Localisation rétroactive du téléphone pour identifier l’auteur d’un excès de vitesse

La Loi sur le renseignement sur laquelle le peuple suisse se prononcera le 25 septembre 2016 pourrait introduire des moyens de surveillance que la procédure pénale ne connaît pas, comme les perquisitions informatiques à distance et la fouille de locaux, véhicules ou conteneurs à l’insu des personnes concernées (art. 26 LRens). Les mesures de surveillance à disposition actuellement des autorités pénales ont aussi été renforcées dans le cadre de la révision de la Loi sur la surveillance de la correspondance par poste et télécommunications  avec l’introduction dans le Code de procédure pénale des dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (art. 269bis CPP; IMSI Catcher) et de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (art. 269ter CPP; chevaux de Troie). Les dispositions actuellement en vigueur ont été interprétées de manière très favorable à la surveillance, comme le fait de considérer que les courriels accessibles par le biais du fournisseur de service sont un cas de séquestre plutôt que de surveillance de la correspondance, ce qui permet un accès rétroactif au contenu.

Localiser avec une surveillance rétroactive
Le Tribunal fédéral a récemment confirmé dans deux affaires distinctes qu’un excès de vitesse pouvait justifier une surveillance téléphonique rétroactive (1B_206/2016 et 1B_235/2016).

La première affaire concerne un dépassement de vitesse de 29 km/h dans une zone limitée à 50 km/h dont le propriétaire du véhicule qui était à l’étranger au moment des faits refuse, comme il en a le droit, de dénoncer ses proches. Le Ministère public ordonne alors la surveillance téléphonique rétroactive des appareils utilisés par l’épouse et les deux filles pour les localiser durant cette journée. Dans le second cas, le propriétaire du véhicule circulant à une vitesse de 85 km/h au lieu de 60 km/h a indiqué ne pas être en mesure de désigner le conducteur au moment des faits car ce véhicule était utilisé régulièrement par des personnes différentes. Le Ministère public ordonne ici la surveillance rétroactive du raccordement téléphonique du propriétaire pour la journée en question avec les données de géolocalisation afin de vérifier qu’il n’était pas dans le véhicule. Comme il est soumis au secret professionnel, un tri sera effectué par le Tribunal des mesures de contrainte conformément à l’art. 271 al. 1 CPP.

La surveillance rétroactive ne porte pas sur le contenu mais sur les métadonnées qui sont conservées pendant six mois (données relatives au trafic et à la facturation, y compris données de localisation). L’art. 273 CPP prévoit qu’une telle mesure est possible en cas de graves soupçons qu’un crime ou un délit a été commis. La mesure doit en outre être justifiée au regard de la gravité de l’infraction, elle doit être subsidiaire à d’autres mesures d’investigation moins invasives qui aboutiraient aux mêmes résultats, et elle doit être proportionnée.

Le Tribunal fédéral a retenu que l’on était en présence d’un délit (90 al. 2 LCR et 10 al. 3 CP) s’agissant d’un grave dépassement de la vitesse autorisée dans une localité (égal ou supérieur à 25 km/h) et passible d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire. Il existe un intérêt public important à ce que ce type d’infraction ne demeure pas impuni et la localisation des appareils est susceptible de fournir un indice important quant à l’identité du conducteur. Il n’y a apparemment pas d’autre moyen légal d’obtenir l’identité du conducteur.

Une mesure proportionnée?
Les conditions de surveillance sont remplies et l’atteinte à la sphère privée est limitée puisque seule la localisation des appareils de quelques personnes à une date précise intéresse les enquêteurs. Les métadonnées peuvent néanmoins fournir bien d’autres informations et plusieurs des personnes visées sont obligatoirement innocentes (il ne peut pas y avoir plusieurs conducteurs pour une seule voiture à un moment donné). La présence d’une personne à proximité de la voiture n’indique pourtant pas encore si elle conduisait, si elle était passagère ou à l’extérieur du véhicule.

Les mesures de surveillance, en raison de leur atteinte à la sphère privée et de leurs coûts, doivent être utilisées de manière mesurée et réservés aux infractions les plus graves. Même si l’excès de vitesse est un délit, on peut se demander si de telles mesures étaient réellement justifiées ou s’il n’aurait pas plutôt fallu renoncer à sanctionner cette infraction.

Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Publications: Contrainte reconnue dans un cas de harcèlement obsessionnel

Le législateur a refusé d’ajouter dans le Code pénal une infraction de harcèlement obsessionnel («stalking») au motif que les éléments qui le constituent sont le plus souvent déjà sanctionnés individuellement. Dans un arrêt récent (141 IV 437), le Tribunal fédéral  a dû examiner certains actes revêtaient une intensité suffisante pour être comparable à un acte de violence ou une menace et ainsi réaliser l’infraction de contrainte de l’art. 181 CP. Pour ce faire,  le Tribunal fédéral a tenu compte des comportements précédents, et cela qu’ils aient eu lieu dans le monde réel ou en ligne.

J’ai résumé et commenté cette décision dans la revue Medialex 4/16.

Rapport 2015-2016 du PFPDT

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a présenté son 23e rapport d’activité, qui marque le 10e anniversaire de la Loi fédéral sur la transparence. Si le changement de paradigme a eu lieu en 2006, on constate encore de nombreuses réticences de l’administration à donner accès aux documents demandés. Sur le front de la protection des données, 2016 est l’année de l’adoption du Règlement général de protection des données de l’UE et de la révision de la Convention 108 du Conseil de l’Europe.

Pour le PFPDT, la révision en cours de la Loi sur la protection des données (LPD), dont l’avant-projet sera présenté prochainement, doit permettre à tout un chacun de garder et d’exercer effectivement la maîtrise sur les données qui le concerne, notamment par l’introduction d’une action collective, le renversement du fardeau de la preuve, une responsabilité objective du fait du traitement et des obligations supplémentaires pour les responsables de traitement (annonce des violations de données, évaluation des risques, etc.). Des sanctions dissuasives doivent aussi être introduites.

Dans son bilan, le PFPDT a mis en évidence quatre points d’inquiétude particuliers :

  • L’utilisation du numéro AVS comme identifiant unique universel au lieu de numéros sectoriels comme pour le dossier électronique du patient ;
  • L’absence de réponse ou la réponse insatisfaisante des maîtres de fichiers aux personnes qui demande les données les concernant ;
  • Le recours à la vidéosurveillance souvent de manière disproportionnée, sans véritable justification et dans le non-respect des règles de transparence ;
  • Les développements technologiques qui permettent de tracer les personnes, d’établir des profils de comportement et d’avoir un suivi constant notamment de toutes leurs activités au travers des applications pour téléphones intelligents ou d’objets connectés.

Les CFF dans le viseur
Parmi les dossiers traités cette année, le PFPDT s’est penché sur deux dossiers concernant les CFF, soit le SwissPass dont nous avons déjà parlé et l’accès gratuit au wifi dans certaines gares. Les CFF ont accepté la plupart des recommandations, notamment celles visant à limiter la conservation des données, à adapter les conditions générales aux traitements réellement effectués (les conditions générales permettaient d’effectuer plus de traitements que ce qui avait réellement lieu) et prévoir une procédure écrite pour répondre aux demandes de traitement. En revanche, les CFF ont refusé de ne pas journaliser les «adresses IP de destination» et «ports de destination», la conservation de ces données étant apparemment fortement conseillée par le Service de surveillance de la correspondance postale et des télécommunications. Une telle conservation n’est pourtant pas exigée par la LSCPT.

Le sport, encore
Le PFPDT s’est aussi prononcé sur un projet de la Swiss Football League d’accompagner et filmer en secret des groupes de supporters lors de matchs à l’extérieur afin d’obtenir des preuves en cas de débordements. Il considère que de tels enregistrements doivent avoir lieu sur la base d’un mandat policier, ou alors être strictement limités à la survenance d’incidents. On peut s’étonner que le PFPDT n’ait pas exigé aussi une information préalable générale.

Quant au contrôle de la validité des abonnements de ski sur la base d’un enregistrement de photos des détenteurs, il porte une atteinte qui ne peut être justifiée que pour les abonnements de valeur élevée (forfait hebdomadaire au minimum). Une information claire doit être affichée au tourniquet (pour que toutes les personnes dont les photos sont enregistrées soient informées). Une conservation des images en l’absence d’abus n’est pas justifiée.

Une plainte pénale et deux procédures devant le TAF
Face au refus de collaborer d’un maître de fichier dans le cadre d’une procédure d’établissement des faits, le PFPDT a déposé une plainte pénale. Il s’agit d’une des rares infractions pénales contenues dans la LPD. Le maître du fichier a finalement transmis les documents demandés et le PFPDT a transmis à l’autorité compétente en matière de poursuite pénale une déclaration de désintérêt qui a conduit au classement de la procédure. Il aurait néanmoins été intéressant d’avoir une décision au fond.

Le PFPDT a porté deux affaires devant le Tribunal administratif fédéral. La première concerne un commerçant d’adresses qui n’a pas donné suite à des demandes d’accès et d’effacement et qui n’a pas suivi les recommandations du PFPDT. La seconde concerne l’agence de renseignements économiques Moneyhouse. Les recommandations du PFPDT visaient à obliger Moneyhouse à vérifier davantage l’exactitude des données de solvabilité traitées, à limiter les possibilités de recherches conformément à la pratique du registre du commerce et surtout le plus traiter de profils de personnalité sans l’autorisation des personnes concernées. Cette décision est très attendue car elle devrait permettre de clarifier la notion de profil de personnalité.

Encore quelques précisions
Le représentant légal peut exercer le droit d’accès à la place de la personne mineure et incapable de discernement. Indépendamment de la personne qui a la garde de l’enfant, les deux parents titulaires de l’autorité parentale peuvent faire valoir ce droit d’accès. La situation est différente si certaines informations ne peuvent plus être confiées à l’un des parents afin de protéger l’enfant, auquel cas il faudra s’en remettre à la décision d’un tribunal ou de l’autorité de protection de l’enfant et de l’adulte (APEA).

On retiendra encore les éléments suivants tirés des différentes prises de positions rendues durant l’année :

  • L’élaboration du rapport concernant Windows 10 est toujours en cours.
  • Le numéro de châssis (VIN ou vehicle identification number) est une donnée personnelle au sens de la LPD.
  • Les mesures d’identification et de surveillance prévues dans le projet de révision de la LDA sont problématiques sous l’angle de la protection des données.
  • Postfinance ne peut pas faire dépendre l’accès aux prestations de paiement de l’acceptation par ses clients de l’outil d’analyse e-cockpit ou de consentement à l’envoi de publicités ciblées de tiers.
  • L’absence de réaction d’un client à de nouvelles conditions générales n’est pas un consentement explicite suffisant pour traiter un profil de personnalité.
  • La participation (exceptionnelle) aux frais générés par la réponse au droit d’accès ne peut pas dépasser 300.- comme le précise l’OLPD, même si de plus en plus de sociétés tentent de facturer des montants supérieurs.
  • Le Safe Harbor et des garanties contractuelles pour l’échange de données avec les États-Unis ne permettent pas d’empêcher un accès disproportionné des autorités américaines à des données à caractère personnel. Dans l’attente d’un solution politique, le PFPDT demande de renforcer l’information des personnes concernées et éviter de satisfaire aux demandes d’accès des autorités américaines (nous en avions déjà parlé).

 

La communication électronique des écrits

Le Conseil fédéral a publié un Rapport concernant la communication électronique des écrits (rapport concernant la motion Bischof 12.4139), ce qui est l’occasion de faire le point sur l’utilisation de la signature électronique et la communication électronique entre les tribunaux et les parties, un domaine où il y a encore beaucoup à faire.

La Communication électronique des écrits (CEE) signifie que les acteurs impliqués ne communiquent plus par courrier postal mais par voie électronique exclusivement. Comme le relève à juste titre le rapport, un simple échange de données par courriels ne suffit pas à réaliser la CEE. Il faut que les actes et les annexes parviennent au tribunal sous forme de fichier électronique structuré (avec des métadonnées) par un mode de transmission structuré et sécurisé, pour pouvoir être gérés de manière électronique. Les dossiers seraient alors accessibles en tout temps (pour autant que le tribunal l’autorise), simultanément à plusieurs parties et dans un format permettant une gestion informatique (et partiellement automatisée).

L’échec du dépôt électronique
A l’heure actuelle, la CEE peut s’effectuer sur certaines plateformes (www.incamail.ch et www.privasphere.com), mais elles n’ont pas vraiment été adoptées par les avocats. Elles requièrent une signature qualifiée et le système actuellement proposé n’est guère facile à utiliser. De toute façon, les actes reçus par voie électronique n’ont pas de métadonnées utiles. Ils sont imprimés et rangés avec les dossiers papiers, ce qui leur enlève tout intérêt. La pratique des autorités consistant à demander une copie papier et à faire porter le risque d’un dysfonctionnement de la plateforme à l’avocat retient même les plus motivés.

La signature électronique est en cours de révision et cela devrait permettre au Conseil fédéral de prendre ensuite les mesures utiles pour simplifier les exigences et le fonctionnement des dépôts.

Le dossier électronique et sa consultation
La première étape de la CEE est celle de la consultation électronique des dossiers. Il ne s’agit pas de documents numérisés sur un DVD (que l’avocat imprime ensuite avant de les lire) comme le proposent déjà certaines institutions, mais d’une vraie consultation en ligne du dossier. La grande majorité des dispositions sur la consultation des dossiers en vigueur ne prévoit pas l’usage d’un média particulier et peut tout à fait s’appliquer à la consultation électronique.

Les tribunaux peuvent donc introduire des solutions pour permettre la consultation électronique des dossiers qu’ils gèrent. Il faudrait que les pièces soient demandées via un formulaire structuré et qu’un dossier électronique soit constitué par le tribunal, qui le transmettra à la personne qui l’a demandé par un moyen de communication quel qu’il soit (envoi ou accès à une messagerie contenant les pièces). Il serait néanmoins souhaitable que tous les tribunaux utilisent un système commun. L’organisation judiciaire étant du ressort des cantons, une certaine harmonisation pourrait être envisagé par le biais d’une modification des codes de procédure.

Selon le rapport, le système commun de consultation électronique des dossiers devrait au moins répondre aux conditions suivantes :

  • la solution proposée est introduite de manière uniforme dans toute la Suisse;
  • le système permet une consultation des dossiers via un portail en ligne comportant des fonctionnalités de recherche, de classement et de téléchargement;
  • il existe un seul accès au système national pour ceux qui demandent à consulter les dossiers;
  • l’introduction de la consultation électronique des dossiers n’occasionne, au final, aucun frais pour les tribunaux. Les économies qui sont réalisées grâce à la consultation électronique des dossiers doivent être aussi importantes que les investissements et les coûts de fonctionnement.

En plus de la consultation électronique des dossiers, il faut également envisager leur archivage ainsi que revoir les modalités de dépôt électronique. ces deux points seront évidemment influencés par la consultation du dossier électronique.

Mesures de contrôle du taux d’alcoolémie des personnes employées par une commune

Un employé communal qui exerce une activité pouvant exposer des tiers ou lui-même à un danger peut être invité à se soumettre à un contrôle de son taux d’alcoolémie si une loi le prévoit et que la mesure est effectuée par un médecin ou l’un de ses auxiliaires médicaux, comme cela ressort d’un avis rendu par le Préposé à la protection des données et à la transparence Jura Neuchâtel (avis 2015.1088). L’employé ne peut pas y être contraint, mais il doit être rendu attentif aux conséquences d’un refus comme dans le cas d’un contrôle de sécurité.

Des données personnelles sensibles
La personnalité des travailleurs est protégée par la Constitution fédérale et la CEDH notamment. Pour toute démarche qui y porte atteinte, l’Etat doit disposer d’une base légale et la mesure être proportionnée. Les art. 82 LAA et 6 de la Loi sur le travail, également applicables aux entreprises privées, obligent l’employeur à prendre les mesures nécessaires pour protéger l’intégrité personnelle des travailleurs. L’employeur peut en particulier limiter ou interdire la consommation de boissons alcoolisées (art. 35 al. 3 OLT 3). Cette interdiction ne concerne que le temps de travail et les heures précédant la prise du travail pour les activités qui requièrent une sobriété totale.

Le taux d’alcoolémie est une donnée personnelle relative à la santé de la personne contrôlée. De même que le certificat médical constatant l’aptitude ou l’inaptitude d’un collaborateur qui s’est soumis à un test d’alcoolémie, cette information est une donnée personnelle sensible au sens de la loi.

Les employés effectuant des tâches sans risque pour eux ou des tiers ne peuvent pas être soumis à des tests d’alcoolémie. En cas de soupçons, l’employeur peut seulement évaluer l’inaptitude au travail.

Des contrôles avec l’accord du travailleur en cas de soupçon et de danger
Des contrôles préventifs sont disproportionnés, sauf dans des cas très particuliers où la consommation d’alcool crée un danger pour la sécurité du travailleur ou des tiers. Un contrôle du taux d’alcoolémie peut en revanche intervenir lorsque le travailleur semble incapable d’exécuter son travail sans mettre lui-même ou des tiers en danger. Ce sera le cas par exemple pour les professions impliquant un port d’armes ou nécessitant une maîtrise absolue (médecin, chauffeur, etc.).

L’exécution des contrôles doit être confiée à un médecin (interne ou externe) qui indiquera seulement si le résultat est de nature à affecter la capacité de travail et si oui dans quelle mesure. Ce sont les mêmes principes que ceux appliqués aux contrôles médicaux lorsque l’employeur veut faire vérifier l’incapacité de travail alléguée par un employé.

Le travailleur doit consentir préalablement au contrôle et à la transmission de l’information. En cas de refus, il devra supporter au niveau de la charge de la preuve les conséquences de son refus.

Indépendamment des contrôles, il n’est pas inutile de rappeler que l’employeur a une obligation d’empêcher le travailleur d’effectuer une tâche le mettant ou des tiers en danger, ce qui parfois peut résulter dans des situations difficiles. De son côté, l’employé doit être apte à effectuer les tâches qui lui sont confiées, conformément au devoir de diligence.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.