Révision de la loi sur les télécommunications

Le Conseil fédéral a ouvert la procédure de consultation sur le projet de révision partielle de la Loi sur les télécommunications (LTC). Elle fait suite à la mise en consultation par l’Office fédéral de la communication de la révision de l’Ordonnance sur les services de télécommunication (OST) qui prévoit en particulier de modifier la notion de service universel pour tenir compte du passage à la téléphonie IP. Dès 2018, l’accès à Internet ne devrait plus être lié à la location d’une ligne de téléphone et le débit minimal serait augmenté à 3000/300 kbit/s. Le prix de l’abonnement au téléphone fixe devrait inclure tous les appels vers les réseaux fixes et mobiles en Suisse pour un prix maximum de CHF 27.20. L’obligation de mettre à disposition une cabine téléphonique dans chaque commune et d’assurer le service de téléfax seraient supprimés. Ces prestations pourraient évidemment continuer à être fournies sur une base volontaire.

Cette révision de la LTC prévoit de nombreuses modifications dont les principales sont:

  • Obligation d’annonce: de nombreux fournisseurs (en particulier les fournisseurs de télécommunication OTT qui fournissent leurs prestations sur Internet comme WhatsApp ou Facebook) ne sont pas annoncés. La révision prévoit la suppression de l’obligation de s’annoncer pour tous les fournisseurs de services de télécommunications. Seuls ceux qui utilisent des ressources publiques particulières (ressources d’adressage ou fréquences de radiocommunication soumises à concession) devraient s’annoncer.
  • Itinérance internationale (roaming): le devoir d’information actuel sur les coûts est insuffisant et la protection des consommateurs représente un intérêt prépondérant. La révision va créer une base légale permettant d’améliorer la situation de concurrence et seules les prestations réellement consommées devrait être facturées. Des prix plafonds ne sont pas prévus pour l’instant.
  • Ressources d’adressage et noms de domaines: l’Ordonnance sur les domaines Internet (ODI) repose sur une interprétation large de la notion de ressources d’adressage. Une base légale suffisante sera ajoutée et les éléments principaux de l’ODI repris dans la LTC. Une possibilité de contraindre une entreprise à assumer la fonction de registre sera prévue. Des clarifications sont également prévues s’agissant des annuaires téléphoniques.
  • Protection des consommateurs: la mention dans l’annuaire pour marquer le refus des appels publicitaires est insuffisante et devrait aussi être ouverte aux personnes qui ne souhaitent pas figurer dans l’annuaire. Des possibilités de filtrage au niveau du réseau et de l’utilisateur devraient être proposées. Des informations supplémentaires devraient être fournies aux clients et futurs clients s’agissant de la qualité du réseau et des services, ainsi que des éventuelles restrictions. Les différentes prestations proposées dans une offre combinée devraient aussi pouvoir être obtenues séparément.

Le Préposé s’écarte du Safe Harbor suisse

Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…

La CJUE annule le Safe Harbor, et en Suisse?

Dans une nouvelle décision majeure pour la protection des données, la Cour de justice de l’Union Européenne (CJUE) a invalidé la décision par laquelle la Commission européenne avait admis que les entreprises américaines ayant adhéré au Safe Harbor assurent un niveau de protection suffisant des données à caractère personnel européennes qui leur étaient transférées. Cette décision du 6 octobre 2015 fait suite à la demande de Max Schrems adressée à l’autorité irlandaise de protection des données de vérifier la légalité du transfert des données personnelles par Facebook de l’Irlande vers les USA.

Des données personnelles peuvent être transmises (et traités) dans un pays tiers s’il offre un niveau de protection adéquat. C’est le cas pour les pays de UE et la Suisse. Dans les autres cas, des garanties supplémentaires sont nécessaires. Elles peuvent prendre la forme de clauses contractuelles (entre l’exportateur et l’importateur), parfois le consentement des personnes concernées, où encore l’adhésion au Safe Harbor.

Le Safe Harbor est un accord conclu entre l’UE et les USA qui prévoit un certain nombre de principes que les sociétés américaines qui choisissent de s’y soumettre s’engagent à respecter. Un contrôle est exercé par la FTC américaine. Le transfert de données vers ces sociétés était automatiquement considéré comme adéquat, alors qu’il ne l’est en principe pas vers les USA (en l’absence de garanties contractuelles spécifiques, consentement de la personne concernée, etc.).

La CJU a considéré premièrement que la Commission européenne ne pouvait pas retirer le pouvoir des autorités nationales de protection des données d’examiner la légalité d’un transfert international de données personnelles. Deuxièmement, elle retient que le cadre juridique actuel aux USA permet à l’Etat d’accéder de manière massive et indiscriminée aux données personnelles. Le Safe Harbor ne soustrait évidemment pas les entreprises américaines à leur devoir de respecter le cadre légal de leur pays.

Quelles conséquences ?
Le transfert de données sur la base de l’US-EU Safe Harbor n’est plus légal. Le Groupe de l’article 29 qui réunit les autorités européennes de protection des données a laissé un délai de grâce de trois mois aux législateurs et entreprises pour trouver une solution. Des garanties contractuelles (contrats-types notamment) peuvent toujours être utilisées.

La CJUE ne devait se prononcer que sur les questions qui lui étaient posées et qui concernaient la validité du Safe Harbor. Elle a cependant confirmé que c’est bien le cadre légal américain qui est problématique. Il n’est pourtant pas possible d’y déroger par contrat et à l’issue du délai de trois mois on peut s’attendre à ce que les autorités de protection des données interdisent tout transfert aux USA, indépendamment du cadre juridique choisi. Une telle solution n’est pratiquement pas envisageable et tant l’Europe que les USA ont intérêts à trouver un accord rapidement.

Et en Suisse ?
La Suisse a un accord séparé avec les USA et n’est pas membre de l’Union européenne. Elle n’est pas concernée par la décision de la CJUE et le US-Swiss Safe Harbor est toujours parfaitement valable. Le PFPDT a néanmoins déjà indiqué qu’un nouvel accord ne pourrait que être coordonné avec l’UE. Ainsi au regard du droit suisse le transfert demeure légal. Il pourrait cependant être interdit par un juge qui serait saisi d’une demande dans un cas d’espèce. Il n’y a guère de raisons pour qu’un tribunal suisse aboutisse à un raisonnement différent.

Le PFPDT pourrait aussi déclarer que le US-Swiss Safe Harbor n’offre pas un niveau de protection adéquat. Etant donné qu’il l’a lui-même signé (contrairement à l’UE où c’était la Commission et non les autorités nationales), cela semble plus délicat. De plus, autant que les raisons qui ont justifié la décision de la CJUE sont connues depuis plusieurs années et le PFPDT aurait aussi pu agir plus tôt.

Que faut-il faire ?
La situation est très incertaine. Les transferts depuis l’Europe ne peuvent plus être justifiés par le Safe Harbor et il convient de le remplacer par un accord contractuel. En Suisse cela n’est pas nécessaire.

Dans le cas de nouveaux transferts, on évitera de recourir au Safe Harbor. Finalement, les entreprises devraient vérifier sur quelles bases elles communiquent des données à l’étranger afin d’être en mesure de réagir rapidement en cas de modifications du cadre légal. C’est aussi l’occasion de s’assurer que les conditions de délégation du traitement sont bien réglées.

Même si le maître du fichier reste responsable du traitement, il serait particulièrement sévère de lui reprocher de s’être fié aux recommandations de l’autorité compétente. Dans tous les cas, une solution politique et pragmatique devra être apportée rapidement et il faut rester attentif aux évolutions à venir.

Voir également: Le Préposé s’écarte du Safe Harbor suisse

Rapport 2014-2015 du Préposé fédéral à la protection des données et à la transparence

Le Préposé fédéral à la protection des données et à la transparence Hanspeter Thür a présenté au mois de juin son dernier rapport annuel 2014/2015 dont la densité démontre à elle seule l’étendue des questions à traiter. Contrairement aux années précédentes, le ton est moins consensuel et rappelle les violations fréquentes des principes fondamentaux de la protection de la sphère privée, soulignant le «monopole néo-féodal de Google, Facebook, Amazon et consorts», le besoin d’un débat social profond quant à une «stratégie de la société numérique» et le caractère «quelque peu préoccupant» du «“Patriot Act” suisse».

Le numéro AVS (NAVS13)
Le PFPDT avait déjà fait part de ses inquiétudes l’année dernière, en particulier du fait que son utilisation dans des domaines sans lien avec les assurances sociales permet de dresser un profil de la personnalité très complet et de relier des informations qui ne devraient pas l’être. Tout recours systématique à un identificateur unique et universel tel que le numéro AVS représente des risques majeurs pour la sphère privée des personnes concernées et il faut préférer l’utilisation d’un numéro sectoriel (comme cela est envisagé pour le dossier électronique du patient).

Cette année le numéro AVS sera introduit dans le registre foncier, contre l’avis du Préposé. Il sera également utilisé dans le registre du commerce, mais ne devrait pas être publiquement accessible. La révision partielle de la loi sur la radio et la télévision prévoit également un registre national de toutes les personnes enregistrées en Suisse avec leur numéro AVS, qui sera utilisé par Billag.

D’autres projets en cours pourraient également voir l’utilisation du numéro AVS, par exemple le projet de Loi fédérale relative à l’application des principes du débiteur et de l’agent payeur à l’impôt anticipé, le projet de registre national des maladies oncologiques, le projet d’échange de données personnelles entre les contrôles des habitants, la Poste et d’autres détenteurs de données, ou encore le projet d’utilisation d’un identifiant personnel administratif dans la cyberadministration. Le numéro AVS ne devrait en revanche pas être utilisé comme identifiant unique pour le dossier électronique du patient ou comme numéro d’identification fiscale (NIF).

Dans le cadre de la consultation des offices sur la Stratégie Open Governement Data, le PFPDT a recommandé que le document stratégique prévoie des procédures incluant des mesures techniques et organisationnelles afin de prévenir toute divulgation accidentelle de données personnelles.

Postfinance, CFF, Migros et Coop
Postfinance a introduit une nouvelle plateforme d’e-banking comprenant un logiciel d’analyse obligatoire afin d’assurer la planification du budget et la représentation des flux monétaires. L’analyse des transactions permet aux clients de Postfinance de recevoir des offres spéciales d’entreprises tierces sur leur page e-banking. Depuis l’intervention du PFPDT, les clients sont informés et peuvent choisir, ce qui signifie qu’aucune analyse n’est possible sans leur consentement.

Si le Conseil fédéral a abandonné l’idée d’un échange automatique d’adresses entre la Poste et les registres des habitants, il a néanmoins chargé le Département fédéral de justice et police d’examiner les solutions permettant un échange automatique d’adresses entre les différents organes publics.

Le PFPDT a vérifié les conditions d’utilisation du service de WiFi gratuit proposé par le CFF dans différentes gares. Il a constaté que le traitement des données à des fins de marketing n’était pas encore mis en œuvre. Les conditions d’utilisation étaient formulées de manière trop imprécise et ne détaillaient pas quelles données étaient utilisées à quelles fins. Par conséquent, le consentement requis pour un traitement à des fins de marketing et pour l’analyse de flux de personnes ne serait pas valable sur la base de ces conditions d’utilisation. Les conditions générales ont donc été adaptées.

En ce qui concerne les cartes clients de Migros, le PFPDT a émis une recommandation formelle selon laquelle Migros doit répondre à un client qui fait valoir son droit d’accès, dans quel segment il est classé sur la base des analyses liées aux données clients. Cette classification représente une composante centrale du traitement des données et sa communication est indispensable pour se faire une idée des critères d’analyse, évaluer leur exactitude et se comporter en conséquence. Migros a accepté la recommandation. S’agissant de Coop, la procédure de contrôle est encore en cours.

Vente aux enchères de dossiers médicaux
Le fait que les données des patients possèdent une valeur marchande a été confirmé par un office des faillites qui envisageait la vente forcée du fichier de patients d’un dentiste avec les dossiers médicaux, sans en informer les patients concernés au préalable. Cela n’est pas possible, car l’accord des patients est une condition indispensable. S’agissant de données sensibles, un consentement explicite, donné librement et après avoir été informé est nécessaire.

De manière plus générale, le Préposé rappelle qu’un médecin doit prendre des mesures techniques appropriées pour protéger les données de ses patients contre un accès non autorisé. Pour des informations médicales, la simple protection par identifiant et mot de passe ne suffit pas. Il faut faire appel à des technologies de chiffrement adaptées. En cas d’utilisation de services informatiques en nuage, seul le médecin doit avoir accès à la clé de déchiffrement.

Les assurances
Le PFPDT a constaté à plusieurs reprises que quelques assurances-maladies complémentaires n’effacent pas les données concernant la santé de personnes dont la demande d’adhésion n’a pas abouti à un contrat. Elles ont pourtant une obligation d’effacer spontanément ces données. L’assurance peut avoir un intérêt (justifié) à conserver pendant un certain temps les données d’identification du demandeur ainsi qu’une brève motivation du refus, mais en aucun cas les formulaires de demande contenant les renseignements médicaux ou d’autres informations médicales rassemblées.

En matière de procuration, des améliorations sont nécessaires. Les assurances doivent demander une nouvelle procuration pour chaque nouvel événement assuré. En effet, une procuration ne peut se référer à tous les événements futurs et une procuration standard remise à la conclusion du contrat ne serait pas valable. Elle doit au contraire nommer l’objet de la recherche, par exemple en lien avec le sinistre survenu à une date précise et limiter le traitement aux données nécessaires dans ce contexte. Celui qui transmet des données à l’assurance est responsable de vérifier, malgré la présence d’une procuration, que les données souhaitées sont requises par l’objectif visé et qu’aucun intérêt particulier prépondérant de la personne concernée ne s’oppose à une communication des données. Malheureusement les assurances n’acceptent pas que les assurés modifient la procuration et menacent immédiatement d’une réduction des prestations pour non-respect du devoir de collaboration. Dans les faits, les assurés sont obligés de signer la procuration, ce qui peut néanmoins enlever toute validité au consentement obtenu de manière contrainte.

Les caméras embarqués
Le PFPDT rappelle que l’utilisation de caméras embarquées (dashcams) contrevient en général au droit de la protection des données et qu’elles ne doivent pas être utilisées. Même si ces enregistrements peuvent avoir une certaine utilité, ils n’en demeurent pas moins problématiques car une caméra embarquée filme en continu. Le traitement de données ne se limite pas aux personnes qui sont impliquées dans un événement spécifique (par exemple un accident) ou se comportent de manière fautive, mais concerne toutes les personnes présentes dans le champ de la caméra. De plus, les personnes concernées ne savent pas qu’elles sont filmées. L’utilisation de caméras embarquées est donc contraire aux principes de transparence et de proportionnalité. A noter que cela ne se limite pas seulement aux caméras embarqués dans une voiture, mais s’applique à toutes les caméras utilisées dans l’espace publique (caméras embarqué sur un casque à ski ou à vélo, drones, etc.).

La situation pourrait être différente lorsque la caméra est enclenchée uniquement lorsque survient un accident: tous les utilisateurs de la route ne sont pas considérés comme des suspects potentiels et il n’y a pas de traitement de données à titre préventif. Si l’enregistrement est limité à un événement concret, le traitement de données pourrait être justifié par un intérêt prépondérant.

Transparence
En matière de transparence, le PFPDT a traité 85 demandes de médiation qui ont abouties à 49 recommandations. Le Préposé a rejeté le projet de nouvelles dispositions dans la Loi sur l’aviation selon laquelle les documents concernant les activités de surveillance de l’Office fédéral de l’aviation civile devraient être soustraits à la Loi sur la transparence.

Dans le cadre de l’évaluation de la Loi sur la Transparence, les évaluateurs partagent le sentiment du Préposé que le changement de paradigme régulièrement demandé depuis l’entrée en vigueur de la LTrans n’a toujours pas été mis en œuvre dans l’ensemble de l’administration fédérale et que certaines autorités s’opposent régulièrement à la transmission des documents.

Publications
Au titre des explications et autres publications du PFPDT, on peut relever les explications sur les systèmes de contrôle d’accès dans les centre de loisirs (y compris les stations de ski), les explications sur la vidéosurveillance au moyen de caméras embarquées, les explications sur les mégadonnées (big data), les explications sur le droit à l’oubli, les explications sur l’utilisation de drones, les explications sur les systèmes de localisation de personnes, les explications sur le Bring Your Own Device, les explications sur la protection des données et la recherche et un feuillet thématique sur les systèmes de contrôle d’accès aux centres de loisirs.

C’est quoi des Big Data

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons également présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data et le skimming.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Hausse des escroqueries sur les sites de vente aux enchères et de petites annonces

Le Service national de Coordination de la lutte contre la Criminalité sur Internet (SCOCI) a publié son rapport annuel, qui marque également ses dix ans d’activité. En 2013, ce sont surtout les annonces de tentatives d’escroquerie sur des sites de vente aux enchères ou de petites annonces qui ont augmenté. Ces arnaques visent autant les vendeurs que les acheteurs.

Les escroqueries sont toujours mieux réalisées, les auteurs allant jusqu’à créer des sites web complets d’entreprises de transport fictives, avec un faux système de suivi des paquets pour faire croire le plus longtemps possible à la victime que la marchandise est encore en route. La pénurie de logements est aussi exploitée, avec la réapparition des fausses annonces d’appartements bon marché qui n’existent pas mais pour lesquels l’avance de paiement demandée est bien réelle.

Les tentatives de phishing (hameçonnage) ont également fortement augmenté. La variante la plus courante reste l’envoi massif de courriels à des victimes potentielles sans ciblage particulier pour les attirer sur des sites web ressemblant à de services Internet connus et où les victimes introduiront leurs données d’utilisateur (nom d’utilisateur, mot de passe, données personnelles). Les données seront ainsi récupérées sans difficultés par les escrocs.

Les rançongiciels (ransomware)
Au niveau de la détérioration de données, ce sont également des attaques bien organisées mais non ciblées qui sont le plus souvent rapportées. Les données sont d’abord supprimées ou encryptées sur l’ordinateur de la victime (par le biais d’un logiciel malveillant), puis la victime est invitée à procéder à un paiement (rançon) pour obtenir la libération de ses données.

Au niveau des entreprises, on note en particulier des attaques ciblées contre infrastructures de télécommunication (pour effectuer des appels surtaxés ou longues distances à charge de l’entreprise) et contre des données de clients (en exploitant des failles de sécurité des sites web).

Pour 2014, le SCOCI craint une augmentation du nombre de logiciels malveillants présents sur les téléphones mobiles ainsi que la difficulté croissante pour les victimes de distinguer les faux sites Internet au vu de l’amélioration de leur qualité de réalistaion  (fautes d’orthographes moins présentes, apparence visuelle du site plus réaliste, etc.)

Au sujet du Service national de Coordination de la lutte contre la Criminalité sur Internet
Le SCOCI a été créé en 2002 par le biais d’une convention administrative entre la Confédération et les cantons. Avec son rattachement à la Police judiciaire fédérale, le SCOCI s’est implanté également au niveau international en tant que partenaire des autorités d’enquête d’Europol European Cybercrime Center (EC3) et d’Interpol Global Complex for Innovation (IGCI). Il dispose désormais de son profil sur Facebook et sur Twitter.