Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

La justice peut-elle obtenir de Google Switzerland l’identité de l’utilisateur d’un compte Gmail ?

Alors qu’il vient de déclarer que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook, le Tribunal fédéral refuse (provisoirement) de reconnaître une obligation pour Google Switzerland GmbH de donner l’identité du titulaire d’une adresse @gmail.com (1B_142/2016). L’affaire est renvoyée à l’autorité cantonale pour éclaircir les faits.

Un service fourni par Google Inc.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d’auteur, suite à une plainte/dénonciation de la Société française des auteurs, compositeurs et éditeurs de musique (SACEM) dirigée contre l’administrateur d’un site web qui aurait diffusé à large échelle des œuvres musicales en proposant des liens de téléchargements illicites. Le Ministère public vaudois a alors requis de la société Google Switzerland GmbH la production de l’identité du détenteur d’un compte Gmail, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte.

Google Switzerland explique que les informations demandées sont en mains de la société américaine Google Inc.. Google Switzerland GmbH exerce un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés par un site dont elle est l’administratrice, ainsi que d’autres activités en lien avec les annonces publicitaires, mais elle n’intervient pas en lien avec l’exploitation d’un compte Gmail, le système de messagerie électronique Gmail étant exploité en Californie par la société américaine Google Inc.. Le Tribunal fédéral a considéré que ce point n’était pas suffisant établi et a renvoyé l’affaire pour compléter l’état de fait.

Une situation différente en matière de protection des données
Le Tribunal fédéral a profité de rappeler, comme dans la décision concernant Facebook rendue le même jour (lien), que la situation différait de l’affaire Google Street View qui concernait une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l’activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d’effacement), même si on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine. Pour le TF, cette jurisprudence de droit public ne saurait s’appliquer dans le cadre d’une demande de preuve en matière pénale.

Commentaire
Le raisonnement est le même que pour la décision Facebook du même jour. On peut néanmoins regretter sincèrement dans ces deux décisions que le Tribunal fédéral soit resté très lacunaire sur certaines questions essentielles, comme la raison pour laquelle un traitement différent s’impose en droit pénal et en droit public (protection des données), ou sur la question du fournisseur de services de télécommunication. Si l’on peut éventuellement discuter s’agissant d’un réseau social, la question ne fait pas de doute concernant un fournisseur de messagerie…

On s’étonnera finalement que ces deux décisions importantes, dont au moins l’une sera publiée au recueil officiel, ne contiennent aucune référence à la doctrine.

La justice ne peut pas obtenir de Facebook Suisse l’identité des utilisateurs du réseau social

Dans un arrêt qui vient d’être publié (1B_185/2016), le Tribunal fédéral a décidé que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook ouvert vraisemblablement depuis la Suisse. Pour la Haute Cour, Facebook Suisse n’est pas titulaire des données en question et n’en a pas non plus le contrôle. Pour y avoir accès, il y a lieu d’agir par voie de l’entraide judiciaire auprès de Facebook Ireland Ltd (Facebook Irlande).

Une demande classique
Suite à la plainte d’un journaliste belge traité d’antisémite sur un compte Facebook ouvert vraisemblablement en Suisse sous un pseudonyme, le Ministère public du canton de Vaud a ouvert une instruction pénale contre inconnu pour atteinte à l’honneur. Il a exigé de Facebook Suisse et de ses deux associés gérants la production de l’identité du détenteur du compte, de ses données d’accès et son adresse IP.

Un service fourni par Facebook Irlande
Le Tribunal a retenu qu’aucun des documents ne permettait de conclure que Facebook Suisse soit titulaire des données d’utilisateur réclamées, ou qu’elle ait un accès direct à ces données. Comme l’indique le site web du réseau social, le service est fourni par Facebook Inc. (Etats-Unis) pour les utilisateurs résidant aux Etats-Unis ou au Canada, et par Facebook Irlande pour les autres utilisateurs. Il n’y a pas de contrat entre la société suisse (qui n’est que la filiale de Facebook Global Holdings II LLC) et la société Facebook Irlande. L’activité de Facebook Suisse se limite au support marketing, à la vente d’espaces publicitaires, aux relations publiques et à la communication. Facebook Suisse ne représente pas non plus la société irlandaise.

En suivant ce raisonnement, il est logique que le Tribunal arrive à la conclusion que seule l’entité irlandaise doive répondre à la demande du Ministère public et qu’il faille lui adresser aux autorités irlandaises une demande d’entraide judiciaire pénale.

Un raisonnement différent en matière de protection des données
La Cour de justice de l’Union Européenne (CJUE) a tenu un raisonnement différent dans l’arrêt Costeja González. La CJUE a en effet jugé que même si le moteur de recherche était exploité par la société-mère du groupe Google Inc. (USA), la filiale espagnole était en charge de la promotion des ventes d’espaces publicitaires générés sur le site web et a désigné auprès de l’autorité locale de protection des données comme responsable du traitement de fichiers enregistrés par Google Inc. Pour la CJUE, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement ont donc été considérées comme indissociablement liées. Un raisonnement similaire avait été tenu par le Tribunal fédéral dans l’affaire Google Street View et l’entité suisse avait été considérée comme étant impliquée dans le traitement des données.

Commentaire
Cette décision se rapproche de la décision américaine de la Cour d’Appel du 2e Circuit qui a conclu que le mandat accordé par un juge américain ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe.

La situation est également différente entre Google Spain, représentant de Google Inc. en Espagne, et les deux sociétés Facebook qui n’ont pas de relation contractuelle directe. Il n’y avait apparemment pas non plus d’indice que Facebook Suisse participe au traitement des données ou pouvait accéder aux données demandées. Pour contraindre Facebook Suisse, il aurait fallu que les juges considèrent que les différentes sociétés du groupe Facebook sont un tout et que leur séparation est artificielle et constitue un abus de droit.

Une autre possibilité aurait été de retenir qu’un réseau social est un fournisseur de services de télécommunications. Le Tribunal a seulement exclu qu’il puisse s’agir d’un fournisseur d’accès. Au lieu d’utiliser un ordre de production similaire à un séquestre, le ministère public aurait pu faire une demande d’identification basée sur la surveillance des télécommunications. La notion de fournisseur de services de télécommunications n’est actuellement pas très claire. La nouvelle Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui va entrer en vigueur prochainement introduit la notion de fournisseurs de services de communication dérivés, soit les fournisseurs de services qui se fondent sur des services de télécommunication, et qui pourraient être contraints de fournir certaines informations. L’Office fédéral de la communication (OFCOM) a une vision large de la notion de fournisseurs de services de télécommunication. L’avant-projet de révision de la LTC ne modifie pas cette notion et comprend les fournisseurs dits OTT (« over the top », à rapprocher de la notion de fournisseurs de services de communication dérivés de la nouvelle LSCPT).

Une troisième possibilité, probablement la plus raisonnable, serait d’adapter le cadre légal. Tout fournisseur de services en Suisse d’une certaine importance sera obligé de désigner un représentant en Suisse. Cette approche modérée, semblable à ce que prévoit le futur Règlement Général sur la Protection des Données (RGPD) en matière de traitement des données, permettrait aux autorités comme aux individus d’avoir un interlocuteur proche. Une telle obligation est en outre bien moins contraignante que l’obligation de traiter les données dans le pays (comme c’est le cas en Russie par exemple).

Voir également la décision concernant Google rendue le même jour

Une adresse IP dynamique est une donnée personnelle

La Cour de justice de l’Union européenne (CJUE) a mis fin à un long suspense en précisant que l’adresse IP dynamique d’un visiteur, enregistrée lors de la consultation d’un site web accessible au public, est une donnée personnelle pour le site web, même s’il ne peut pas identifier directement le visiteur mais qu’il a des moyens légaux de le faire identifier grâce à des informations supplémentaires dont dispose par exemple le fournisseur d’accès à Internet de cette personne.

Après les adresses statiques, les adresses dynamiques
La CJUE a déjà eu l’occasion de dire que lorsque la collecte et l’identification des adresses IP des utilisateurs d’Internet sont effectuées par les fournisseurs d’accès, les adresses IP sont des données personnelles, car elles permettent l’identification précise de ces utilisateurs.

Dans l’Affaire Patrick Breyer contre Bundesrepublik Deutschland (C-582/14), la CJUE devait préciser si les adresses IP des utilisateurs d’un site web proposé au public par un fournisseur de services de médias en ligne sont des données personnelles, même si ce fournisseur de service ne dispose pas des informations supplémentaires nécessaires pour identifier ces utilisateurs.

La Cour distingue entre les adresses IP attribuées par les fournisseurs d’accès à Internet dites «statiques» et celles dites «dynamique», car elles changent à chaque nouvelle connexion. Les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Dans cette affaire, il s’agit d’adresses IP dynamiques.

Une personne identifiable
En résumé, le fournisseur de médias en ligne dispose d’une adresse IP dynamique, ainsi que de la date et l’heure de la session de consultation de son site web à partir de cette adresse IP. Le fournisseur d’accès à Internet dispose lui d’informations supplémentaires qui, si elles sont combinées avec l’adresse IP, permettent d’identifier le titulaire de l’adresse IP.

Pour la CJUE, l’adresse IP dynamique ne se rapporte pas à une personne identifiée (l’adresse ne révèle pas directement l’identité de la personne), mais une personne identifiable. Pour rappel une donnée personnelle est une donnée qui se rapporte tant à une personne identifiée qu’à une personne identifiable. On considère que la personne est identifiable lorsque des informations supplémentaires susceptibles d’être raisonnablement mis en œuvre permettent d’identifier la personne.

Dans les cas des adresses IP, les informations supplémentaires nécessaires ne sont pas détenues par le site web, mais par le fournisseur d’accès à Internet de l’utilisateur. Pour la CJUE, cela n’empêche pas la qualification de données personnelles. Le droit allemand applicable à cette affaire ne permet certes pas au fournisseur d’accès à Internet de transmettre directement au site web les informations supplémentaires nécessaires à l’identification de la personne concernée, mais des voies légales permettent au site web de s’adresser à l’autorité compétente afin que celle-ci entreprenne les démarches nécessaires pour obtenir ces informations auprès du fournisseur d’accès à Internet et pour déclencher des poursuites pénales.

En droit suisse, si une plainte pénale est déposée contre un inconnu identifiable au moyen d’une adresse IP, l’autorité de poursuite pénale obtiendra du fournisseur d’accès les informations d’identification et le plaignant aura aussi connaissance de ces informations.

La CJUE a finalement rappelé qu’un État membre ne peut pas déroger au droit européen et empêcher un fournisseur de services de collecter et d’utiliser des données personnelles relatives à un utilisateur, même en l’absence du consentement de celui-ci, dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et cas échéant facturer l’utilisation desdits services par cet utilisateur. Un site web peut donc, même sans le consentement de l’internaute, traiter l’adresse IP. Cette adresse ne devrait en revanche pas être conservée après une session ou pour une utilisation dans d’autres buts.

Et en Suisse
Le Tribunal fédéral avait déjà affirmé de manière claire en 2010 que l’adresse IP dynamique est une donnée personnelle (ATF 136 II 508).

La surveillance secrète d’un assuré viole sa sphère privée

La Suisse s’est fait taper sur les doigts par la Cour européenne des droits de l’Homme (CourEDH) en matière de surveillance. Dans un arrêt de principe 135 I 169, le Tribunal fédéral avait retenu que la surveillance d’un assuré par une caisse d’assurance sociale est admissible et qu’elle pouvait recourir aux services d’un détective privé pour autant que la surveillance se limite à l’espace public. Pour la CourEDH en revanche, la surveillance secrète, même conduite dans l’espace public, constitue une atteinte à la sphère privée. Il aurait alors fallu, pour qu’elle soit admissible, qu’une loi en prévoie les modalités. Ce n’est pas le cas et la Suisse a donc été condamnée le 18 octobre 2016 (Vukota-Bojic c. Suisse, no 61838/10).

Victime d’un accident de la route en 1995, la recourante se voit accorder une rente complète d’invalidité par le tribunal cantonal (malgré le refus initial de l’assureur). En 2005, l’assureur décide de suspendre les prestations et demande à la recourante de subir des nouveaux examens, ce qu’elle refuse. L’assureur la fait alors surveiller en secret par des détectives privés.

La sphère privée existe aussi dans l’espace public
Les enquêteurs ont agi de manière systématique et ont observé la recourante pendant quatre fois sept heures sur une période de vingt-trois jours. Ils l’ont notamment filmée en train de promener son chien, faire de longs trajets en voiture ou faire des achats. Un médecin rédige ensuite un avis sur la base du rapport de surveillance et l’assurance réduit ses prestations. La recourante conteste la légalité des preuves et de l’avis du médecin qui en découle.

La CourEDH a eu à plusieurs occasions la possibilité de rappeler que l’interaction d’une personne avec d’autres dans l’espace public peut entrer dans la définition de sphère privée. Celle-ci ne s’arrête en effet pas à la sortie de sa maison. L’enregistrement systématique ou permanent d’une personne se distingue de l’usage normal d’une caméra de sécurité dans l’espace public. Il s’agissait ici d’un enregistrement intentionnel, dirigé sur la recourante et effectué par des professionnels sur instruction de la recourante.

L’absence de loi prévoyant une telle surveillance
L’assureur intervient au titre de l’assurance accidents obligatoire et a donc la qualité d’autorité (ce qui lui permet de rendre des décisions mais l’oblige aussi à respecter la procédure administrative et les principes constitutionnels). Ses activités doivent dès lors reposer sur une loi.

L’art. 43 al. 1 de la Loi fédérale sur la partie générale du droit des assurances sociales (LPGA) prévoit que l’assureur prend les mesures d’instruction nécessaires et recueille les renseignements dont il a besoin. Cette disposition toute générale est insuffisante aux yeux de la CourEDH car il n’y a aucune exigence d’une procédure d’autorisation ou de contrôle, pas de durée maximum, pas de contrôle judiciaire, pas de règles sur la conservation, l’utilisation ou la destruction des données recueillies, les personnes pouvant y accéder, etc.

Les compagnies d’assurance jouissent alors d’un (trop) grand pouvoir d’appréciation pour décider si, et comment, une surveillance doit être menée.

Et maintenant ?
Si les assureurs veulent pouvoir mener de telles surveillances secrètes, une loi (en particulier la LPGA) doit prévoir cette éventualité, les cas dans lesquelles elle serait justifiée, les modalités d’exécution et une autorité de contrôle ou devant laquelle la personne visée pourrait contester la surveillance.

A noter finalement que si l’assureur était intervenu au titre d’une assurance privée (et non d’une assurance sociale), l’exigence d’une base légale nécessaire à l’activité d’une autorité n’aurait pas été retenue et la surveillance aurait surtout dû respecter les principes généraux de la LPD. Il n’est donc pas exclu qu’elle aurait pu être admissible dans ce cas.

Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Rapport 2015-2016 du PFPDT

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a présenté son 23e rapport d’activité, qui marque le 10e anniversaire de la Loi fédéral sur la transparence. Si le changement de paradigme a eu lieu en 2006, on constate encore de nombreuses réticences de l’administration à donner accès aux documents demandés. Sur le front de la protection des données, 2016 est l’année de l’adoption du Règlement général de protection des données de l’UE et de la révision de la Convention 108 du Conseil de l’Europe.

Pour le PFPDT, la révision en cours de la Loi sur la protection des données (LPD), dont l’avant-projet sera présenté prochainement, doit permettre à tout un chacun de garder et d’exercer effectivement la maîtrise sur les données qui le concerne, notamment par l’introduction d’une action collective, le renversement du fardeau de la preuve, une responsabilité objective du fait du traitement et des obligations supplémentaires pour les responsables de traitement (annonce des violations de données, évaluation des risques, etc.). Des sanctions dissuasives doivent aussi être introduites.

Dans son bilan, le PFPDT a mis en évidence quatre points d’inquiétude particuliers :

  • L’utilisation du numéro AVS comme identifiant unique universel au lieu de numéros sectoriels comme pour le dossier électronique du patient ;
  • L’absence de réponse ou la réponse insatisfaisante des maîtres de fichiers aux personnes qui demande les données les concernant ;
  • Le recours à la vidéosurveillance souvent de manière disproportionnée, sans véritable justification et dans le non-respect des règles de transparence ;
  • Les développements technologiques qui permettent de tracer les personnes, d’établir des profils de comportement et d’avoir un suivi constant notamment de toutes leurs activités au travers des applications pour téléphones intelligents ou d’objets connectés.

Les CFF dans le viseur
Parmi les dossiers traités cette année, le PFPDT s’est penché sur deux dossiers concernant les CFF, soit le SwissPass dont nous avons déjà parlé et l’accès gratuit au wifi dans certaines gares. Les CFF ont accepté la plupart des recommandations, notamment celles visant à limiter la conservation des données, à adapter les conditions générales aux traitements réellement effectués (les conditions générales permettaient d’effectuer plus de traitements que ce qui avait réellement lieu) et prévoir une procédure écrite pour répondre aux demandes de traitement. En revanche, les CFF ont refusé de ne pas journaliser les «adresses IP de destination» et «ports de destination», la conservation de ces données étant apparemment fortement conseillée par le Service de surveillance de la correspondance postale et des télécommunications. Une telle conservation n’est pourtant pas exigée par la LSCPT.

Le sport, encore
Le PFPDT s’est aussi prononcé sur un projet de la Swiss Football League d’accompagner et filmer en secret des groupes de supporters lors de matchs à l’extérieur afin d’obtenir des preuves en cas de débordements. Il considère que de tels enregistrements doivent avoir lieu sur la base d’un mandat policier, ou alors être strictement limités à la survenance d’incidents. On peut s’étonner que le PFPDT n’ait pas exigé aussi une information préalable générale.

Quant au contrôle de la validité des abonnements de ski sur la base d’un enregistrement de photos des détenteurs, il porte une atteinte qui ne peut être justifiée que pour les abonnements de valeur élevée (forfait hebdomadaire au minimum). Une information claire doit être affichée au tourniquet (pour que toutes les personnes dont les photos sont enregistrées soient informées). Une conservation des images en l’absence d’abus n’est pas justifiée.

Une plainte pénale et deux procédures devant le TAF
Face au refus de collaborer d’un maître de fichier dans le cadre d’une procédure d’établissement des faits, le PFPDT a déposé une plainte pénale. Il s’agit d’une des rares infractions pénales contenues dans la LPD. Le maître du fichier a finalement transmis les documents demandés et le PFPDT a transmis à l’autorité compétente en matière de poursuite pénale une déclaration de désintérêt qui a conduit au classement de la procédure. Il aurait néanmoins été intéressant d’avoir une décision au fond.

Le PFPDT a porté deux affaires devant le Tribunal administratif fédéral. La première concerne un commerçant d’adresses qui n’a pas donné suite à des demandes d’accès et d’effacement et qui n’a pas suivi les recommandations du PFPDT. La seconde concerne l’agence de renseignements économiques Moneyhouse. Les recommandations du PFPDT visaient à obliger Moneyhouse à vérifier davantage l’exactitude des données de solvabilité traitées, à limiter les possibilités de recherches conformément à la pratique du registre du commerce et surtout le plus traiter de profils de personnalité sans l’autorisation des personnes concernées. Cette décision est très attendue car elle devrait permettre de clarifier la notion de profil de personnalité.

Encore quelques précisions
Le représentant légal peut exercer le droit d’accès à la place de la personne mineure et incapable de discernement. Indépendamment de la personne qui a la garde de l’enfant, les deux parents titulaires de l’autorité parentale peuvent faire valoir ce droit d’accès. La situation est différente si certaines informations ne peuvent plus être confiées à l’un des parents afin de protéger l’enfant, auquel cas il faudra s’en remettre à la décision d’un tribunal ou de l’autorité de protection de l’enfant et de l’adulte (APEA).

On retiendra encore les éléments suivants tirés des différentes prises de positions rendues durant l’année :

  • L’élaboration du rapport concernant Windows 10 est toujours en cours.
  • Le numéro de châssis (VIN ou vehicle identification number) est une donnée personnelle au sens de la LPD.
  • Les mesures d’identification et de surveillance prévues dans le projet de révision de la LDA sont problématiques sous l’angle de la protection des données.
  • Postfinance ne peut pas faire dépendre l’accès aux prestations de paiement de l’acceptation par ses clients de l’outil d’analyse e-cockpit ou de consentement à l’envoi de publicités ciblées de tiers.
  • L’absence de réaction d’un client à de nouvelles conditions générales n’est pas un consentement explicite suffisant pour traiter un profil de personnalité.
  • La participation (exceptionnelle) aux frais générés par la réponse au droit d’accès ne peut pas dépasser 300.- comme le précise l’OLPD, même si de plus en plus de sociétés tentent de facturer des montants supérieurs.
  • Le Safe Harbor et des garanties contractuelles pour l’échange de données avec les États-Unis ne permettent pas d’empêcher un accès disproportionné des autorités américaines à des données à caractère personnel. Dans l’attente d’un solution politique, le PFPDT demande de renforcer l’information des personnes concernées et éviter de satisfaire aux demandes d’accès des autorités américaines (nous en avions déjà parlé).