jump to navigation

Données des travailleurs et candidats: recommandation du Conseil de l’Europe 24 avril 2015

Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléphonie, Technique, Vidéosurveillance.
add a comment

Le Comité des Ministres du Conseil de l’Europe a adopté au début du mois d’avril 2015 la Recommandation sur le traitement des données à caractère personnel dans le cadre de l’emploi (CM/Rec(2015)5). Cette recommandation s’applique à tout traitement de données à caractère personnel concernant les rapports entre employeurs et employés relatifs au recrutement, à l’exécution du contrat de travail et à la fin des rapports de travail dans les secteurs public et privé.

Elle rappelle la garantie du respect des droits de l’homme, de la dignité humaine et des libertés fondamentales, ainsi que les principes applicables au traitement des données (en particulier lors de la collecte, l’enregistrement, l’utilisation interne et la communication externe des données), la transparence du traitement, et les droits d’accès, de rectification et d’opposition.

Proportionnalité et transparence
La Recommandation souligne en particulier la proportionnalité du traitement. Les employeurs devraient veiller à ce que le traitement des données ne porte que sur les données strictement nécessaires pour atteindre l’objectif déterminé dans les cas individuels concernés (4.1) et les données devraient être pertinentes et non excessives, compte tenu du type d’emploi ainsi que des besoins évolutifs d’information de l’employeur (5.2).

Les données fournies à la suite d’un acte de candidature devraient en principe être effacées dès qu’il devient clair que la candidature ne sera pas retenue par l’employeur ou sera retirée par le candidat. Lorsque de telles données sont conservées en vue d’une demande d’emploi ultérieure, l’intéressé devrait en être informé en conséquence et les données devraient être effacées à sa demande (13.2). En l’absence de réaction du candidat, on devrait pouvoir considérer qu’il ne s’oppose pas à la conservation pour une période raisonnable. Quant aux données traitées dans le cadre d’une enquête interne, elles devraient être effacées dans un délai raisonnable si aucune sanction n’a été prononcée à l’égard d’un employé (13.4).

Des informations sur les données détenues par des employeurs devraient être mises à la disposition de l’employé concerné (10.1) et une description particulièrement claire et complète devrait être fournie des catégories de données qui peuvent être collectées et de leur utilisation potentielle lorsque des moyens techniques comme la vidéosurveillance sont utilisés (10.3). Ces informations, facilement accessibles et à jour, devraient être fournies avant que l’employé n’exerce effectivement l’activité prévue (10.4).

S’agissant des dispositifs techniques et de communication utilisés par un employé, une information périodique doit être fournie quant à la finalité du traitement, la durée de conservation des données collectées, la sauvegarde des données de connexion et l’archivage des messages électroniques professionnels (14.1).

Les réseaux sociaux
Les employeurs devraient collecter les données directement auprès de la personne concernée. Lorsqu’il est nécessaire et licite de traiter des données collectées auprès de tiers, par exemple pour obtenir des références professionnelles, la personne concernée devrait en être préalablement dûment informée (5.1). De plus, les employeurs devraient s’abstenir d’exiger ou de demander à un employé ou à un candidat d’avoir accès à des informations que celui-ci partage avec d’autres en ligne, notamment sur des réseaux sociaux (5.3).

Le Conseil de l’Europe souhaite ainsi clairement protéger les employés et candidats et exclure toute possibilité pour l’employeur ou futur employeur de se renseigner en ligne sur la personne concernée, notamment par le biais des moteurs de recherche. Il n’est pas fait d’exception pour les données partagées publiquement. On peut néanmoins se demander s’il ne faut pas considérer qu’il y a un accord implicite du candidat qui rend publiques des données sur un réseau social professionnel ou un site de recherche d’emploi.

Internet et le courrier électronique
En ce qui concerne l’accès à Internet, il conviendrait de préférence d’une part d’adopter des mesures préventives, telles que la configuration de systèmes ou l’utilisation de filtres qui peuvent empêcher certaines opérations, et d’autre part de prévoir éventuellement des contrôles effectués de manière graduée et par sondages non individuels, en utilisant des données anonymes ou agrégées (14.2).

L’accès par des employeurs aux communications électroniques professionnelles de leurs employés ne peut survenir que s’ils ont été informés au préalable de cette éventualité et si cela est nécessaire pour des raisons de sécurité ou d’autres raisons légitimes (14.3). En aucun cas le contenu, l’envoi et la réception de communications électroniques privées dans le cadre du travail ne devraient faire l’objet d’une surveillance (14.4).

En cas d’absence d’un employé, les employeurs devraient prendre les mesures nécessaires et prévoir les procédures appropriées visant à permettre l’accès aux communications électroniques professionnelles, uniquement lorsqu’un tel accès est nécessaire d’un point de vue professionnel. Cet accès devrait intervenir de la façon la moins intrusive possible et uniquement après avoir informé les employés concernés (14.3).

Lorsqu’un employé quitte son emploi, l’employeur devrait prendre des mesures techniques et organisationnelles afin que la messagerie électronique de l’employé soit désactivée automatiquement. Si le contenu de la messagerie devait être récupéré pour la bonne marche de l’organisation, l’employeur devrait prendre des mesures appropriées afin de récupérer son contenu avant le départ de l’employé et si possible en sa présence (14.5).

Surveillance et données biométriques
L’utilisation des systèmes et technologies d’information ayant pour finalité directe et principale de contrôler de l’activité et le comportement des employés ne devraient pas être permises. S’ils ont d’autres finalités légitimes (sécurité, protection de la santé, gestion efficace, etc.), les représentants des employés doivent être consultés préalablement et les systèmes spécialement conçus et placés de façon à ne pas porter préjudice aux droits fondamentaux des employés (15.1 et 15.2). Quant aux appareils permettant de localiser un employé, ils ne devraient être introduits que s’ils s’avèrent nécessaires pour atteindre les finalités légitimes poursuivies par les employeurs et si leur utilisation ne conduit pas à un contrôle permanent des employés.

La collecte et le traitement de données biométriques ne devraient être réalisés que lorsqu’ils sont nécessaires à la protection des intérêts légitimes des employeurs, des employés ou des tiers, et s’il n’y a pas de possibilité d’utiliser d’autres méthodes alternatives de traitement moins intrusives pour la vie privée (18.1).

De manière générale, tout traitement de données lié à l’utilisation d’Internet, des courriels, de la vidéosurveillance, d’appareils de localisation ou de données biométriques exige une information préalable des employés (finalité du dispositif, durée de conservation, existence ou non des droits d’accès et de rectification, et la façon dont ces droits peuvent être exercés), des mesures internes appropriées, ainsi que la consultation des représentants des employés et cas échéant des autorités nationales de protection des données (21).

Voir également

La surveillance électronique des employés (publication)

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé

Surveillance d’employés par le service informatique: les règles à suivre

Publications: La surveillance électronique des employés 23 mars 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Dans l’ouvrage Internet au travail édité par Jean-Philippe Dunand et Pascal Mahon, j’ai abordé la question de «La surveillance électronique des employés». Cette contribution est complétée par la présentation faite lors d’un séminaire organisé par l’Université de Neuchâtel.

Après avoir fait le point sur les exigences légales (Loi fédérale sur la protection des données et recommandations du Préposé fédéral à la protection des données et à la transparence, art. 28ss du Code civil, Loi et Ordonnance 3 sur le travail, ainsi que les articles 179ss du Code pénal), on passe en revue les jurisprudences déterminantes sur le sujet. Les points principaux sont ensuite regroupés en deux principes essentiels, l’information et la proportionnalité.

Différents cas d’applications sont finalement examinés: la surveillance téléphonique, la surveillance de l’Internet, la surveillance du courrier électronique, et la surveillance de l’activité. L’article se conclut par les conséquences d’une surveillance illégale et quelques recommandations pratiques.

Que fait-on de nos données? 28 janvier 2015

Posted by Sylvain Métille in Divers, Humeur, Informatique, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
1 comment so far

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

Balises et localisation du consommateur 19 janvier 2015

Posted by Sylvain Métille in Apple, Informatique, Localisation, Protection des données, Sphère privée, Technique, Vidéosurveillance.
add a comment

Il est toujours difficile de jouer à la lecture de la boule de cristal et de décrire les grandes tendances de la nouvelle année, mais il y en a une qui mérite que l’on s’y attarde: les balises (beacons en anglais), rendues populaires par les iBeacon de Apple et Placedge de Samsung notamment. Elles pourraient bien révolutionner la manière dont l’acheteur se comporte dans un magasin et surtout permettre au vendeur d’identifier et relier l’identité en ligne et dans le monde physique. En effet, quoi de plus frustrant pour le vendeur que de ne pas pourvoir faire le lien entre la personne qui se tient en face de lui dans le magasin et celui qui lui a laissé tant d’informations sur ses préférences d’achats sur un site web !

Comment cela fonctionne-t-il ?
De manière simplifiée, il s’agit de deux appareils qui communiquent entre eux par Bluetooth. Plus exactement, on a d’un côté une balise qui émet en continu des signaux à l’attention des téléphones portables dans un rayon de quelques dizaines de mètres. Ces signaux utilisent le Bluetooth Low Energy (BLE), une technique de transmission sans fil créée à l’époque par Nokia. Le coût d’une balise est faible et son autonomie assez longue, ce qui rend cette technologie particulièrement intéressante.

De l’autre côté, le téléphone portable reçoit le signal (en principe un identifiant unique par balise) et réagit en affichant un message personnalisé, en démarrant une application, en indiquant sa localisation ou en échangeant des informations.

Quels sont les avantages ?
Le propriétaire de la balise peut communiquer des informations individualisées au propriétaire du téléphone portable (publicité ciblée, bons de réductions, etc.) sans avoir besoin d’une intervention de ce dernier. Il peut aussi obtenir des informations précises sur le visiteur (qui est-il, quel est son historique d’achat, quelles sont ses préférences), voire faire s’afficher automatiquement des informations sur le téléphone (carte client, mais également carte de donneur d’organes à l’arrivée à l’hôpital). L’utilisation de plusieurs balises ou l’utilisation de données de localisation du téléphone permet d’appréhender tous les déplacements de l’acheteur dans le magasin et devant la vitrine (sans qu’il soit nécessaire de recourir à des systèmes de reconnaissance biométriques).

Quelles sont les limites ?
Le signal transmis par la balise va généralement déclencher une action qui ira au-delà de l’affichage d’un message, comme l’activation d’une application mobile et la transmission de données d’identification, etc. Dans ce cas, des données personnelles sont traitées. Le profil de déplacement d’un utilisateur, même anonyme, peut rapidement être identifié s’il s’agit par exemple d’un employé. Des données apparemment anonymes devront alors être considérées comme des données personnelles.

Le traitement de données personnelles doit être légitimé. On admettra qu’il y a un tel intérêt si le système est utilisé pour des motifs de sécurité (s’assurer que les personnes entrées dans une zone de l’aéroport en sont ressorties) ou pour des analyses purement statistiques dans lesquelles les personnes ne sont pas identifiables. Le Préposé fédéral à la protection des données et à la transparence a rappelé que les analyses à des fin de marketing ne peuvent être justifiées que par le consentement libre et éclairé des personnes concernées et que la surveillance des employés par de telles méthodes est absolument exclue (Rapport d’activités 2013/2014, p. 62).

L’utilisation de balises est donc licite pour autant que les personnes concernées soient correctement informées et qu’elles aient la possible de choisir de participer ou de rester à l’écart. Un consentement tout général lié à l’installation d’une application du vendeur serait insuffisant. Si aucune donnée sensible n’est recueillie et qu’aucun profil de personnalité n’est établi, une information clairement visible à l’entrée du magasin et une possibilité simple de s’y opposer pourraient suffirent.

Certains termes ou technologies sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data, les données massives (Big Data) et le skimming.

Open Data et Open Governement Data, mais qu’est-ce que c’est? 17 septembre 2014

Posted by Sylvain Métille in Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
2 comments

Il n’y a pas de définition unanime de ce qu’est une donnée ouverte (Open Data), mais on peut retenir qu’il s’agit d’une donnée qui peut être utilisée librement, réutilisée et redistribuée par chacun sans restriction (ou tout au plus celles liées à la paternité et au partage dans les mêmes conditions). Les données ouvertes peuvent être partagées par un privé ou par l’Etat.

En 2010, la Sunlight Foundation a établi une liste de dix critères que devraient remplir des données pour être dites ouvertes. Elles devraient donc être:

  • intégrales: les données doivent être aussi complètes que possibles, fournies dans un format brut et avec leur métadonnées, ainsi que les formules qui ont permis de calculer les données dérivées;
  • primaires: il doit s’agir des informations originales telles que collectées ;
  • immédiates: les données doivent être mises à disposition dès que possible, idéalement en temps réel;
  • accessibles: les données doivent être mises à disposition sans barrières, par exemple en permettant un téléchargement en bloc et en faisant des sélections spécifiquement au moyen d’une interface utilisateur ;
  • exploitables par une machine: les données doivent être structurées pour permettre le traitement automatisé par ordinateur. On évitera des notes manuscrite ou des formats pdf ;
  • non discriminatoires: accessibles à tous, sans aucune obligation préalable ni inscription et sans usage privilégié ni exclusif ;
  • non propriétaires: mises à disposition dans un format sur lequel personne ne dispose d’un contrôle exclusif ; libres de droits : pas de restriction d’utilisation, d’attribution ou de dissémination;
  • permanentes: les données doivent être accessibles de manière permanent. Si des modifications sont apportées, les différentes versions doivent être archivées et les modifications indiquées comme telles ;
  • gratuites: être disponibles sans frais.

Des données gouvernementales ouvertes
Lorsque les données sont mises à disposition par l’administration, on parle de données gouvernementales ouvertes (ODG, pour Open Government Data).

Le Conseil fédéral a adopté au printemps 2014 la Stratégie en matière de libre accès aux données publiques en Suisse (2014 à 2018) qui prévoit la libération des données publiques («open data by default»), la publication coordonnée des données publiques et l’établissement d’une culture du libre accès aux données publiques.

En Suisse, le Portail pilote des données ouvertes de l’administration publique suisse propose les jeux de données ouvertes des administrations fédérale et cantonales. On peut aussi citer l’association OpenData.ch qui milite pour l’ouverture des données publiques en Suisse.

Respecter la personnalité
La libération de données doit néanmoins respecter les principes de la protection des données (LPD). Lorsqu’il s’agit de données agrégées et anonymisées, la LPD ne sera pas applicable et il n’y aura que peu de règles à observer. En revanche, si la mise en contexte de ces données et leur utilisation avec d’autres bases de données rendent possible l’identification de certaines personnes, cela signifie que les données initiales n’étaient pas anonymes et que la LPD trouve application dès le début.

Les données ne peuvent alors être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint, ce qui exclut une diffusion des données. A moins que la personne ne soit informée dès la collecte ou qu’une loi ne le prévoie expressément, aucune donnée personnelle ne devrait être mise à disposition.

Certains termes sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, les données massives (Big Data) et le skimming.

C’est quoi des Big Data 25 août 2014

Posted by Sylvain Métille in Facebook, Google, Informatique, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.
add a comment

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons également présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data et le skimming.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Un moteur de recherche est un responsable de traitement (maître de fichier) 20 mai 2014

Posted by Sylvain Métille in Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA.
add a comment

Après avoir annulé la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) vient de rendre une nouvelle décision importante en matière de protection des données (arrêt de la Cour du 13 mai 2014 dans l’affaire C‑131/12, Google Spain SL et Google Inc. Contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González).

La Cour devait répondre à des questions soumises par une autorité judiciaire espagnole, qui elle-même avait à traiter de la demande d’un citoyen Espagnol qui exigeait qu’un journal local et Google retirent les liens vers deux pages sur lesquelles figurait une annonce, mentionnant son nom pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale. Cette saisie était conforme à la réalité au moment de la parution de l’annonce en 1998, mais elle a maintenant été réglée.

Un moteur de recherche est un responsable de traitement
Pour la Cour, il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Il s’agit chaque fois d’un traitement de données au sens de la directive 95/46/CE. La CJUE avait d’ailleurs déjà retenu dans un arrêt Lindqvist (C‑101/01) que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement de données. Que les données aient déjà fait l’objet d’une publication sur Internet et ne soint pas modifiées par le moteur de recherche n’y change rien. On a donc deux responsables de traitement (ou responsable de fichier pour reprendre la terminologie du droit suisse) étant donné qu’il y a deux traitements différentes: celui effectué dans le cadre de l’activité du moteur de recherche et celui effectué par l’éditeur du site web (où les données sont hébergées la première fois).

La CJUE a également insisté sur le rôle décisif des moteurs de recherche qui rendent accessibles aux internautes des données qu’ils n’auraient pas trouvées autrement. L’aperçu structuré des résultats constitue en outre un profil plus ou moins détaillé de la personne concernée.

Ce raisonnement doit être suivi car un moteur de recherche fait généralement bien plus que reprendre des liens sans aucune maîtrise sur leur contenu (comme cela a pourtant parfois pu être admis). Et quand bien même ce serait le cas, l’agrégation et la mise en structure de ces données constituent un traitement de données, puisque le simple affichage de données personnelles sur une page de résultats d’une recherche est déjà un traitement de telles données.

Le rattachement territorial
Le moteur de recherche est exploité par Google Inc. (USA), la société-mère du groupe. Le groupe Google a recours à sa filiale espagnole pour la promotion des ventes d’espaces publicitaires générés sur le site web www.google.com et elle a désigné auprès de l’AEPD cette filiale comme responsable du traitement de fichiers enregistrés par Google Inc.

Pour la CJUE, Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’un établissement stable en Espagne. Il n’est pas nécessaire que le traitement de données soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci. En l’espèce, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement sont indissociablement liées. Cette approche n’est pas nouvelle et le Tribunal fédéral suisse avait déjà appliqué un raisonnement similaire dans l’affaire Google Street View.

Le droit à l’oubli
La Cour n’apporte pas vraiment de réponses sur la question du droit à l’oubli et ses limites. Elle rappelle que chacun peut obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement viole la personnalité en raison du caractère incomplet ou inexact des données.

Même un traitement initialement licite de données exactes peut devenir, avec le temps, illicite lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. Le traitement doit évidemment être licite durant toute la période pendant laquelle il est effectué.

Il n’y a toutefois pas de réponse absolue sur la portée du droit à l’oubli et même si en règle générale la protection des données doit prévaloir, il se peut que la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information puisse renverser la balance.

En Suisse, Le Tribunal administratif fédéral (TAF) avait retenu au contraire en 2008 (ATAF208/16) que la fonction du registre du commerce s’opposait au droit à l’oubli, au vu de l’intérêt public prépondérant à la publicité de ces informations, même longtemps après leur parution dans la Feuille officielle suisse du commerce. Le TAF avait également souligné que la limite de temps imposée aux recherches en ligne dans la Feuille officielle ne s’appliquait pas au sites privés. Cet intérêt presque perpétuel retenu par le TAF tranche singulièrement avec l’approche de la CJUE qui considère que des informations liées à une saisie 16 ans auparavant ne sont plus pertinentes au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche et doivent être effacées.

Les motifs justificatifs
Il faut procéder à une pesée d’intérêts entre l’intérêt de la personne à la suppression de ses données et un intérêt légitime du moteur de recherche à les traiter.

La CJUE souligne que l’atteinte se trouve démultipliée en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne (caractère ubiquitaire des informations contenues dans une liste de résultats) et que les données peuvent être répliquées facilement sur d’autres sites web (y compris dans des pays n’offrant pas les mêmes garanties légales). Les motifs justificatifs qui profitent à l’éditeur d’une page web ne sont pas forcément valables pour le moteur de recherche. L’inclusion dans la liste de résultats affichés à la suite d’une recherche effectuée à partir du nom d’une personne est susceptible de constituer une atteinte plus grande que la publication par l’éditeur de cette page web.

L’exploitant d’un moteur de recherche peut donc être obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même si le nom ou ces informations ne sont pas effacés de ces pages web elle-même (y compris lorsque cette publication-là serait licite).

Les conséquences concrètes
La CJUE a affirmé le rôle de responsable de traitement (maître du fichier) du moteur de recherche et son obligation de respecter les normes de protection des données. Il ne peut plus prétendre à un statut d’hébergeur sans maîtrise du contenu, ce qui pourrait le disculper lors de l’application d’autres normes juridiques. Dans le même ordre d’idées, le Tribunal fédéral a rappelé que toute personne qui participe à l’atteinte peut être tenu de la faire cesser (en cessant sa participation), même s’il n’en est pas à l’origine ni n’a commis aucune faute.

Un moteur de recherche ne pourra désormais plus présumer qu’il effectue un traitement licite de données par ce que les données personnelles proviennent d’autres sites. Il devra aussi donner suite aux demandes qui lui sont adressées au-cas par cas et vérifier s’il y a des motifs suffisants pour justifier son traitement ou s’il doit supprimer le contenu.

Reste encore la question la plus intéressante (et celle à laquelle la CJUE n’a que peu répondu), qui est celle de savoir dans quelle mesure le droit à l’oubli peut permettre à chacun de demander la suppression d’informations  (et après combien de temps), voire  si celui qui traite des données doit en tenir compte spontanément et supprimer certaines données (lesquelles ?).

Mises à jour 30 mai et 24 juillet 2014
Google et Bing ont mis en ligne des formulaires de demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données. A noter que la Suisse figure parmi les pays concernés.

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014 (C-293/12 et C-594/12), la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Comment restaurer la confiance 10 mars 2014

Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.
add a comment

J’ai eu le plaisir de co-organiser il y a quelques semaines un workshop à la Conférence Lift à Genève intitulé «Privacy & Data Protection conversations: how might we reinstate trust in a global digital society?»

Nous avons profité du cadre particulier de Lift pour faire «travailler» les participants et les mettre dans le rôle de différents intervenants (citoyen, autorité, législateur, entreprise, fournisseur de services, donneur d’alerte, etc.). Partant du constant qu’il y a actuellement une crise de confiance importante et de nombreux doutes s’agissant de la protection de la sphère privée, nous leur avons demandé de réfléchir à leurs attentes dans ce domaine.

Quatre points sont revenus de manière assez systématique dans tous les groupes d’intéressés: information, transparence, équité et contrôle. Au-delà des exigences légales, il y avait un consensus sur le fait que tout traitement de données doit être transparent et équitable, et qu’un contrôle doit pouvoir être effectué sur le traitement de ses données.

Selon les fonctions
De manière très synthétique, il est ressorti de ces discussions que les citoyens réclament une meilleure éducation et une (in)formation à l’école, ainsi que des outils efficaces pour identifier le sort réservé à leurs données personnelles. Ils s’attendent à un usage honnête de leurs données par l’administration et veulent pouvoir faire entendre leur voix et défendre leurs droits collectivement en tant que consommateurs.

Les entreprises doivent être transparentes et la manière dont elles traitent des données doit être expliquée de manière compréhensible. Elles doivent se rappeler que la protection de la sphère privée ne va pas à l’encontre du développement de leurs activités. Elle peut même apporter de nouvelles opportunités commerciales et la protection intégrée de la vie privée (privacy by design) ajoute de la valeur à leur activité. Les fournisseurs de service doivent également être transparents et respecter leurs promesses. Ils doivent protéger les donner qu’ils traitent.

Les participants attendent de l’administration qu’elle protège également les données des citoyens et adopte un cadre juridique adéquat, même si cela doit avoir un coût. Une utilisation des données des citoyens par le Gouvernement (notamment pour des questions de sécurité) est acceptée si elle est légitime et nécessaire. Ils considèrent finalement qu’il y a besoin de donneurs d’alertes pour augmenter la transparence, la conscience et le contrôle, même s’il y a des risques comme la fuite de données ou des motivations individuelles.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 832 autres abonnés