jump to navigation

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications 25 août 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
1 comment so far

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.

Rapport 2014-2015 du Préposé fédéral à la protection des données et à la transparence 9 juillet 2015

Posted by Sylvain Métille in ATF, Facebook, Google, Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Technique, Vidéosurveillance.
2 comments

Le Préposé fédéral à la protection des données et à la transparence Hanspeter Thür a présenté au mois de juin son dernier rapport annuel 2014/2015 dont la densité démontre à elle seule l’étendue des questions à traiter. Contrairement aux années précédentes, le ton est moins consensuel et rappelle les violations fréquentes des principes fondamentaux de la protection de la sphère privée, soulignant le «monopole néo-féodal de Google, Facebook, Amazon et consorts», le besoin d’un débat social profond quant à une «stratégie de la société numérique» et le caractère «quelque peu préoccupant» du «“Patriot Act” suisse».

Le numéro AVS (NAVS13)
Le PFPDT avait déjà fait part de ses inquiétudes l’année dernière, en particulier du fait que son utilisation dans des domaines sans lien avec les assurances sociales permet de dresser un profil de la personnalité très complet et de relier des informations qui ne devraient pas l’être. Tout recours systématique à un identificateur unique et universel tel que le numéro AVS représente des risques majeurs pour la sphère privée des personnes concernées et il faut préférer l’utilisation d’un numéro sectoriel (comme cela est envisagé pour le dossier électronique du patient).

Cette année le numéro AVS sera introduit dans le registre foncier, contre l’avis du Préposé. Il sera également utilisé dans le registre du commerce, mais ne devrait pas être publiquement accessible. La révision partielle de la loi sur la radio et la télévision prévoit également un registre national de toutes les personnes enregistrées en Suisse avec leur numéro AVS, qui sera utilisé par Billag.

D’autres projets en cours pourraient également voir l’utilisation du numéro AVS, par exemple le projet de Loi fédérale relative à l’application des principes du débiteur et de l’agent payeur à l’impôt anticipé, le projet de registre national des maladies oncologiques, le projet d’échange de données personnelles entre les contrôles des habitants, la Poste et d’autres détenteurs de données, ou encore le projet d’utilisation d’un identifiant personnel administratif dans la cyberadministration. Le numéro AVS ne devrait en revanche pas être utilisé comme identifiant unique pour le dossier électronique du patient ou comme numéro d’identification fiscale (NIF).

Dans le cadre de la consultation des offices sur la Stratégie Open Governement Data, le PFPDT a recommandé que le document stratégique prévoie des procédures incluant des mesures techniques et organisationnelles afin de prévenir toute divulgation accidentelle de données personnelles.

Postfinance, CFF, Migros et Coop
Postfinance a introduit une nouvelle plateforme d’e-banking comprenant un logiciel d’analyse obligatoire afin d’assurer la planification du budget et la représentation des flux monétaires. L’analyse des transactions permet aux clients de Postfinance de recevoir des offres spéciales d’entreprises tierces sur leur page e-banking. Depuis l’intervention du PFPDT, les clients sont informés et peuvent choisir, ce qui signifie qu’aucune analyse n’est possible sans leur consentement.

Si le Conseil fédéral a abandonné l’idée d’un échange automatique d’adresses entre la Poste et les registres des habitants, il a néanmoins chargé le Département fédéral de justice et police d’examiner les solutions permettant un échange automatique d’adresses entre les différents organes publics.

Le PFPDT a vérifié les conditions d’utilisation du service de WiFi gratuit proposé par le CFF dans différentes gares. Il a constaté que le traitement des données à des fins de marketing n’était pas encore mis en œuvre. Les conditions d’utilisation étaient formulées de manière trop imprécise et ne détaillaient pas quelles données étaient utilisées à quelles fins. Par conséquent, le consentement requis pour un traitement à des fins de marketing et pour l’analyse de flux de personnes ne serait pas valable sur la base de ces conditions d’utilisation. Les conditions générales ont donc été adaptées.

En ce qui concerne les cartes clients de Migros, le PFPDT a émis une recommandation formelle selon laquelle Migros doit répondre à un client qui fait valoir son droit d’accès, dans quel segment il est classé sur la base des analyses liées aux données clients. Cette classification représente une composante centrale du traitement des données et sa communication est indispensable pour se faire une idée des critères d’analyse, évaluer leur exactitude et se comporter en conséquence. Migros a accepté la recommandation. S’agissant de Coop, la procédure de contrôle est encore en cours.

Vente aux enchères de dossiers médicaux
Le fait que les données des patients possèdent une valeur marchande a été confirmé par un office des faillites qui envisageait la vente forcée du fichier de patients d’un dentiste avec les dossiers médicaux, sans en informer les patients concernés au préalable. Cela n’est pas possible, car l’accord des patients est une condition indispensable. S’agissant de données sensibles, un consentement explicite, donné librement et après avoir été informé est nécessaire.

De manière plus générale, le Préposé rappelle qu’un médecin doit prendre des mesures techniques appropriées pour protéger les données de ses patients contre un accès non autorisé. Pour des informations médicales, la simple protection par identifiant et mot de passe ne suffit pas. Il faut faire appel à des technologies de chiffrement adaptées. En cas d’utilisation de services informatiques en nuage, seul le médecin doit avoir accès à la clé de déchiffrement.

Les assurances
Le PFPDT a constaté à plusieurs reprises que quelques assurances-maladies complémentaires n’effacent pas les données concernant la santé de personnes dont la demande d’adhésion n’a pas abouti à un contrat. Elles ont pourtant une obligation d’effacer spontanément ces données. L’assurance peut avoir un intérêt (justifié) à conserver pendant un certain temps les données d’identification du demandeur ainsi qu’une brève motivation du refus, mais en aucun cas les formulaires de demande contenant les renseignements médicaux ou d’autres informations médicales rassemblées.

En matière de procuration, des améliorations sont nécessaires. Les assurances doivent demander une nouvelle procuration pour chaque nouvel événement assuré. En effet, une procuration ne peut se référer à tous les événements futurs et une procuration standard remise à la conclusion du contrat ne serait pas valable. Elle doit au contraire nommer l’objet de la recherche, par exemple en lien avec le sinistre survenu à une date précise et limiter le traitement aux données nécessaires dans ce contexte. Celui qui transmet des données à l’assurance est responsable de vérifier, malgré la présence d’une procuration, que les données souhaitées sont requises par l’objectif visé et qu’aucun intérêt particulier prépondérant de la personne concernée ne s’oppose à une communication des données. Malheureusement les assurances n’acceptent pas que les assurés modifient la procuration et menacent immédiatement d’une réduction des prestations pour non-respect du devoir de collaboration. Dans les faits, les assurés sont obligés de signer la procuration, ce qui peut néanmoins enlever toute validité au consentement obtenu de manière contrainte.

Les caméras embarqués
Le PFPDT rappelle que l’utilisation de caméras embarquées (dashcams) contrevient en général au droit de la protection des données et qu’elles ne doivent pas être utilisées. Même si ces enregistrements peuvent avoir une certaine utilité, ils n’en demeurent pas moins problématiques car une caméra embarquée filme en continu. Le traitement de données ne se limite pas aux personnes qui sont impliquées dans un événement spécifique (par exemple un accident) ou se comportent de manière fautive, mais concerne toutes les personnes présentes dans le champ de la caméra. De plus, les personnes concernées ne savent pas qu’elles sont filmées. L’utilisation de caméras embarquées est donc contraire aux principes de transparence et de proportionnalité. A noter que cela ne se limite pas seulement aux caméras embarqués dans une voiture, mais s’applique à toutes les caméras utilisées dans l’espace publique (caméras embarqué sur un casque à ski ou à vélo, drones, etc.).

La situation pourrait être différente lorsque la caméra est enclenchée uniquement lorsque survient un accident: tous les utilisateurs de la route ne sont pas considérés comme des suspects potentiels et il n’y a pas de traitement de données à titre préventif. Si l’enregistrement est limité à un événement concret, le traitement de données pourrait être justifié par un intérêt prépondérant.

Transparence
En matière de transparence, le PFPDT a traité 85 demandes de médiation qui ont abouties à 49 recommandations. Le Préposé a rejeté le projet de nouvelles dispositions dans la Loi sur l’aviation selon laquelle les documents concernant les activités de surveillance de l’Office fédéral de l’aviation civile devraient être soustraits à la Loi sur la transparence.

Dans le cadre de l’évaluation de la Loi sur la Transparence, les évaluateurs partagent le sentiment du Préposé que le changement de paradigme régulièrement demandé depuis l’entrée en vigueur de la LTrans n’a toujours pas été mis en œuvre dans l’ensemble de l’administration fédérale et que certaines autorités s’opposent régulièrement à la transmission des documents.

Publications
Au titre des explications et autres publications du PFPDT, on peut relever les explications sur les systèmes de contrôle d’accès dans les centre de loisirs (y compris les stations de ski), les explications sur la vidéosurveillance au moyen de caméras embarquées, les explications sur les mégadonnées (big data), les explications sur le droit à l’oubli, les explications sur l’utilisation de drones, les explications sur les systèmes de localisation de personnes, les explications sur le Bring Your Own Device, les explications sur la protection des données et la recherche et un feuillet thématique sur les systèmes de contrôle d’accès aux centres de loisirs.

Données des travailleurs et candidats: recommandation du Conseil de l’Europe 24 avril 2015

Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléphonie, Technique, Vidéosurveillance.
add a comment

Le Comité des Ministres du Conseil de l’Europe a adopté au début du mois d’avril 2015 la Recommandation sur le traitement des données à caractère personnel dans le cadre de l’emploi (CM/Rec(2015)5). Cette recommandation s’applique à tout traitement de données à caractère personnel concernant les rapports entre employeurs et employés relatifs au recrutement, à l’exécution du contrat de travail et à la fin des rapports de travail dans les secteurs public et privé.

Elle rappelle la garantie du respect des droits de l’homme, de la dignité humaine et des libertés fondamentales, ainsi que les principes applicables au traitement des données (en particulier lors de la collecte, l’enregistrement, l’utilisation interne et la communication externe des données), la transparence du traitement, et les droits d’accès, de rectification et d’opposition.

Proportionnalité et transparence
La Recommandation souligne en particulier la proportionnalité du traitement. Les employeurs devraient veiller à ce que le traitement des données ne porte que sur les données strictement nécessaires pour atteindre l’objectif déterminé dans les cas individuels concernés (4.1) et les données devraient être pertinentes et non excessives, compte tenu du type d’emploi ainsi que des besoins évolutifs d’information de l’employeur (5.2).

Les données fournies à la suite d’un acte de candidature devraient en principe être effacées dès qu’il devient clair que la candidature ne sera pas retenue par l’employeur ou sera retirée par le candidat. Lorsque de telles données sont conservées en vue d’une demande d’emploi ultérieure, l’intéressé devrait en être informé en conséquence et les données devraient être effacées à sa demande (13.2). En l’absence de réaction du candidat, on devrait pouvoir considérer qu’il ne s’oppose pas à la conservation pour une période raisonnable. Quant aux données traitées dans le cadre d’une enquête interne, elles devraient être effacées dans un délai raisonnable si aucune sanction n’a été prononcée à l’égard d’un employé (13.4).

Des informations sur les données détenues par des employeurs devraient être mises à la disposition de l’employé concerné (10.1) et une description particulièrement claire et complète devrait être fournie des catégories de données qui peuvent être collectées et de leur utilisation potentielle lorsque des moyens techniques comme la vidéosurveillance sont utilisés (10.3). Ces informations, facilement accessibles et à jour, devraient être fournies avant que l’employé n’exerce effectivement l’activité prévue (10.4).

S’agissant des dispositifs techniques et de communication utilisés par un employé, une information périodique doit être fournie quant à la finalité du traitement, la durée de conservation des données collectées, la sauvegarde des données de connexion et l’archivage des messages électroniques professionnels (14.1).

Les réseaux sociaux
Les employeurs devraient collecter les données directement auprès de la personne concernée. Lorsqu’il est nécessaire et licite de traiter des données collectées auprès de tiers, par exemple pour obtenir des références professionnelles, la personne concernée devrait en être préalablement dûment informée (5.1). De plus, les employeurs devraient s’abstenir d’exiger ou de demander à un employé ou à un candidat d’avoir accès à des informations que celui-ci partage avec d’autres en ligne, notamment sur des réseaux sociaux (5.3).

Le Conseil de l’Europe souhaite ainsi clairement protéger les employés et candidats et exclure toute possibilité pour l’employeur ou futur employeur de se renseigner en ligne sur la personne concernée, notamment par le biais des moteurs de recherche. Il n’est pas fait d’exception pour les données partagées publiquement. On peut néanmoins se demander s’il ne faut pas considérer qu’il y a un accord implicite du candidat qui rend publiques des données sur un réseau social professionnel ou un site de recherche d’emploi.

Internet et le courrier électronique
En ce qui concerne l’accès à Internet, il conviendrait de préférence d’une part d’adopter des mesures préventives, telles que la configuration de systèmes ou l’utilisation de filtres qui peuvent empêcher certaines opérations, et d’autre part de prévoir éventuellement des contrôles effectués de manière graduée et par sondages non individuels, en utilisant des données anonymes ou agrégées (14.2).

L’accès par des employeurs aux communications électroniques professionnelles de leurs employés ne peut survenir que s’ils ont été informés au préalable de cette éventualité et si cela est nécessaire pour des raisons de sécurité ou d’autres raisons légitimes (14.3). En aucun cas le contenu, l’envoi et la réception de communications électroniques privées dans le cadre du travail ne devraient faire l’objet d’une surveillance (14.4).

En cas d’absence d’un employé, les employeurs devraient prendre les mesures nécessaires et prévoir les procédures appropriées visant à permettre l’accès aux communications électroniques professionnelles, uniquement lorsqu’un tel accès est nécessaire d’un point de vue professionnel. Cet accès devrait intervenir de la façon la moins intrusive possible et uniquement après avoir informé les employés concernés (14.3).

Lorsqu’un employé quitte son emploi, l’employeur devrait prendre des mesures techniques et organisationnelles afin que la messagerie électronique de l’employé soit désactivée automatiquement. Si le contenu de la messagerie devait être récupéré pour la bonne marche de l’organisation, l’employeur devrait prendre des mesures appropriées afin de récupérer son contenu avant le départ de l’employé et si possible en sa présence (14.5).

Surveillance et données biométriques
L’utilisation des systèmes et technologies d’information ayant pour finalité directe et principale de contrôler de l’activité et le comportement des employés ne devraient pas être permises. S’ils ont d’autres finalités légitimes (sécurité, protection de la santé, gestion efficace, etc.), les représentants des employés doivent être consultés préalablement et les systèmes spécialement conçus et placés de façon à ne pas porter préjudice aux droits fondamentaux des employés (15.1 et 15.2). Quant aux appareils permettant de localiser un employé, ils ne devraient être introduits que s’ils s’avèrent nécessaires pour atteindre les finalités légitimes poursuivies par les employeurs et si leur utilisation ne conduit pas à un contrôle permanent des employés.

La collecte et le traitement de données biométriques ne devraient être réalisés que lorsqu’ils sont nécessaires à la protection des intérêts légitimes des employeurs, des employés ou des tiers, et s’il n’y a pas de possibilité d’utiliser d’autres méthodes alternatives de traitement moins intrusives pour la vie privée (18.1).

De manière générale, tout traitement de données lié à l’utilisation d’Internet, des courriels, de la vidéosurveillance, d’appareils de localisation ou de données biométriques exige une information préalable des employés (finalité du dispositif, durée de conservation, existence ou non des droits d’accès et de rectification, et la façon dont ces droits peuvent être exercés), des mesures internes appropriées, ainsi que la consultation des représentants des employés et cas échéant des autorités nationales de protection des données (21).

Voir également

La surveillance électronique des employés (publication)

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé

Surveillance d’employés par le service informatique: les règles à suivre

Publications: La surveillance électronique des employés 23 mars 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
1 comment so far

Dans l’ouvrage Internet au travail édité par Jean-Philippe Dunand et Pascal Mahon, j’ai abordé la question de «La surveillance électronique des employés». Cette contribution est complétée par la présentation faite lors d’un séminaire organisé par l’Université de Neuchâtel.

Après avoir fait le point sur les exigences légales (Loi fédérale sur la protection des données et recommandations du Préposé fédéral à la protection des données et à la transparence, art. 28ss du Code civil, Loi et Ordonnance 3 sur le travail, ainsi que les articles 179ss du Code pénal), on passe en revue les jurisprudences déterminantes sur le sujet. Les points principaux sont ensuite regroupés en deux principes essentiels, l’information et la proportionnalité.

Différents cas d’applications sont finalement examinés: la surveillance téléphonique, la surveillance de l’Internet, la surveillance du courrier électronique, et la surveillance de l’activité. L’article se conclut par les conséquences d’une surveillance illégale et quelques recommandations pratiques.

Que fait-on de nos données? 28 janvier 2015

Posted by Sylvain Métille in Divers, Humeur, Informatique, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
1 comment so far

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

La neutralité du Net 31 octobre 2014

Posted by Sylvain Métille in Logiciel, Skype, Sphère privée, Suisse, Téléchargement, Téléphonie, Technique, USA.
2 comments

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA ou en Europe. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.

Open Data et Open Governement Data, mais qu’est-ce que c’est? 17 septembre 2014

Posted by Sylvain Métille in Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
2 comments

Il n’y a pas de définition unanime de ce qu’est une donnée ouverte (Open Data), mais on peut retenir qu’il s’agit d’une donnée qui peut être utilisée librement, réutilisée et redistribuée par chacun sans restriction (ou tout au plus celles liées à la paternité et au partage dans les mêmes conditions). Les données ouvertes peuvent être partagées par un privé ou par l’Etat.

En 2010, la Sunlight Foundation a établi une liste de dix critères que devraient remplir des données pour être dites ouvertes. Elles devraient donc être:

  • intégrales: les données doivent être aussi complètes que possibles, fournies dans un format brut et avec leur métadonnées, ainsi que les formules qui ont permis de calculer les données dérivées;
  • primaires: il doit s’agir des informations originales telles que collectées ;
  • immédiates: les données doivent être mises à disposition dès que possible, idéalement en temps réel;
  • accessibles: les données doivent être mises à disposition sans barrières, par exemple en permettant un téléchargement en bloc et en faisant des sélections spécifiquement au moyen d’une interface utilisateur ;
  • exploitables par une machine: les données doivent être structurées pour permettre le traitement automatisé par ordinateur. On évitera des notes manuscrite ou des formats pdf ;
  • non discriminatoires: accessibles à tous, sans aucune obligation préalable ni inscription et sans usage privilégié ni exclusif ;
  • non propriétaires: mises à disposition dans un format sur lequel personne ne dispose d’un contrôle exclusif ; libres de droits : pas de restriction d’utilisation, d’attribution ou de dissémination;
  • permanentes: les données doivent être accessibles de manière permanent. Si des modifications sont apportées, les différentes versions doivent être archivées et les modifications indiquées comme telles ;
  • gratuites: être disponibles sans frais.

Des données gouvernementales ouvertes
Lorsque les données sont mises à disposition par l’administration, on parle de données gouvernementales ouvertes (ODG, pour Open Government Data).

Le Conseil fédéral a adopté au printemps 2014 la Stratégie en matière de libre accès aux données publiques en Suisse (2014 à 2018) qui prévoit la libération des données publiques («open data by default»), la publication coordonnée des données publiques et l’établissement d’une culture du libre accès aux données publiques.

En Suisse, le Portail pilote des données ouvertes de l’administration publique suisse propose les jeux de données ouvertes des administrations fédérale et cantonales. On peut aussi citer l’association OpenData.ch qui milite pour l’ouverture des données publiques en Suisse.

Respecter la personnalité
La libération de données doit néanmoins respecter les principes de la protection des données (LPD). Lorsqu’il s’agit de données agrégées et anonymisées, la LPD ne sera pas applicable et il n’y aura que peu de règles à observer. En revanche, si la mise en contexte de ces données et leur utilisation avec d’autres bases de données rendent possible l’identification de certaines personnes, cela signifie que les données initiales n’étaient pas anonymes et que la LPD trouve application dès le début.

Les données ne peuvent alors être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint, ce qui exclut une diffusion des données. A moins que la personne ne soit informée dès la collecte ou qu’une loi ne le prévoie expressément, aucune donnée personnelle ne devrait être mise à disposition.

Certains termes sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, les données massives (Big Data) et le skimming.

C’est quoi des Big Data 25 août 2014

Posted by Sylvain Métille in Facebook, Google, Informatique, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.
add a comment

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons également présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data et le skimming.

Rapport 2014 du préposé fédéral à la protection des données 4 août 2014

Posted by Sylvain Métille in Jurisprudence, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié son 21e rapport d’activité. Pour rappel, le PFPDT c’est une équipe d’un peu moins de 30 personnes (équivalents plein temps), qui s’occupe principalement de protection des données (et dans une moindre mesure des questions de transparence) et en particulier du conseil et de la surveillance des organes fédéraux et des personnes privées, de la collaboration avec ses homologues étrangers, de la tenue du registre des fichiers ainsi que de la prise de position sur les projets législatifs fédéraux. Chaque canton a un préposé cantonal en charge de surveiller le traitement des données par son administration.

Vu les ressources et surtout les pouvoirs de contrainte limités du PFPDT (il ne peut pas imposer d’amende comme dans d’autres pays ni interdire le traitement de données sans devoir défendre sa recommandation devant un tribunal), l’essentiel de l’activité consiste en l’information des personnes privées et l’adoption de recommandations et conseils aux responsables de traitement de données. Il a ainsi développé un outil d’analyse d’impact relative à la protection des données qui offre un questionnaire qui évolue de manière dynamique en fonction des réponses déjà apportées (1.8.8).

Le numéro AVS à 13 chiffres
L’utilisation du numéro AVS (NAVS13) dans des domaines variés est un risque important pour la protection de la sphère privée. Le PFPDT a ainsi proposé d’utiliser seulement un numéro sectoriel calculé sur la base du NAVS13 (numéro AVS haché) pour la perception de la redevance radio-télé (1.2.8). Cette conversion au moyen d’une fonction unidirectionnelle permettrait de ne plus déterminer le numéro d’origine, ce qui réduirait considérablement le problème de l’interconnexion de différentes banques de données.

Il a également obtenu dans le cadre du projet de loi fédérale sur le dossier électronique du patient (LDEIP), qu’on recourt à l’utilisation comme identifiant du patient d’un numéro aléatoire, généré et géré par la Centrale de compensation (CdC), au lieu du numéro AVS. L’utilisation du numéro AVS dans le cadre du registre du commerce inquiète également le PFPDT (1.8.4).

Clients et secteur du travail
Dans le secteur du travail, le PFPDT a élaboré un feuillet thématique expliquant la démarche à suivre pour les banques souhaitant communiquer des données personnelles dans le cadre du différend fiscal (1.7.1).

Il a également ouvert une procédure d’éclaircissement des faits auprès de la Poste Suisse suite à la plainte d’un syndicat concernant les enregistrements téléphoniques des collaborateurs du service clientèle. Il est arrivé à la conclusion que les prescriptions en matière de protection des données, notamment l’information aux collaborateurs et la proportionnalité des processus de contrôle, étaient respectées. Il semble en revanche que toutes les caisses de pension n’ont pas tiré les conséquences de la décision du TAF qui leur interdit de transmettre les certificats de prévoyance à l’employeur (1.7.4).

Le PFPDT s’est aussi penché sur un système d’accueil destiné au marché hôtelier de luxe, collectant les mouvements et les préférences des clients à l’aide de la technologie RFID. Un tel profilage nécessite une information préalable des personnes concernées ainsi que leur consentement explicite et une alternative doit être proposée (1.8.9). Des contrôles sont encore en cours concernant l’utilisation plus classique de cartes-clients (1.8.2).

S’agissant des cartes de paiement sans contact, le PFPDT regrette une absence de choix du consommateur et appel le secteur bancaire à permettre au client de refuser cette technologie (1.9.2).

Le droit à l’oubli
Bien que l’existence du droit à l’oubli a été rappelé par la Cour de justice de l’Union européenne récemment, le projet de loi sur la modernisation du registre du commerce ne prévoit pas d’interdire la libre consultation des données du registre du commerce sur Internet après une certaine période (1.8.4). Dans ce domaine, il faut relever que le PFPDT est en train d’examiner les différents traitements de données effectués par la société Itonex SA (qui gère le site Moneyhouse) (1.8.5).

L’archivage numérisé d’articles journalistiques constitue un traitement de données personnelles et doit être légitimé par un motif justificatif, en principe par un intérêt public prépondérant. Il s’agit donc essentiellement d’une question de proportionnalité. Le principe de proportionnalité requiert que les données personnelles soient effacées ou rendues anonymes après un certain délai, dans la mesure où leur conservation n’est plus justifiée. Il faut procéder à une pesée d’intérêts et mettre en balance, d’une part, l’intérêt de l’individu à l’effacement de ses données personnelles des archives numériques d’un journal ou de son intérêt au retrait de l’indexation dans les moteurs de recherche, et d’autre part, l’intérêt public à la conservation des données dans les archives numériques ou dans les moteurs de recherche (1.3.5).

Vidéosurveillance
En matière de vidéosurveillance à des fins de recherches (1.2.2), le PFPDT a précisé les conditions d’information préalable. Si une telle information n’est pas envisageable, les images ne devront alors pas être publiées, où seulement d’une manière à ce que les personnes ne soient pas reconnaissables.

Quant à la question de la transmission d’images vidéos à une autorité pénale, le PFPDT considère qu’elle est justifiée et légale lorsqu’elle repose sur une décision (1.2.3). Cet avis, s’il pourra souvent être suivi, n’est pas absolu. Selon le type de vidéosurveillance, l’utilisation des images à des fins pénales pourrait être contraire au but dans lequel les données ont été traitées et les preuves pourraient être illégales. L’autorité fribourgeoise de protection des données a d’ailleurs récemment refusé la transmission des images d’une caméra de surveillance du trafic à une assurance en responsabilité civile.

Le PFPDT s’est encore prononcé sur les possibilités de partage d’informations entre des boîtes de nuits concernant les clients interdits et la manière dont une entreprise qui travaillerait pour plusieurs établissements doit séparer les informations (1.2.4).

Il a par ailleurs obtenu l’ajout dans la loi sur les systèmes d’information de la Confédération dans le domaine du sport de l’exigence du consentement du sportif concerné avant la communication de données et de résultats du diagnostic de performance (1.2.9).

Cookies et webtracking
Comme la plupart du temps les internautes ne se rendent pas compte de la présence de cookies et autres traceurs, il y a en règle générale une violation des droits de la personnalité des personnes concernées.

Un principe fondamental pour l’exploitant du site web lors de l’utilisation du webtracking est le principe de la transparence: cela signifie que l’exploitant du site web doit informer en détail les visiteurs du fait qu’il utilise des outils de webtracking et les possibilités qu’a un visiteur de s’y opposer. Etant donné que le webtracking est généralement utilisé pour créer des profils de la personnalité, ceci requiert le consentement explicite du visiteur du site avant de pouvoir collecter des données. Si le site web intègre des plugins sociaux, il faut utiliser une solution dite «à deux clics».

Les chiffres entre parenthèse font référence aux chapitres du rapport.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 835 autres abonnés