF 134 IV 266). C’était avant l’entrée en vigueur du Code de procédure pénale fédéral (CPP).

Le CPP et les recherches secrètes
Le CPP est ensuite entré en vigueur et il a été complété par des dispositions sur les recherches secrètes. L’art. 285a CPP définit désormais l’investigation secrète comme le fait, pour un policier, d’infiltrer un milieu criminel pour élucider des infractions particulièrement graves, en nouant des contacts avec des individus et en instaurant avec eux une relation de confiance particulière par le biais d’actions ciblées menées sous le couvert d’une fausse identité dont il est muni dans la durée et qui est attestée par un titre (identité d’emprunt).

Les recherches secrètes sont définies à l’art. 298a CPP comme la simple faculté pour un policier de tenter d’élucider des crimes ou des délits dans le cadre d’interventions de courte durée où son identité et sa fonction ne sont pas reconnaissables. Il n’est pas muni d’une identité d’emprunt mais il peut en revanche donner de fausses indications sur son identité.

L’investigation secrète (agent infiltré) est soumise à des conditions strictes et exige notamment une autorisation judiciaire. Les recherches secrètes sont simplement de la compétence de la police ou du ministère public si elles s’étendent sur plus d’un mois. Une autorisation judiciaire n’est pas exigée.

Sabrina
Un agent de la police zurichoise se fait passer pour Sabrina, une fille de 14 ans sur un «chat». Elle est abordée par un homme de 23 ans, qui lui propose rapidement de se rencontrer en vue de relations sexuelles. Ils échangent encore leurs adresses électroniques et numéros de téléphones portables. Une rencontre est prévue à la gare, où le jeune homme découvre que Sabrina est en réalité un agent de police et se fait arrêter. Le tribunal doit trancher la question de savoir s’il s’agit de recherches secrètes et dont les preuves obtenues sont utilisables ou d’une investigation secrète, auquel cas les preuves sont inexploitables en l’absence d’autorisation judiciaire.

La distinction entre l’activité préventive de la police, indépendante d’un soupçon d’infraction et fondée sur le droit cantonal, et l’activité fondée sur le droit fédéral de procédure pénale (lorsqu’une infraction a été commise) n’est pas toujours évidente. Le CPP ne s’applique que s’il y a un soupçon qu’une infraction a été commise (ou est en train d’être commise). Dans le cas présent, c’est d’abord sous l’angle préventif et tel que prévu par la loi de police zurichoise que le policier est intervenu sur le forum de discussion. Dès lors que le jeune homme a envoyé une photo de lui nu, le soupçon de pornographie est réalisé et il ne s’agit plus de surveillance préventive mais bien d’une recherche secrète (ou éventuellement d’une investigation secrète).

Le Tribunal fédéral considère que le policier n’a pas utilisé une identité d’emprunt mais qu’il s’est contenté de simples mensonges sur son âge, sexe et lieu de résidence. Il a transmis une adresse électronique, une photo, une description et un numéro de téléphone portable (qui était attribué à la police). Il ne s’est pas appuyé sur des titres mais principalement sur des informations et noms de fantaisie. Un titre, selon la définition de l’art. 110 al. 4 CP est un écrit destiné et propre à prouver un fait ayant une portée juridique. Les contacts n’ont eu lieu que de manière virtuelle et cela n’a duré que pendant quelques jours (contre plusieurs mois en principe pour les agents infiltrés).

Avec cette décision, le Tribunal fédéral a choisi de ne pas qualifier de titre les éléments échangés (adresse électronique, photo, etc.), quand bien même il a précédemment admis un faux dans les titre pour un courriel (sans signature électronique) car l’identité de l’expéditeur était clairement reconnaissable (6B_130/2012). C’est une décision assez favorable pour les forces de l’ordre. Le résultat aurait pu être différent si l’adresse utilisée était de type prenom.nom@entreprise.ch et laissait penser que la personne travaillait dans cette entreprise ou correspondait à une personne existante, ou si le numéro de téléphone avait été inscrit sous un faux nom.

Localisation rétroactive du téléphone pour identifier l’auteur d’un excès de vitesse

La Loi sur le renseignement sur laquelle le peuple suisse se prononcera le 25 septembre 2016 pourrait introduire des moyens de surveillance que la procédure pénale ne connaît pas, comme les perquisitions informatiques à distance et la fouille de locaux, véhicules ou conteneurs à l’insu des personnes concernées (art. 26 LRens). Les mesures de surveillance à disposition actuellement des autorités pénales ont aussi été renforcées dans le cadre de la révision de la Loi sur la surveillance de la correspondance par poste et télécommunications  avec l’introduction dans le Code de procédure pénale des dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (art. 269bis CPP; IMSI Catcher) et de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (art. 269ter CPP; chevaux de Troie). Les dispositions actuellement en vigueur ont été interprétées de manière très favorable à la surveillance, comme le fait de considérer que les courriels accessibles par le biais du fournisseur de service sont un cas de séquestre plutôt que de surveillance de la correspondance, ce qui permet un accès rétroactif au contenu.

Localiser avec une surveillance rétroactive
Le Tribunal fédéral a récemment confirmé dans deux affaires distinctes qu’un excès de vitesse pouvait justifier une surveillance téléphonique rétroactive (1B_206/2016 et 1B_235/2016).

La première affaire concerne un dépassement de vitesse de 29 km/h dans une zone limitée à 50 km/h dont le propriétaire du véhicule qui était à l’étranger au moment des faits refuse, comme il en a le droit, de dénoncer ses proches. Le Ministère public ordonne alors la surveillance téléphonique rétroactive des appareils utilisés par l’épouse et les deux filles pour les localiser durant cette journée. Dans le second cas, le propriétaire du véhicule circulant à une vitesse de 85 km/h au lieu de 60 km/h a indiqué ne pas être en mesure de désigner le conducteur au moment des faits car ce véhicule était utilisé régulièrement par des personnes différentes. Le Ministère public ordonne ici la surveillance rétroactive du raccordement téléphonique du propriétaire pour la journée en question avec les données de géolocalisation afin de vérifier qu’il n’était pas dans le véhicule. Comme il est soumis au secret professionnel, un tri sera effectué par le Tribunal des mesures de contrainte conformément à l’art. 271 al. 1 CPP.

La surveillance rétroactive ne porte pas sur le contenu mais sur les métadonnées qui sont conservées pendant six mois (données relatives au trafic et à la facturation, y compris données de localisation). L’art. 273 CPP prévoit qu’une telle mesure est possible en cas de graves soupçons qu’un crime ou un délit a été commis. La mesure doit en outre être justifiée au regard de la gravité de l’infraction, elle doit être subsidiaire à d’autres mesures d’investigation moins invasives qui aboutiraient aux mêmes résultats, et elle doit être proportionnée.

Le Tribunal fédéral a retenu que l’on était en présence d’un délit (90 al. 2 LCR et 10 al. 3 CP) s’agissant d’un grave dépassement de la vitesse autorisée dans une localité (égal ou supérieur à 25 km/h) et passible d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Il existe un intérêt public important à ce que ce type d’infraction ne demeure pas impuni et la localisation des appareils est susceptible de fournir un indice important quant à l’identité du conducteur. Il n’y a apparemment pas d’autre moyen légal d’obtenir l’identité du conducteur.

Une mesure proportionnée?
Les conditions de surveillance sont remplies et l’atteinte à la sphère privée est limitée puisque seule la localisation des appareils de quelques personnes à une date précise intéresse les enquêteurs. Les métadonnées peuvent néanmoins fournir bien d’autres informations et plusieurs des personnes visées sont obligatoirement innocentes (il ne peut pas y avoir plusieurs conducteurs pour une seule voiture à un moment donné). La présence d’une personne à proximité de la voiture n’indique pourtant pas encore si elle conduisait, si elle était passagère ou à l’extérieur du véhicule.

Les mesures de surveillance, en raison de leur atteinte à la sphère privée et de leurs coûts, doivent être utilisées de manière mesurée et réservés aux infractions les plus graves. Même si l’excès de vitesse est un délit, on peut se demander si de telles mesures étaient réellement justifiées ou s’il n’aurait pas plutôt fallu renoncer à sanctionner cette infraction.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.

Un domaine ou un site web ne peut pas être séquestré

Dans un arrêt non publié (1B_294/2014), le Tribunal fédéral a refusé le séquestre d’un domaine Internet. Pour le tribunal cantonal valaisan, le blocage était comparable à une destruction au sens de l’art. 69 al. 2 CP, comme le pensaient plusieurs autres tribunaux cantonaux.

Pour le Tribunal fédéral, le blocage ne constitue pas une destruction d’un objet dangereux comme le permet l’art. 69 al. 2 CP, mais c’est la cessation immédiate d’un comportement (à savoir la publication d’opinions sur un site web). De plus, la destruction au sens de l’art. 69 al. 2 CP est une sanction pénale qui ne peut être ordonnée que par un juge de première instance dans un jugement pénal (art. 69 al. 2 CP) et non au stade de l’instruction.

Pas de confiscation d’un site web
La mesure étant disproportionnée, le Tribunal fédéral renvoie la cause sans trancher la question essentielle de savoir si des pages web peuvent être considérés comme des objets dangereux ou des instruments délictuels pouvant faire l’objet d’une confiscation sur la base de l’art. 69 al. 1 CP.

Le Tribunal fédéral exclut néanmoins implicitement la confiscation d’un site web ou de son accès, dès lors qu’il considère que le blocage correspond à la cessation d’un comportement.

A la demande de la revue juridique Medialex, j’ai commenté cette décision avec Nicolas Guyot dans l’édition 7/8 2015.

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.

Rapport 2014-2015 du Préposé fédéral à la protection des données et à la transparence

Le Préposé fédéral à la protection des données et à la transparence Hanspeter Thür a présenté au mois de juin son dernier rapport annuel 2014/2015 dont la densité démontre à elle seule l’étendue des questions à traiter. Contrairement aux années précédentes, le ton est moins consensuel et rappelle les violations fréquentes des principes fondamentaux de la protection de la sphère privée, soulignant le «monopole néo-féodal de Google, Facebook, Amazon et consorts», le besoin d’un débat social profond quant à une «stratégie de la société numérique» et le caractère «quelque peu préoccupant» du «“Patriot Act” suisse».

Le numéro AVS (NAVS13)
Le PFPDT avait déjà fait part de ses inquiétudes l’année dernière, en particulier du fait que son utilisation dans des domaines sans lien avec les assurances sociales permet de dresser un profil de la personnalité très complet et de relier des informations qui ne devraient pas l’être. Tout recours systématique à un identificateur unique et universel tel que le numéro AVS représente des risques majeurs pour la sphère privée des personnes concernées et il faut préférer l’utilisation d’un numéro sectoriel (comme cela est envisagé pour le dossier électronique du patient).

Cette année le numéro AVS sera introduit dans le registre foncier, contre l’avis du Préposé. Il sera également utilisé dans le registre du commerce, mais ne devrait pas être publiquement accessible. La révision partielle de la loi sur la radio et la télévision prévoit également un registre national de toutes les personnes enregistrées en Suisse avec leur numéro AVS, qui sera utilisé par Billag.

D’autres projets en cours pourraient également voir l’utilisation du numéro AVS, par exemple le projet de Loi fédérale relative à l’application des principes du débiteur et de l’agent payeur à l’impôt anticipé, le projet de registre national des maladies oncologiques, le projet d’échange de données personnelles entre les contrôles des habitants, la Poste et d’autres détenteurs de données, ou encore le projet d’utilisation d’un identifiant personnel administratif dans la cyberadministration. Le numéro AVS ne devrait en revanche pas être utilisé comme identifiant unique pour le dossier électronique du patient ou comme numéro d’identification fiscale (NIF).

Dans le cadre de la consultation des offices sur la Stratégie Open Governement Data, le PFPDT a recommandé que le document stratégique prévoie des procédures incluant des mesures techniques et organisationnelles afin de prévenir toute divulgation accidentelle de données personnelles.

Postfinance, CFF, Migros et Coop
Postfinance a introduit une nouvelle plateforme d’e-banking comprenant un logiciel d’analyse obligatoire afin d’assurer la planification du budget et la représentation des flux monétaires. L’analyse des transactions permet aux clients de Postfinance de recevoir des offres spéciales d’entreprises tierces sur leur page e-banking. Depuis l’intervention du PFPDT, les clients sont informés et peuvent choisir, ce qui signifie qu’aucune analyse n’est possible sans leur consentement.

Si le Conseil fédéral a abandonné l’idée d’un échange automatique d’adresses entre la Poste et les registres des habitants, il a néanmoins chargé le Département fédéral de justice et police d’examiner les solutions permettant un échange automatique d’adresses entre les différents organes publics.

Le PFPDT a vérifié les conditions d’utilisation du service de WiFi gratuit proposé par le CFF dans différentes gares. Il a constaté que le traitement des données à des fins de marketing n’était pas encore mis en œuvre. Les conditions d’utilisation étaient formulées de manière trop imprécise et ne détaillaient pas quelles données étaient utilisées à quelles fins. Par conséquent, le consentement requis pour un traitement à des fins de marketing et pour l’analyse de flux de personnes ne serait pas valable sur la base de ces conditions d’utilisation. Les conditions générales ont donc été adaptées.

En ce qui concerne les cartes clients de Migros, le PFPDT a émis une recommandation formelle selon laquelle Migros doit répondre à un client qui fait valoir son droit d’accès, dans quel segment il est classé sur la base des analyses liées aux données clients. Cette classification représente une composante centrale du traitement des données et sa communication est indispensable pour se faire une idée des critères d’analyse, évaluer leur exactitude et se comporter en conséquence. Migros a accepté la recommandation. S’agissant de Coop, la procédure de contrôle est encore en cours.

Vente aux enchères de dossiers médicaux
Le fait que les données des patients possèdent une valeur marchande a été confirmé par un office des faillites qui envisageait la vente forcée du fichier de patients d’un dentiste avec les dossiers médicaux, sans en informer les patients concernés au préalable. Cela n’est pas possible, car l’accord des patients est une condition indispensable. S’agissant de données sensibles, un consentement explicite, donné librement et après avoir été informé est nécessaire.

De manière plus générale, le Préposé rappelle qu’un médecin doit prendre des mesures techniques appropriées pour protéger les données de ses patients contre un accès non autorisé. Pour des informations médicales, la simple protection par identifiant et mot de passe ne suffit pas. Il faut faire appel à des technologies de chiffrement adaptées. En cas d’utilisation de services informatiques en nuage, seul le médecin doit avoir accès à la clé de déchiffrement.

Les assurances
Le PFPDT a constaté à plusieurs reprises que quelques assurances-maladies complémentaires n’effacent pas les données concernant la santé de personnes dont la demande d’adhésion n’a pas abouti à un contrat. Elles ont pourtant une obligation d’effacer spontanément ces données. L’assurance peut avoir un intérêt (justifié) à conserver pendant un certain temps les données d’identification du demandeur ainsi qu’une brève motivation du refus, mais en aucun cas les formulaires de demande contenant les renseignements médicaux ou d’autres informations médicales rassemblées.

En matière de procuration, des améliorations sont nécessaires. Les assurances doivent demander une nouvelle procuration pour chaque nouvel événement assuré. En effet, une procuration ne peut se référer à tous les événements futurs et une procuration standard remise à la conclusion du contrat ne serait pas valable. Elle doit au contraire nommer l’objet de la recherche, par exemple en lien avec le sinistre survenu à une date précise et limiter le traitement aux données nécessaires dans ce contexte. Celui qui transmet des données à l’assurance est responsable de vérifier, malgré la présence d’une procuration, que les données souhaitées sont requises par l’objectif visé et qu’aucun intérêt particulier prépondérant de la personne concernée ne s’oppose à une communication des données. Malheureusement les assurances n’acceptent pas que les assurés modifient la procuration et menacent immédiatement d’une réduction des prestations pour non-respect du devoir de collaboration. Dans les faits, les assurés sont obligés de signer la procuration, ce qui peut néanmoins enlever toute validité au consentement obtenu de manière contrainte.

Les caméras embarqués
Le PFPDT rappelle que l’utilisation de caméras embarquées (dashcams) contrevient en général au droit de la protection des données et qu’elles ne doivent pas être utilisées. Même si ces enregistrements peuvent avoir une certaine utilité, ils n’en demeurent pas moins problématiques car une caméra embarquée filme en continu. Le traitement de données ne se limite pas aux personnes qui sont impliquées dans un événement spécifique (par exemple un accident) ou se comportent de manière fautive, mais concerne toutes les personnes présentes dans le champ de la caméra. De plus, les personnes concernées ne savent pas qu’elles sont filmées. L’utilisation de caméras embarquées est donc contraire aux principes de transparence et de proportionnalité. A noter que cela ne se limite pas seulement aux caméras embarqués dans une voiture, mais s’applique à toutes les caméras utilisées dans l’espace publique (caméras embarqué sur un casque à ski ou à vélo, drones, etc.).

La situation pourrait être différente lorsque la caméra est enclenchée uniquement lorsque survient un accident: tous les utilisateurs de la route ne sont pas considérés comme des suspects potentiels et il n’y a pas de traitement de données à titre préventif. Si l’enregistrement est limité à un événement concret, le traitement de données pourrait être justifié par un intérêt prépondérant.

Transparence
En matière de transparence, le PFPDT a traité 85 demandes de médiation qui ont abouties à 49 recommandations. Le Préposé a rejeté le projet de nouvelles dispositions dans la Loi sur l’aviation selon laquelle les documents concernant les activités de surveillance de l’Office fédéral de l’aviation civile devraient être soustraits à la Loi sur la transparence.

Dans le cadre de l’évaluation de la Loi sur la Transparence, les évaluateurs partagent le sentiment du Préposé que le changement de paradigme régulièrement demandé depuis l’entrée en vigueur de la LTrans n’a toujours pas été mis en œuvre dans l’ensemble de l’administration fédérale et que certaines autorités s’opposent régulièrement à la transmission des documents.

Publications
Au titre des explications et autres publications du PFPDT, on peut relever les explications sur les systèmes de contrôle d’accès dans les centre de loisirs (y compris les stations de ski), les explications sur la vidéosurveillance au moyen de caméras embarquées, les explications sur les mégadonnées (big data), les explications sur le droit à l’oubli, les explications sur l’utilisation de drones, les explications sur les systèmes de localisation de personnes, les explications sur le Bring Your Own Device, les explications sur la protection des données et la recherche et un feuillet thématique sur les systèmes de contrôle d’accès aux centres de loisirs.

Publications: La surveillance électronique des employés

Dans l’ouvrage Internet au travail édité par Jean-Philippe Dunand et Pascal Mahon, j’ai abordé la question de «La surveillance électronique des employés». Cette contribution est complétée par la présentation faite lors d’un séminaire organisé par l’Université de Neuchâtel.

Après avoir fait le point sur les exigences légales (Loi fédérale sur la protection des données et recommandations du Préposé fédéral à la protection des données et à la transparence, art. 28ss du Code civil, Loi et Ordonnance 3 sur le travail, ainsi que les articles 179ss du Code pénal), on passe en revue les jurisprudences déterminantes sur le sujet. Les points principaux sont ensuite regroupés en deux principes essentiels, l’information et la proportionnalité.

Différents cas d’applications sont finalement examinés: la surveillance téléphonique, la surveillance de l’Internet, la surveillance du courrier électronique, et la surveillance de l’activité. L’article se conclut par les conséquences d’une surveillance illégale et quelques recommandations pratiques.