jump to navigation

Comment réagir lorsque l’on découvre une faille de sécurité? 9 avril 2015

Posted by Sylvain Métille in Informatique, Protection des données, Publications, Sphère privée, Suisse, Technique.
add a comment

Il n’y a pas d’obligation de notifier une faille de sécurité en Suisse, mais il faut pourtant s’y préparer. En l’absence de procédure légale, c’est donc à l’entreprise de choisir comment elle veut réagir.

Lorsque l’on parle de failles de sécurité, on pense surtout à Adobe, Sony, Target, etc. Mais cela existe également en Suisse, sauf qu’on le sait peut-être moins. En 2013, la Banque Coop envoie 41 000 relevés de compte à de mauvais destinataires à cause d’une erreur de programmation informatique, alors que la NZZ reçoit cinq bandes de sauvegarde contenant des données confidentielles de Swisscom. En 2014, ce sont les factures de clients de UPC Cablecom qui sont accessibles sur le site de l’opérateur. On apprend également que de nombreux sites de e-banking sont vulnérables à cause de la faille « Heartbleed » et la BCGE refuse de payer une rançon pour éviter la divulgation de données relatives à des milliers de clients. S’y ajoutent les courriels mal adressés, les ordinateurs, clés USB et autres supports perdus ou volés, ainsi que les actes d’employés indélicats.

(Presque) pas d’obligation d’annonce
La plupart des Etats américains prévoient une obligation d’annoncer les failles de sécurité relatives à des données personnelles. Ce devrait être le cas en Europe avec le nouveau Règlement sur la protection des données. Des obligations d’annonce sont également en discussion pour les infrastructures critiques. En Suisse, rien de tout cela. Tout au plus l’autorité de surveillance devra être informée pour certaines activités réglementées (par exemple les banques) ou si l’information des personnes concernées permet de réduire notablement le dommage causé. Dans certains cas, il faudra informer une autorité étrangère parce que parmi les données exposées se trouvent celles d’une résident étranger, ou un partenaire contractuel.

Etre prêt à communiquer et collaborer
Lorsqu’une faille est découverte, il faut agir vite (et bien). Il est donc impératif d’avoir défini préalablement une politique et que chaque employé connaisse le point d’alerte interne. On prendra soin d’avoir identifié et de pouvoir contacter rapidement les personnes concernées, y compris les intervenants externes. Tous les aspects doivent être pris en compte : les conséquences légales, l’atteinte à la réputation, le risque d’une attaque, etc. Il est essentiel d’impliquer dès le début les responsables informatiques, juridiques et des relations publiques. Le plan devra être suffisamment détaillé pour permettre de trouver en urgence toutes les informations utiles. Il ne faudra finalement pas oublier les employés, qui devront être rassurés et à qui il faudra donner les informations leurs permettant de défendre l’image de l’entreprise.

Une approche fine et un plan détaillé adapté à chaque entreprise est absolument nécessaire. Voici déjà quelques grandes lignes:

  1. Alerter. Celui qui découvre la faille doit immédiatement alerter le responsable de la sécurité et lui donner toutes informations dont il dispose (qui est impliqué, quelles données sont potentiellement concernées, qui est au courant de la faille et s’il y a des mesures immédiates à prendre).
  2. Réunir. Le responsable de la sécurité doit rendre inaccessible les données qui le peuvent et réunir la direction et les responsables juridique, informatique et communication (éventuellement un avocat externe et un conseiller en relations publiques).
  3. Analyser. Déterminer quelles données sont concernées (et s’il en découle des obligations, y compris contractuelles ou de droit étranger), quelles mesures de sécurité doivent être prises (pour restaurer les données ou protéger les victimes éventuelles).
  4. Communiquer. Informer le public, les autorités concernées et les employés. Dans le cas où l’entreprise décide de ne pas dévoiler la faille, prévoir une réponse à utiliser en cas d’urgence.
  5. Améliorer. Evaluer les procédures en cours et corriger les erreurs.

Ce billet a déjà été publié dans la version papier du magazine suisse des technologies de l’information pour l’entreprise ICTjournal.

Publications: La surveillance électronique des employés 23 mars 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Dans l’ouvrage Internet au travail édité par Jean-Philippe Dunand et Pascal Mahon, j’ai abordé la question de «La surveillance électronique des employés». Cette contribution est complétée par la présentation faite lors d’un séminaire organisé par l’Université de Neuchâtel.

Après avoir fait le point sur les exigences légales (Loi fédérale sur la protection des données et recommandations du Préposé fédéral à la protection des données et à la transparence, art. 28ss du Code civil, Loi et Ordonnance 3 sur le travail, ainsi que les articles 179ss du Code pénal), on passe en revue les jurisprudences déterminantes sur le sujet. Les points principaux sont ensuite regroupés en deux principes essentiels, l’information et la proportionnalité.

Différents cas d’applications sont finalement examinés: la surveillance téléphonique, la surveillance de l’Internet, la surveillance du courrier électronique, et la surveillance de l’activité. L’article se conclut par les conséquences d’une surveillance illégale et quelques recommandations pratiques.

Le droit d’accès est aussi celui de recevoir une copie écrite 10 mars 2015

Posted by Sylvain Métille in ATF, Jurisprudence, Protection des données, Sphère privée, Suisse.
add a comment

Dans le cadre du litige fiscal avec les Etats-Unis, le Tribunal fédéral a confirmé le droit des ex-employés d’obtenir une copie de documents les concernant que la banque a communiqués aux autorités judiciaires américaines (arrêt du 12 janvier 2015 pas encore publié 4A_406/2014).

Les faits
En 2012, la banque genevoise a transmis, comme d’autres instituts financiers suisses, les noms ainsi que d’autres données sur des employés, actuels et anciens, qui se sont occupés de clients de la banque sur le territoire américain. Les employés concernés n’avaient pas été avertis. Suite à plusieurs procédures, la banque a finalement autorisé les deux anciens employés à prendre connaissance des documents au siège de l’entreprise, mais elle a refusé de leur en remettre une copie, invoquant notamment les dispositions pénales réprimant la violation du secret bancaire. Les documents demandés contiennent pourtant bien des données personnelles et les anciens employés ont en principe le droit d’en obtenir une copie gratuitement. Le Tribunal fédéral devait examiner si la banque pouvait valablement opposer une exception à ce principe.

Un droit à une communication écrite
La communication écrite des données constitue la règle. A titre exceptionnel, une consultation sur place ou une communication orale des pièces du dossier peut remplacer une communication écrite dans le cas où la personne intéressée est d’accord avec ce mode de faire.

L’inconvénient résultant de la communication systématique des dossiers aux personnes qui le demandent et en particulier le surcroît de travail qui en résulte est propre à tous les détenteurs de fichiers. Ce n’est pas pour autant une cause de refus de la communication écrite. Le législateur en a néanmoins tenu compte, puisqu’il permet dans certains cas que cette surcharge fasse exception à la gratuité de la communication.

On ne peut pas renoncer par avance au droit d’accès garanti par l’article 8 de la Loi fédérale sur la protection des données (LPD) et toute disposition dans ce sens d’un règlement interne est nulle. Une renonciation (non anticipée) au droit d’accès n’est envisageable que si la personne concernée connaît déjà l’essentiel de l’information à laquelle elle pourrait avoir accès.

Lors de la conclusion du contrat de travail, les employés ne connaissaient évidemment pas les informations qu’ils réclament aujourd’hui, et encore moins le fait que leur employeur transmettrait des informations à une autorité étrangère, ce dont il ne les a d’ailleurs pas informés spontanément. La banque ne peut donc pas invoquer valablement une règlement interne qui prévoit que les employés renoncent à leur droit.

Il ne s’agit de plus pas d’une démarche abusive. Les employés, qui n’ont pas à justifier leur demande, ont pour but éventuellement d’agir contre la banque et d’être armés en vue d’une possible action du Département américain de la justice à leur encontre.

Le secret bancaire
La banque considère qu’elle a une interdiction légale de communiquer les renseignements demandés en raisons du secret bancaire (art. 47 LB et 162 CP).

La communication aux ex-employés des informations sur les clients de la banque équivaut aujourd’hui à une remise à des tiers (et ce, même si, après la fin des relations contractuelles, ils sont encore soumis au secret bancaire), ce qui constitue en soi, dans la perspective de la banque, un comportement punissable au sens de l’article 47 LB (ce qui est d’ailleurs également le cas pour la simple consultation, sur place, des données).

Conformément à l’interdiction formulée par le Conseil fédéral, dans sa décision du 4 avril 2012, les banques n’ont pas transmis d’informations permettant d’identifier les clients. Ces documents ne violent donc pas le secret bancaire. Quant au fait que les employés ont pu prendre connaissance des documents intégraux et qu’ils pourraient de mémoire reconstituer les éléments caviardés, cet argument ne convainc pas. Ce ne serait en effet pas la remise des documents écrits qui leur permettrait d’identifier des clients qu’ils connaissent déjà.

Pas d’intérêt prépondérant de la banque
La banque ne peut pas non plus faire valoir son intérêt propre dans la mesure où elle a antérieurement volontairement remis les documents litigieux à un tiers (autorités américaines), alors qu’elle n’y était pas contrainte par une obligation légale. Les données ayant déjà été communiquées à un tiers, il est difficile pour la banque de prétendre que son intérêt prime sur celui des employés, d’autant plus que ces derniers ont déjà pu prendre connaissance du contenu des documents, aussi bien au cours de leur ancienne activité professionnelle que par le biais de leur consultation respective sur place. Les éventuelles informations confidentielles leur sont donc déjà connues. Les documents ne contiennent en outre pas de noms de clients.

Comme les anciens employés continuent à être liés par le secret bancaire ainsi que par le secret professionnel, la crainte de la banque que des données sensibles soient rendues publiques doit être relativisée.

Pas d’intérêt prépondérant de tiers
Les documents transmis aux autorités américaines ne devaient pas contenir d’informations permettant d’identifier les clients. L’autorité judiciaire précédente a au surplus déjà autorisé la banque à anonymiser les éléments permettant d’identifier les (ex-)collaborateurs et les tiers. Ces mesures sont suffisantes pour protéger les tiers et ne permettent pas de s’opposer à l’exercice du droit d’accès.

Aux yeux du Tribunal fédéral, la situation n’est pas si particulière qu’elle nécessiterait d’envisager une exception non prévue par le Conseil fédéral dans son Ordonnance complétant la LPD. En tous les cas le Tribunal a systématique écarté tous les arguments soulevés par la banque.

Cette décision ne révolutionne pas la notion de droit d’accès mais elle en rappelle les contours, parfois méconnus. Elle confirme de plus que le droit d’accès n’a pas à être motivé, qu’il implique le droit de recevoir copie, en principe gratuitement, et que les exceptions sont limitées.

La liberté d’information peut justifier l’enregistrement d’une conversation privée par un journaliste 25 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Dans une Affaire Haldimann et autres contre Suisse du 24 février 2015, la Cour européenne des droits de l’Homme a constaté que la Suisse avait violé la CEDH en condamnant pénalement des journalistes qui avait enregistré au moyen d’une caméra caché des conversations non publiques (Requête no 21830/09). La Cour a retenu que la liberté d’information devait prendre le pas sur le droit à l’image.

La procédure suisse
En 2003, la rédaction de l’émission hebdomadaire de protection des consommateurs de la télévision suisse alémanique Kassensturz a produit et diffusé un reportage sur les pratiques dans le domaine de la vente des produits d’assurance-vie. Dans ce but, ils ont convenu d’un entretien avec un courtier en assurances lors duquel une journaliste s’est faite passer pour une cliente potentielle. Deux caméras cachées ont enregistré la scène. A la fin de l’entretien, le courtier a été informé et la possibilité de donner son avis lui a été donnée, ce qu’il a refusé. Une partie de l’entretien est ensuite diffusée, mais le visage du courtier est «pixélisé» de manière à ce que seule la couleur de ses cheveux et de sa peau soient encore visibles après cette transformation de l’image, ainsi que ses vêtements. Sa voix a aussi été modifiée.

Au terme de la procédure pénale, les quatre journalistes sont condamnés pour avoir enregistré en secret une conversation de l’un d’entre eux avec le courtier d’assurances et pour avoir diffusé certaines parties de cette conversation sous forme «anonymisée» à la télévision. Les journalistes n’ont pas été condamnés pour avoir fait un enregistrement avec une caméra cachée, mais pour avoir utilisé ce procédé pour enregistrer une conversation non publique.

En droit, il s’agit pour la journaliste qui a participé à la conversation d’une violation de l’art. 179ter CP qui sanctionne l’enregistrement d’une conversation non publique par l’un des participants, sans le consentement de son interlocuteur, et pour les autres une violation de l’art. 179bis CP qui sanctionne l’enregistrement d’une conversation non publique entre d’autres personnes, sans leur consentement, et la communication à des tiers d’un fait obtenu au moyen d’un tel enregistrement. Ces articles garantissent en particulier la confidentialité des conversations non publiques. La violation du domaine secret ou du domaine privé au moyen d’un appareil de prise de vues au sens de l’art. 179quater CP n’a pas été retenue.

Droit à l’image contre liberté d’expression
La Cour européenne des droits de l’Homme était saisie d’un recours formé par les journalistes, qui considèrent que les dispositions pénales en question portent atteinte à la liberté d’expression et ne devraient pas leur être applicables. Ils soulignent d’ailleurs qu’ils ont respecté la décision no 51/2007 du Conseil suisse de la presse qui dit que les recherches cachées sont autorisées si les informations sont dans l’intérêt public et si les informations ne peuvent pas être reçues par un autre moyen.

La Cour aborde l’affaire comme un conflit entre deux droits fondamentaux, la liberté d’expression des journalistes d’une part et le droit au respect de la vie privée du courtier d’autre part. La Cour ne conteste pas que les dispositions pénales protègent le droit du courtier à sa propre image, à sa propre parole ainsi que sa réputation, mais elle se demande si les dispositions pénales sont une restriction justifiée de la liberté d’expression.

La Cour passe en revue les différents critères qu’elle utilise habituellement pour analyser la mise en balance du droit à la liberté d’expression et du droit au respect de la vie privée:

  • la contribution à un débat d’intérêt général: la mauvaise qualité du conseil délivré par des courtiers en assurances et la protection du droit des consommateurs en découlant est un débat d’un intérêt public très important auquel les journalistes participent.
  • la notoriété de la personne visée, l’objet du reportage et son comportement antérieur: le courtier filmé à son insu n’était pas un personnage public. Le reportage litigieux n’était pas focalisé sur la personne du courtier mais sur certaines pratiques commerciales mises en œuvre au sein d’une catégorie professionnelle. En outre, l’entretien ne s’était pas déroulé dans les bureaux du courtier ou autre local professionnel. L’atteinte à la vie privée du courtier est moins importante que s’il avait été visé exclusivement et en personne par le reportage.
  • le mode d’obtention des informations et leur véracité: les journalistes ont respectés les règles déontologiques et la véracité des informations n’a jamais été contestée.
  • le contenu, la forme et les répercussions de la publication: l’enregistrement a été diffusé sous forme de reportage, particulièrement péjoratif à l’égard du courtier. Des mesures ont toutefois été prises pour l’«anonymiser». Pour la Cour, l’ingérence dans la vie privée du courtier n’est pas d’une gravité telle qu’elle doive occulter l’intérêt public à l’information des malfaçons alléguées en matière de courtage en assurances.
  • la gravité de la sanction imposée: même si les peines sont très faibles (quatre et douze jours-amendes), cette sanction pénale peut inciter la presse à s’abstenir d’exprimer des critiques.

En conclusion, la Cour estime que la mesure litigieuse n’était pas, en l’espèce, nécessaire dans une société démocratique et que, par conséquent, il y a eu violation de l’art. 10 CEDH. Autrement dit, la Cour considère que dans ce cas précis, la norme pénale ne devait pas l’emporter sur la liberté d’expression et qu’il ne fallait pas condamner pénalement les journalistes. La Cour crée d’une certaine manière un motif justificatif pour les journalistes rendant leurs actes licites dans ce cas particulier.

Confidentialité des conversations
Pour le juge Paul Lemmens qui signe une opinion dissidente très intéressante, il ne s’agissait pas simplement de la mise en balance de deux intérêts privés. Les dispositions pénales en question visent à protéger non pas la vie privée (ou la réputation) de certains individus, mais la confidentialité en général des conversations non publiques. Il s’agit alors d’un intérêt général touchant à l’ordre public et concrétisé dans la loi pénale, et non pas à de simples intérêts privés.

La question n’est pas de savoir dans quelle mesure l’utilisation de la caméra cachée est acceptable, mais de savoir dans quelle mesure des accusés peuvent invoquer avec succès une cause de justification contre l’accusation d’enregistrement et de diffusion d’une conversation protégée par la loi. Comme l’avait relevé le Tribunal fédéral, la défense d’intérêts légitimes suppose que l’acte délictuel soit un moyen nécessaire et adéquat pour atteindre un but légitime, voire que ce soit la seule voie possible pour atteindre ce but, et que le bien juridique protégé par l’interdiction légale pèse moins lourd que celui que l’auteur de l’acte cherchait à préserver. Cela n’était probablement pas le cas en l’espèce puisqu’il était possible de montrer les abus en matière d’assurance de manière différente. Et cette interprétation ne rendait pas pour autant illégale le recours à une caméra cachée lorsque c’est le seul moyen d’arriver au but visé, et légitime, pour un journaliste.

Cette décision de la Cour européenne des droits de l’Homme va conduire à la révision de la condamnation des journalistes, mais elle va aussi permettre, de manière plus générale, aux journalistes d’investigation suisses d’utiliser des caméras cachées. Leur utilisation devrait toutefois restée limitée, car la Cour n’a pas indiqué que le droit pénal ne s’appliquait pas aux journalistes mais seulement que dans ce cas particulier, le droit à l’information devrait primer sur la protection de la sphère privée. Si le reportage avait visé une personne en particulier, la conclusion aurait pu être différente.

A noter finalement que la Cour ne s’est pas prononcée sur l’éventuelle utilisation de l’enregistrement par la justice pénale. En l’absence d’infraction pénale, la preuve ne serait vraisemblablement plus illégale. Le journaliste pourrait néanmoins se réfugier derrière la protection des sources pour refuser de la communiquer.

Publications: Infrastructures et données informatiques 10 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Téléchargement, Technique.
add a comment

L’article écrit avec Joanna Aeschlimann intitulé Infrastructures et données informatiques: quelle protection au regard du code pénal suisse? est paru il y a quelques semaines dans la Revue pénale suisse 03/2014. Nous avons examiné en détail les conditions devant être remplies pour que l’infraction soit réalisée, mais également les mesures à prendre par la victime potentielle pour pouvoir prétendre à la protection pénale. Les infractions envisagées sont :

  • La soustraction de données (143 CP)
  • La soustraction de données personnelles (Art. 179novies)
  • L’accès indu à un système informatique (143bis al. 1 CP)
  • La mise à disposition d’informations en vue d’un accès indu (143bis al. 2 CP)
  • La détérioration de données proprement dite (144bis ch. 1 CP)
  • La mise à disposition d’informations permettant la détérioration de données (144bis ch. 2 CP)
  • L’utilisation frauduleuse d’un ordinateur (147 CP)
  • L’obtention frauduleuse d’une prestation (art. 150 CP)

Que fait-on de nos données? 28 janvier 2015

Posted by Sylvain Métille in Divers, Humeur, Informatique, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

Balises et localisation du consommateur 19 janvier 2015

Posted by Sylvain Métille in Apple, Informatique, Localisation, Protection des données, Sphère privée, Technique, Vidéosurveillance.
add a comment

Il est toujours difficile de jouer à la lecture de la boule de cristal et de décrire les grandes tendances de la nouvelle année, mais il y en a une qui mérite que l’on s’y attarde: les balises (beacons en anglais), rendues populaires par les iBeacon de Apple et Placedge de Samsung notamment. Elles pourraient bien révolutionner la manière dont l’acheteur se comporte dans un magasin et surtout permettre au vendeur d’identifier et relier l’identité en ligne et dans le monde physique. En effet, quoi de plus frustrant pour le vendeur que de ne pas pourvoir faire le lien entre la personne qui se tient en face de lui dans le magasin et celui qui lui a laissé tant d’informations sur ses préférences d’achats sur un site web !

Comment cela fonctionne-t-il ?
De manière simplifiée, il s’agit de deux appareils qui communiquent entre eux par Bluetooth. Plus exactement, on a d’un côté une balise qui émet en continu des signaux à l’attention des téléphones portables dans un rayon de quelques dizaines de mètres. Ces signaux utilisent le Bluetooth Low Energy (BLE), une technique de transmission sans fil créée à l’époque par Nokia. Le coût d’une balise est faible et son autonomie assez longue, ce qui rend cette technologie particulièrement intéressante.

De l’autre côté, le téléphone portable reçoit le signal (en principe un identifiant unique par balise) et réagit en affichant un message personnalisé, en démarrant une application, en indiquant sa localisation ou en échangeant des informations.

Quels sont les avantages ?
Le propriétaire de la balise peut communiquer des informations individualisées au propriétaire du téléphone portable (publicité ciblée, bons de réductions, etc.) sans avoir besoin d’une intervention de ce dernier. Il peut aussi obtenir des informations précises sur le visiteur (qui est-il, quel est son historique d’achat, quelles sont ses préférences), voire faire s’afficher automatiquement des informations sur le téléphone (carte client, mais également carte de donneur d’organes à l’arrivée à l’hôpital). L’utilisation de plusieurs balises ou l’utilisation de données de localisation du téléphone permet d’appréhender tous les déplacements de l’acheteur dans le magasin et devant la vitrine (sans qu’il soit nécessaire de recourir à des systèmes de reconnaissance biométriques).

Quelles sont les limites ?
Le signal transmis par la balise va généralement déclencher une action qui ira au-delà de l’affichage d’un message, comme l’activation d’une application mobile et la transmission de données d’identification, etc. Dans ce cas, des données personnelles sont traitées. Le profil de déplacement d’un utilisateur, même anonyme, peut rapidement être identifié s’il s’agit par exemple d’un employé. Des données apparemment anonymes devront alors être considérées comme des données personnelles.

Le traitement de données personnelles doit être légitimé. On admettra qu’il y a un tel intérêt si le système est utilisé pour des motifs de sécurité (s’assurer que les personnes entrées dans une zone de l’aéroport en sont ressorties) ou pour des analyses purement statistiques dans lesquelles les personnes ne sont pas identifiables. Le Préposé fédéral à la protection des données et à la transparence a rappelé que les analyses à des fin de marketing ne peuvent être justifiées que par le consentement libre et éclairé des personnes concernées et que la surveillance des employés par de telles méthodes est absolument exclue (Rapport d’activités 2013/2014, p. 62).

L’utilisation de balises est donc licite pour autant que les personnes concernées soient correctement informées et qu’elles aient la possible de choisir de participer ou de rester à l’écart. Un consentement tout général lié à l’installation d’une application du vendeur serait insuffisant. Si aucune donnée sensible n’est recueillie et qu’aucun profil de personnalité n’est établi, une information clairement visible à l’entrée du magasin et une possibilité simple de s’y opposer pourraient suffirent.

Certains termes ou technologies sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data, les données massives (Big Data) et le skimming.

Le tribunal fédéral fixe les conditions auxquelles les cantons peuvent prévoir des mesures de surveillance préventives 29 décembre 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Les mesures de surveillance dites invasives (en principe conduites à l’insu de la personne concernée) sont envisagées dans trois situations précises :

  1. une infraction pénale a été commise ou est en train d’être commise et l’on veut identifier l’auteur ou réunir des preuves (surveillance répressive);
  2. une infraction pénale sera potentiellement commise et l’on veut la prévenir ou la révéler (surveillance préventive);
  3. il existe une menace concrète pour la sûreté intérieure ou extérieure, sans qu’il ne s’agisse d’une infraction pénale (surveillance préventive).

On distingues ces mesures de la surveillance d’observation (qui est utilisée pour surveiller un rayon déterminé accessible au public, afin de constater des mouvements ou des phénomènes objectifs, sans traiter des données personnelles, dont l’exemple classique est le contrôle de la fluidité du trafic routier, et de la surveillance dissuasive) et de la surveillance dissuasive (qui consiste à surveiller ouvertement un lieu pour tenter d’empêcher les personnes qui s’y trouvent de commettre des infractions, dont l’exemple classique est la vidéosurveillance).

Des compétences cantonales et fédérales
La surveillance répressive est une compétence fédérale. Les modalités sont prévues dans le Code de procédure pénale (CPP), qui prévoit les conditions auxquelles ces mesures peuvent être mises en place. Dans ce domaine, les cantons ne peuvent plus adopter des mesures supplémentaires que le droit fédéral ne prévoit pas.

La surveillance préventive est un mélange de compétences cantonales et fédérales. Le parlement doit discuter prochainement du projet de Loi fédérale sur le renseignement qui donnerait à la Confédération de nouveaux pouvoirs, en particulier celui de procéder à des écoutes téléphoniques, des enregistrements audios et vidéos, ainsi que l’exploration radio et du réseau câblé. Cela ne concerne pas le cas où une infraction va être commise, mais celui où l’on craint un risque pour la sécurité intérieure ou extérieure de la Suisse.

Le nouveau CPP a supprimé la surveillance lors de l’enquête préliminaire que connaissaient certains cantons. Ainsi, une mesure de surveillance n’est possible qu’une fois l’enquête ouverte (c’est-à-dire lorsqu’il y a des soupçons suffisants qu’une infraction pénale a été commise). Restait alors la question de savoir si cela interdisait une surveillance avant que l’infraction ne soit commise (le CPP ayant exclu la surveillance préventive, ou si les cantons pouvaient adopter des normes la prévoyant dans leurs lois de police (le CPP ne pouvait ni l’exclure ni la prévoir).

Le Tribunal fédéral a justement dû se pencher sur deux cas, l’un zurichois (1C_653/2012) et l’autre genevois (1C_518/2013). Il est arrivé à la conclusion que les cantons peuvent prévoir des mesures de surveillance secrètes, mais que des conditions similaires à celles prévues par le CPP doivent être mises en place.

La compétence des cantons de veiller sur leur territoire au maintien de la sécurité publique et de l’ordre est réputée compétence originelle des cantons et le législateur fédéral n’’a pas voulu réglementer les investigations secrètes préventives dans le CPP. Les investigations secrètes préventives sont des mesures qui servent à prévenir ou à révéler une infraction potentielle. Elles sont antérieures à la procédure pénale (qui est une compétence fédérale) et doivent s’inscrire dans la législation policière cantonale.

Les garanties lors de la surveillance préventive
La surveillance n’en porte pas moins une atteinte importante à la sphère privée et familiale, protégée par la constitution et la CEDH. Toute atteinte doit être fondée sur une base légale (les restrictions graves devant être prévues par une loi au sens formel), être justifiée par un intérêt public et être proportionnée au but visé.

Le Tribunal fédéral met en parallèle les mesures préventives du droit cantonal et les mesures contenues dans le CPP et exige au moins les mêmes garanties. Ainsi, il doit toujours exister des indices sérieux qu’une infraction pourrait être commise et la mesure doit être subsidiaire (échec avéré ou probable d’autres procédés d’investigation). Elle doit être réservée à des infractions d’une certaine gravité (mais il est possible de se contenter des crimes et délits dans dresser un catalogue). Finalement, la personne concernée devra être informée et avoir la possibilité de faire contrôler la légalité de la mesure devant une autorité judiciaire indépendante.

Selon le type de mesure retenue, une autorisation judiciaire préalable est nécessaire. C’est notamment le cas pour les recherches secrètes, les enquête sous couverture et la surveillance de plateformes de communications fermées sur Internet.

Publications: jurisprudence 2013 8 décembre 2014

Posted by Sylvain Métille in ATF, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse.
add a comment

A l’été 2013, j’ai été invité par l’Université de Fribourg à commenter quelques jurisprudences actuelles en matière de protection des données.

Ces résumés et commentaires ont depuis été publiés sous le titre «Jurisprudence actuelle en matière de protection des données Surveillance, infiltration et transmission de données à un tiers : quelques atteintes à la sphère privée qui ont occupé récemment les tribunaux» dans l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung/Instruments de mise en œuvre du droit à l’autodétermination informationnelle édité par Astrid Epiney, Tobias Fasnacht et Gaëtan Blaser. Les décisions abordées concernent en particulier la surveillance des employés, la transmission de certificats de prévoyance, le droit d’accès à ses propres données et la cessation de l’atteinte à la personnalité par un des participants.

Protection des données: tout savoir sur le consentement 20 novembre 2014

Posted by Sylvain Métille in Protection des données, Sphère privée, Suisse.
add a comment

La loi sur la protection des données fixe les principes (information, finalité, proportionnalité, etc.) à respecter lors du traitement de données personnelles (qu’il s’agisse d’une simple collecte ou d’une exploitation plus sophistiquée). Une violation de ces principes ou un traitement contre la volonté de la personne concernée cause une atteinte à la personnalité de la personne de cette dernière. Une telle atteinte est illicite, à moins d’être «guérie» par un motif justificatif: la loi, le consentement ou un intérêt prépondérant.

Lorsque la loi impose le traitement de données, il n’est pas nécessaire de chercher une justification ailleurs. Si l’on pense aux assurances sociales ou aux impôts, on comprend très vite qu’il faut pouvoir traiter les données requises, sans avoir besoin de l’accord de la personne concernée. La notion de motif prépondérant est plus délicate. Cet intérêt public ou privé au traitement de données doit être mis en balance avec l’intérêt de la personne concernée à ne pas voir ses données traitées en violation des principes posées par la loi sur la protection des données. L’intérêt prépondérant n’est pas admis facilement mais peut, dans certain cas, justifier une atteinte. Ce sera surtout le cas lorsque l’atteinte est faible alors que l’intérêt privé ou public est très important.

Un consentement libre et éclairé
Reste donc le consentement. A première vue, c’est la solution la plus facile et nous consentons chaque jour à quantité de traitements… parfois même sans nous en rendre compte. Le consentement est souvent récolté par le biais de conditions générales ou de politiques de confidentialité. Consentement à la collecte de données, consentement au transfert à un tiers, consentement au traitement des données à l’étranger, consentement à l’envoi de messages publicitaires, etc.

Pour être valable le consentement doit en premier être éclairé. Il ne suffit pas de donner une information, encore faut-il que celle-ci soit compréhensible et permette à la personne concernée de se faire une idée claire de ce qu’elle va accepter. Le traitement de données visé doit donc être décrit, y compris son but, dans un langage compréhensible. Le consentement doit ensuite être libre: la personne ne doit pas être contrainte, mais elle doit aussi être dans une position qui lui permette de refuser. Dans le cas d’un employé, le rapport hiérarchique fait que l’on admettra assez rarement que le consentement puisse être libre. L’absence d’alternative pour une prestation nécessaire ira dans le même sens. Plus le consommateur est captif, moins il est libre de refuser (et donc aussi de consentir).

Dans certaines situations extrêmes, la personne concernée pourrait même exprimer un accord, mais cela ne sera pas un consentement valable. Elle sera en quelque sorte protégée d’elle-même, par exemple dans le cas où ce qu’elle accepte est tellement disproportionné par rapport au bénéfice qu’elle peut en retirer. On pourrait imaginer comme non valable le consentement au traitement et à la communication à des tiers de données médicales dans le but de pouvoir participer à une loterie.

La forme du consentement
En général, le consentement n’est pas soumis à une forme particulière et il peut résulter d’actes concluants (la visite d’un site web en sachant qu’il utilise des cookies, l’entrée dans un magasin qui a un dispositif de vidéosurveillance visible, etc.). Il doit cependant être explicite lorsque les données concernées sont des données sensibles (race, origine, religion, etc.). S’agissant de l’envoi de messages publicitaires, l’attention doit avoir été attirée préalablement sur la possibilité de s’opposer gratuitement et facilement à l’envoi.

L’information sur la base de laquelle le consentement sera donnée peut être transmise par le biais de conditions générales. Le législateur sachant que celles-ci ne sont que rarement lues, il a prévu des limites à ce qu’elles peuvent contenir ou plus précisément à ce qui peut être valablement opposé à celui qui est sensé les lire. Des clauses insolites (inattendues) ou abusives (disproportionnées) sont illégales et ne peuvent pas être appliquées, même si la personne a consenti. De telles clauses pourraient en revanche être parfaitement valables si elles sont l’objet d’un contrat discuté et négocié entre les parties, car on admettra alors que chacun savait à quoi il s’engageait.

Le consentement est donc un moyen plutôt facile de justifier une atteinte à la sphère privée. Comme nous l’avons vu, le consentement a toutefois certaines limites. Une information suffisante et compréhensible doit être donnée et dans certaines situations le consentement ne pourra jamais être valable. Il faudra alors se tourner vers un autre motif justificatif, comme la loi ou l’intérêt prépondérant.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 806 autres abonnés