jump to navigation

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications 25 août 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
1 comment so far

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.

Un portail d’actualités jugé responsable pour les commentaires des Internautes 6 août 2015

Posted by Sylvain Métille in Informatique, Jurisprudence, Médias, Protection des données, Sphère privée, Technique.
add a comment

Dans un arrêt rendu le 16 juin 2015 (Delfi AS c. Estonie, Requête no 64569/09), la Grande chambre de la Cour européenne des droits de l’Homme a retenu que la société responsable d’un grand portail d’actualités pouvait être tenue responsable de contenus illicites publiés par les internautes. Elle a considéré que son rôle dépassait celui d’un prestataire passif de services purement techniques qui pouvait se contenter de réagir si on les lui signalait. Elle a abordé ce cas comme un examen des devoirs et responsabilités d’un journaliste et la recherche d’un juste équilibre entre la liberté d’expression protégée et le droit au respect de la vie privée. Il est néanmoins difficile de comprendre pourquoi la Cour a traité Delfi comme un responsable de publication pour les commentaires plutôt que comme un hébergeur.

Les faits
La société anonyme estonienne Delfi AS exploite à titre professionnel et à des fins commerciales un grand portail d’actualités sur Internet, qui publie des articles sur l’actualité rédigés par ses services et qui invite les lecteurs à les commenter. En janvier 2006, Delfi a publié sur son site web un article concernant une société de ferries qui avait pris la décision de modifier l’itinéraire emprunté par ses navires pour rallier certaines îles. Cette modification avait engendré la rupture de la glace dans certains endroits où des routes de glace auraient pu être tracées plus tard dans l’année, retardant ainsi de plusieurs semaines l’ouverture de telles routes, moyen moins onéreux et plus rapide que les ferries pour rallier les îles. L’article était équilibré et exempt de termes injurieux, mais de nature à provoquer des débats.

Chaque lecteur de cet article était à même d’accéder aux messages des autres utilisateurs du site publiés sous l’article. Ce dernier a généré 185 commentaires dont une vingtaine extrêmement grossiers ou menaçants à l’égard de la compagnie de ferries, respectivement de son propriétaire. Leur illicéité apparaissait au premier coup d’œil. Delfi a retiré les commentaires illicites six semaines après leur publication mais dès qu’elle a reçu une notification à cet effet des avocats de la compagnie.

En avril 2006, le propriétaire de la compagnie de ferries a engagé des poursuites contre la société Delfi qui a été jugée responsable en vertu de la loi sur les obligations au motif qu’elle aurait dû empêcher la publication de commentaires clairement illicites. Le propriétaire de la compagnie de ferries s’est vu accorder 5000 couronnes estoniennes à titre de dommages et intérêts (env. EUR 320.-). Il est reproché à Delfi de ne pas avoir empêché la publication des commentaires.

En résumé, le droit local prévoit un régime similaire à celui de la directive sur le commerce électronique 2000/31/CE, à savoir une absence de responsabilité du simple fournisseur d’accès et une responsabilité limitée de l’hébergeur. Ce dernier n’a en effet pas de responsabilité s’il n’a pas connaissance des informations litigieuses et qu’il prend toutes les mesures pour les retirer dès qu’il en prend connaissance.

La Jurisprudence de la CJUE
La CourEDH a largement cité la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et plus particulièrement:

  • un arrêt du 23 mars 2010 (affaires jointes C-236/08 à C-238/08, Google France et Google), dans lequel la CJUE a dit que, pour vérifier si la responsabilité du prestataire d’un service de référencement pouvait être limitée au titre de l’art. 14 de la directive 2000/31/CE, il convenait d’examiner si le rôle exercé par ledit prestataire était neutre, c’est-à-dire si son comportement était purement technique, automatique et passif, impliquant une absence de connaissance ou de contrôle des données stockées par lui;
  • un arrêt du 12 juillet 2011 (affaire C-324/09, L’Oréal e.a.), où la CJUE a jugé que l’art. 14 par. 1 de la directive 2000/31/CE devait être interprété comme s’appliquant à l’exploitant d’une place de marché en ligne lorsque celui-ci n’avait pas joué un rôle actif qui lui permette d’avoir une connaissance ou un contrôle des données stockées, et que ledit exploitant jouait un tel rôle actif quand il prêtait une assistance qui consistait notamment à optimiser la présentation des offres à la vente en cause ou à les promouvoir;
  • un arrêt du 24 novembre 2011 (affaire C-70/10, Scarlet Extended), où la CJUE a jugé qu’un fournisseur d’accès à Internet ne pouvait faire l’objet d’une injonction lui ordonnant de mettre en place un système de filtrage de toutes les communications électroniques transitant par ses services, qui s’applique indistinctement à l’égard de toute sa clientèle, à titre préventif, à ses frais exclusifs et sans limitation dans le temps, et qui soit capable d’identifier sur le réseau de ce fournisseur la circulation de fichiers électroniques contenant l’œuvre violant prétendument des droits de propriété intellectuelle;
  • un arrêt du 16 février 2012 (affaire C-360/10, SABAM) où la CJUE a tenu un raisonnement similaire s’agissant d’un prestataire de services d’hébergement;
  • un arrêt du 13 mai 2014 (affaire C-131/12 Google Spain et Google), où la CJUE a dit que l’activité d’un moteur de recherche sur Internet devait être qualifiée de « traitement de données à caractère personnel » au sens de la directive 95/46/CE, et que ce traitement de données à caractère personnel était susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel; et
  • un arrêt du 11 septembre 2014 (affaire C-291/13, Papasavvas), où la CJUE a dit que, dès lors qu’une société d’édition de presse qui publiait sur son site Internet la version électronique d’un journal avait, en principe, connaissance des informations qu’elle publiait et exerçait un contrôle sur celles-ci, elle ne pouvait être considérée comme un « prestataire intermédiaire » au sens des art. 12 à 14 de la directive 2000/31/CE, et ce que l’accès au site fût payant ou gratuit.

Un difficile équilibre
La Cour souligne d’abord que la possibilité pour les individus de s’exprimer sur Internet constitue un outil sans précédent d’exercice de la liberté d’expression. Elle met ensuite en balance ces propos en poursuivant que les avantages de ce média s’accompagnent d’un certain nombre de risques. Des propos clairement illicites, notamment des propos diffamatoires, haineux ou appelant à la violence, peuvent être diffusés comme jamais auparavant dans le monde entier, en quelques secondes, et parfois demeurer en ligne pendant fort longtemps. Ce sont ces deux réalités contradictoires qui sont au cœur de la présente affaire.

Compte tenu de la nécessité de protéger les valeurs qui sous-tendent la Convention et considérant que les droits qu’elle protège respectivement en ses art. 10 et 8 méritent un égal respect, il y a lieu de ménager un équilibre qui préserve l’essence de l’un et l’autre de ces droits. Ainsi, tout en reconnaissant les avantages importants qu’Internet présente pour l’exercice de la liberté d’expression, la Cour considère qu’il faut en principe conserver la possibilité pour les personnes lésées par des propos diffamatoires ou par d’autres types de contenu illicite d’engager une action en responsabilité de nature à constituer un recours effectif contre les violations des droits de la personnalité. Pour la Cour, il s’agit d’une question de devoirs et responsabilités au sens de l’art. 10 § 2 CEDH, qui incombent aux portails d’actualités sur Internet lorsqu’ils fournissent à des fins commerciales une plateforme destinée à la publication de commentaires émanant d’internautes sur des informations précédemment publiées et que certains internautes y déposent des propos clairement illicites portant atteinte aux droits de la personnalité de tiers.

Un portail professionnel n’est pas forum ou un média social
La Cour relève ensuite, comme pour restreindre la portée de son arrêt que c’est la première fois qu’elle est appelée à examiner un grief s’inscrivant dans ce domaine d’innovation technologique en évolution et qu’il est nécessaire de délimiter la portée de son examen à la lumière des faits cette cause qui concerne un grand portail d’actualités sur Internet exploité à titre professionnel et non pas d’autres forums sur Internet susceptibles de publier des commentaires provenant d’internautes, par exemple les forums de discussion ou les sites de diffusion électronique, où les internautes peuvent exposer librement leurs idées sur n’importe quel sujet sans que la discussion ne soit canalisée par des interventions du responsable du forum, ou encore les plateformes de médias sociaux où le fournisseur de la plateforme ne produit aucun contenu et où le fournisseur de contenu peut être un particulier administrant un site ou un blog dans le cadre de ses loisirs.

La Cour estime que la reconnaissance des différences entre un exploitant de portail et un éditeur traditionnel est conforme aux instruments internationaux adoptés dans ce domaine, instruments dans lesquels on perçoit une certaine évolution en faveur de l’établissement d’une distinction entre les principes juridiques régissant les activités des médias imprimés et audiovisuels classiques, d’une part, et les activités des médias sur Internet, d’autre part. Elle considère qu’en raison de la nature particulière de l’Internet, les devoirs et responsabilités que doit assumer un portail d’actualités sur Internet peuvent dans une certaine mesure différer de ceux d’un éditeur traditionnel en ce qui concerne le contenu fourni par des tiers.

L’exploitant d’un portail Internet traité comme un éditeur de publications imprimées
L’autorité inférieure avait considéré qu’en raison de l’intérêt économique que représente pour eux la publication de commentaires, aussi bien l’éditeur de publications imprimées que l’exploitant d’un portail Internet sont les publicateurs/révélateurs de ces commentaires en qualité de professionnels.

S’il est possible de suivre différentes approches dans la législation pour tenir compte de la nature des nouveaux médias, dit la Cour, il était ici suffisamment prévisible, à partir des dispositions de la Constitution, de la loi sur les principes généraux du code civil et de la loi sur les obligations, qu’un éditeur de médias exploitant un portail d’actualités sur Internet à des fins commerciales pût, en principe, voir sa responsabilité engagée en droit interne pour la mise en ligne sur son portail de commentaires clairement illicites tels que ceux en cause en l’espèce.

Ne pas avoir empêché la publication des commentaires
Delfi avait intégré dans son site la zone de commentaires sur la page où les articles d’actualités étaient publiés et elle y invitait les internautes à enrichir les actualités de leurs propres jugements et opinions (commentaires). Ces commentaires représentaient un intérêt économique pour Delfi. Elle interdisait le dépôt de commentaires sans fondement et/ou hors sujet, contraires aux bonnes pratiques, contenant des menaces, des insultes, des obscénités ou des grossièretés, ou incitant à l’hostilité, à la violence ou à la commission d’actes illégaux. Ces commentaires pouvaient être supprimés et la possibilité pour leurs auteurs d’en laisser d’autres pouvait être restreinte par Delfi. De plus, les auteurs des commentaires ne pouvaient pas les modifier ou les supprimer une fois qu’ils les avaient déposés sur le portail: seule la société requérante avait les moyens techniques de le faire.

Pour la Cour, le rôle joué par Delfi dépasse celui d’un prestataire passif de services purement techniques. Il n’était pas nécessaire d’empêcher la publication, mais un retrait des commentaires sans délai après leur publication aurait été suffisant pour permettre à Delfi de ne pas être tenue pour responsable.

La Cour justifie ce raisonnement par le fait qu’il est plus difficile pour une victime potentielle de surveiller continuellement l’Internet que pour un grand portail d’actualités commercial en ligne d’empêcher la publication de propos illicites ou de retirer rapidement ceux déjà publiés. Elle souligne encore que le dommage moral est limité (EUR 320.-) et que Delfi exploite le site à titre professionnel et commercial.

Une décision insatisfaisante
La Cour ne paraît pas très à l’aise avec cette décision. Comme le relèvent les juges Sajó et Tsotsoria dans leur opinion dissidente, ni les autorités internes ni la Cour n’ont expliqué pourquoi la disposition du droit contraignant de l’Union européenne est dénuée de pertinence en l’espèce, sauf à dire que la présente affaire porte sur la publication et non le stockage de données.

Alors que l’éditeur de presse publie, un intermédiaire actif comme Delfi n’a normalement aucun contrôle personnel sur l’individu qui dépose le message. Le commentateur n’est pas l’employé de celui qui publie et, dans la plupart des cas, n’est pas connu de ce dernier. La publication intervient en dehors de toute décision de celui qui publie. Ainsi donc, le niveau de connaissance et de contrôle diffère sensiblement.

Pour ces juges finalement, l’obligation de retirer des commentaires injurieux sans connaissance effective de leur existence et immédiatement après leur publication suppose que l’intermédiaire actif exerce une surveillance constante…

La jurisprudence de la CJUE exclut pourtant surveillance préventive, ce que la Cour ne remet pas en cause, alors que cela semble bien être le seul moyen de s’assurer d’une suppression immédiatement après la publication d’un commentaire. Pour le titulaire d’un site permettant des commentaires, le risque augmente sensiblement depuis cette décision. La Cour a néanmoins pris soin de relever à de nombreuses reprises le caractère commercial du site de Delfi, l’activité professionnelle de ce site d’actualités et le très faible montant de du dommage.

Rapport 2014-2015 du Préposé fédéral à la protection des données et à la transparence 9 juillet 2015

Posted by Sylvain Métille in ATF, Facebook, Google, Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Technique, Vidéosurveillance.
2 comments

Le Préposé fédéral à la protection des données et à la transparence Hanspeter Thür a présenté au mois de juin son dernier rapport annuel 2014/2015 dont la densité démontre à elle seule l’étendue des questions à traiter. Contrairement aux années précédentes, le ton est moins consensuel et rappelle les violations fréquentes des principes fondamentaux de la protection de la sphère privée, soulignant le «monopole néo-féodal de Google, Facebook, Amazon et consorts», le besoin d’un débat social profond quant à une «stratégie de la société numérique» et le caractère «quelque peu préoccupant» du «“Patriot Act” suisse».

Le numéro AVS (NAVS13)
Le PFPDT avait déjà fait part de ses inquiétudes l’année dernière, en particulier du fait que son utilisation dans des domaines sans lien avec les assurances sociales permet de dresser un profil de la personnalité très complet et de relier des informations qui ne devraient pas l’être. Tout recours systématique à un identificateur unique et universel tel que le numéro AVS représente des risques majeurs pour la sphère privée des personnes concernées et il faut préférer l’utilisation d’un numéro sectoriel (comme cela est envisagé pour le dossier électronique du patient).

Cette année le numéro AVS sera introduit dans le registre foncier, contre l’avis du Préposé. Il sera également utilisé dans le registre du commerce, mais ne devrait pas être publiquement accessible. La révision partielle de la loi sur la radio et la télévision prévoit également un registre national de toutes les personnes enregistrées en Suisse avec leur numéro AVS, qui sera utilisé par Billag.

D’autres projets en cours pourraient également voir l’utilisation du numéro AVS, par exemple le projet de Loi fédérale relative à l’application des principes du débiteur et de l’agent payeur à l’impôt anticipé, le projet de registre national des maladies oncologiques, le projet d’échange de données personnelles entre les contrôles des habitants, la Poste et d’autres détenteurs de données, ou encore le projet d’utilisation d’un identifiant personnel administratif dans la cyberadministration. Le numéro AVS ne devrait en revanche pas être utilisé comme identifiant unique pour le dossier électronique du patient ou comme numéro d’identification fiscale (NIF).

Dans le cadre de la consultation des offices sur la Stratégie Open Governement Data, le PFPDT a recommandé que le document stratégique prévoie des procédures incluant des mesures techniques et organisationnelles afin de prévenir toute divulgation accidentelle de données personnelles.

Postfinance, CFF, Migros et Coop
Postfinance a introduit une nouvelle plateforme d’e-banking comprenant un logiciel d’analyse obligatoire afin d’assurer la planification du budget et la représentation des flux monétaires. L’analyse des transactions permet aux clients de Postfinance de recevoir des offres spéciales d’entreprises tierces sur leur page e-banking. Depuis l’intervention du PFPDT, les clients sont informés et peuvent choisir, ce qui signifie qu’aucune analyse n’est possible sans leur consentement.

Si le Conseil fédéral a abandonné l’idée d’un échange automatique d’adresses entre la Poste et les registres des habitants, il a néanmoins chargé le Département fédéral de justice et police d’examiner les solutions permettant un échange automatique d’adresses entre les différents organes publics.

Le PFPDT a vérifié les conditions d’utilisation du service de WiFi gratuit proposé par le CFF dans différentes gares. Il a constaté que le traitement des données à des fins de marketing n’était pas encore mis en œuvre. Les conditions d’utilisation étaient formulées de manière trop imprécise et ne détaillaient pas quelles données étaient utilisées à quelles fins. Par conséquent, le consentement requis pour un traitement à des fins de marketing et pour l’analyse de flux de personnes ne serait pas valable sur la base de ces conditions d’utilisation. Les conditions générales ont donc été adaptées.

En ce qui concerne les cartes clients de Migros, le PFPDT a émis une recommandation formelle selon laquelle Migros doit répondre à un client qui fait valoir son droit d’accès, dans quel segment il est classé sur la base des analyses liées aux données clients. Cette classification représente une composante centrale du traitement des données et sa communication est indispensable pour se faire une idée des critères d’analyse, évaluer leur exactitude et se comporter en conséquence. Migros a accepté la recommandation. S’agissant de Coop, la procédure de contrôle est encore en cours.

Vente aux enchères de dossiers médicaux
Le fait que les données des patients possèdent une valeur marchande a été confirmé par un office des faillites qui envisageait la vente forcée du fichier de patients d’un dentiste avec les dossiers médicaux, sans en informer les patients concernés au préalable. Cela n’est pas possible, car l’accord des patients est une condition indispensable. S’agissant de données sensibles, un consentement explicite, donné librement et après avoir été informé est nécessaire.

De manière plus générale, le Préposé rappelle qu’un médecin doit prendre des mesures techniques appropriées pour protéger les données de ses patients contre un accès non autorisé. Pour des informations médicales, la simple protection par identifiant et mot de passe ne suffit pas. Il faut faire appel à des technologies de chiffrement adaptées. En cas d’utilisation de services informatiques en nuage, seul le médecin doit avoir accès à la clé de déchiffrement.

Les assurances
Le PFPDT a constaté à plusieurs reprises que quelques assurances-maladies complémentaires n’effacent pas les données concernant la santé de personnes dont la demande d’adhésion n’a pas abouti à un contrat. Elles ont pourtant une obligation d’effacer spontanément ces données. L’assurance peut avoir un intérêt (justifié) à conserver pendant un certain temps les données d’identification du demandeur ainsi qu’une brève motivation du refus, mais en aucun cas les formulaires de demande contenant les renseignements médicaux ou d’autres informations médicales rassemblées.

En matière de procuration, des améliorations sont nécessaires. Les assurances doivent demander une nouvelle procuration pour chaque nouvel événement assuré. En effet, une procuration ne peut se référer à tous les événements futurs et une procuration standard remise à la conclusion du contrat ne serait pas valable. Elle doit au contraire nommer l’objet de la recherche, par exemple en lien avec le sinistre survenu à une date précise et limiter le traitement aux données nécessaires dans ce contexte. Celui qui transmet des données à l’assurance est responsable de vérifier, malgré la présence d’une procuration, que les données souhaitées sont requises par l’objectif visé et qu’aucun intérêt particulier prépondérant de la personne concernée ne s’oppose à une communication des données. Malheureusement les assurances n’acceptent pas que les assurés modifient la procuration et menacent immédiatement d’une réduction des prestations pour non-respect du devoir de collaboration. Dans les faits, les assurés sont obligés de signer la procuration, ce qui peut néanmoins enlever toute validité au consentement obtenu de manière contrainte.

Les caméras embarqués
Le PFPDT rappelle que l’utilisation de caméras embarquées (dashcams) contrevient en général au droit de la protection des données et qu’elles ne doivent pas être utilisées. Même si ces enregistrements peuvent avoir une certaine utilité, ils n’en demeurent pas moins problématiques car une caméra embarquée filme en continu. Le traitement de données ne se limite pas aux personnes qui sont impliquées dans un événement spécifique (par exemple un accident) ou se comportent de manière fautive, mais concerne toutes les personnes présentes dans le champ de la caméra. De plus, les personnes concernées ne savent pas qu’elles sont filmées. L’utilisation de caméras embarquées est donc contraire aux principes de transparence et de proportionnalité. A noter que cela ne se limite pas seulement aux caméras embarqués dans une voiture, mais s’applique à toutes les caméras utilisées dans l’espace publique (caméras embarqué sur un casque à ski ou à vélo, drones, etc.).

La situation pourrait être différente lorsque la caméra est enclenchée uniquement lorsque survient un accident: tous les utilisateurs de la route ne sont pas considérés comme des suspects potentiels et il n’y a pas de traitement de données à titre préventif. Si l’enregistrement est limité à un événement concret, le traitement de données pourrait être justifié par un intérêt prépondérant.

Transparence
En matière de transparence, le PFPDT a traité 85 demandes de médiation qui ont abouties à 49 recommandations. Le Préposé a rejeté le projet de nouvelles dispositions dans la Loi sur l’aviation selon laquelle les documents concernant les activités de surveillance de l’Office fédéral de l’aviation civile devraient être soustraits à la Loi sur la transparence.

Dans le cadre de l’évaluation de la Loi sur la Transparence, les évaluateurs partagent le sentiment du Préposé que le changement de paradigme régulièrement demandé depuis l’entrée en vigueur de la LTrans n’a toujours pas été mis en œuvre dans l’ensemble de l’administration fédérale et que certaines autorités s’opposent régulièrement à la transmission des documents.

Publications
Au titre des explications et autres publications du PFPDT, on peut relever les explications sur les systèmes de contrôle d’accès dans les centre de loisirs (y compris les stations de ski), les explications sur la vidéosurveillance au moyen de caméras embarquées, les explications sur les mégadonnées (big data), les explications sur le droit à l’oubli, les explications sur l’utilisation de drones, les explications sur les systèmes de localisation de personnes, les explications sur le Bring Your Own Device, les explications sur la protection des données et la recherche et un feuillet thématique sur les systèmes de contrôle d’accès aux centres de loisirs.

Les contrôles de sécurité (background check) 11 mai 2015

Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Technique.
add a comment

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) vient de publier des «Explications relatives aux contrôles de sécurité (employés du secteur privé)» .

Les contrôles de sécurité (background check en anglais) ne sont pas des mesures de surveillance qui visent à contrôler l’activité du travailleur pendant son temps de travail, mais que l’employé ne représente pas un danger pour la sécurité de l’entreprise. Ces contrôles ont souvent lieu avant le début de l’activité et comme condition à l’embauche. Le degré de risque ne dépend pas tellement du niveau hiérarchique mais plutôt des possibilités d’accès et de la confidentialité des données traitées. Le personnel d’entretien aura généralement un accès très vaste aux locaux et documents qu’ils renferment, de même que les personnes en charge de l’infrastructure informatique jouissent souvent de privilèges d’accès dépassant ceux de certains dirigeants.

Au sein de l’administration, les contrôles sont notamment régis par l’Ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP). Pour le secteur privé, ce sera principalement l’art. 328b CO et la LPD: l’employeur ne peut traiter des données concernant le travailleur que dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail.

Information écrite préalable et interdiction des vérifications secrètes
Le contrôle devrait idéalement avoir lieu avant ou au début des rapports de travail. Si les rapports de travail sont en cours, l’employeur doit annoncer la mesure assez tôt et laisser au travailleur un temps de réflexion suffisant. Le collaborateur qui travaille dans un secteur présentant des risques importants doit accepter un contrôle de sécurité proportionné et adéquat. S’il s’oppose, il risque de faire face à un licenciement.

L’employeur doit informer le personnel par écrit avant que n’ait lieu le contrôle de sécurité. Le PFPDT souligne qu’une mention orale suffit dans un premier temps dans le cas d’un entretien avec un candidat postulant pour un emploi nécessitant un contrôle, mais que le principe de la transparence veut que les personnes concernées soient informées sur l’objectif de la collecte d’informations, sur leur durée de conservation, et sur la personne qui va effectuer cette tâche, spécialement dans la situation où une société externe est mandatée. L’employeur doit en outre motiver auprès de chaque salarié la raison qui impose un contrôle dans son cas.

L’ensemble des vérifications doit être proportionné, y compris s’il est réalisé par un tiers. Selon le PFPDT, l’employeur ne peut réaliser un contrôle de sécurité qu’avec le concours des personnes concernées et les vérifications secrètes sont interdites.

Les données recueillies ne peuvent être réutilisées à d’autres fins et celles qui ne sont plus nécessaires doivent être détruites. L’accès aux données doit en outre être limité. Le travailleur jouit lui en revanche en tout temps d’un droit d’accès à ses données (art. 8 LPD), même si elles ont été recueillies par un tiers.

Données des travailleurs et candidats: recommandation du Conseil de l’Europe 24 avril 2015

Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléphonie, Technique, Vidéosurveillance.
add a comment

Le Comité des Ministres du Conseil de l’Europe a adopté au début du mois d’avril 2015 la Recommandation sur le traitement des données à caractère personnel dans le cadre de l’emploi (CM/Rec(2015)5). Cette recommandation s’applique à tout traitement de données à caractère personnel concernant les rapports entre employeurs et employés relatifs au recrutement, à l’exécution du contrat de travail et à la fin des rapports de travail dans les secteurs public et privé.

Elle rappelle la garantie du respect des droits de l’homme, de la dignité humaine et des libertés fondamentales, ainsi que les principes applicables au traitement des données (en particulier lors de la collecte, l’enregistrement, l’utilisation interne et la communication externe des données), la transparence du traitement, et les droits d’accès, de rectification et d’opposition.

Proportionnalité et transparence
La Recommandation souligne en particulier la proportionnalité du traitement. Les employeurs devraient veiller à ce que le traitement des données ne porte que sur les données strictement nécessaires pour atteindre l’objectif déterminé dans les cas individuels concernés (4.1) et les données devraient être pertinentes et non excessives, compte tenu du type d’emploi ainsi que des besoins évolutifs d’information de l’employeur (5.2).

Les données fournies à la suite d’un acte de candidature devraient en principe être effacées dès qu’il devient clair que la candidature ne sera pas retenue par l’employeur ou sera retirée par le candidat. Lorsque de telles données sont conservées en vue d’une demande d’emploi ultérieure, l’intéressé devrait en être informé en conséquence et les données devraient être effacées à sa demande (13.2). En l’absence de réaction du candidat, on devrait pouvoir considérer qu’il ne s’oppose pas à la conservation pour une période raisonnable. Quant aux données traitées dans le cadre d’une enquête interne, elles devraient être effacées dans un délai raisonnable si aucune sanction n’a été prononcée à l’égard d’un employé (13.4).

Des informations sur les données détenues par des employeurs devraient être mises à la disposition de l’employé concerné (10.1) et une description particulièrement claire et complète devrait être fournie des catégories de données qui peuvent être collectées et de leur utilisation potentielle lorsque des moyens techniques comme la vidéosurveillance sont utilisés (10.3). Ces informations, facilement accessibles et à jour, devraient être fournies avant que l’employé n’exerce effectivement l’activité prévue (10.4).

S’agissant des dispositifs techniques et de communication utilisés par un employé, une information périodique doit être fournie quant à la finalité du traitement, la durée de conservation des données collectées, la sauvegarde des données de connexion et l’archivage des messages électroniques professionnels (14.1).

Les réseaux sociaux
Les employeurs devraient collecter les données directement auprès de la personne concernée. Lorsqu’il est nécessaire et licite de traiter des données collectées auprès de tiers, par exemple pour obtenir des références professionnelles, la personne concernée devrait en être préalablement dûment informée (5.1). De plus, les employeurs devraient s’abstenir d’exiger ou de demander à un employé ou à un candidat d’avoir accès à des informations que celui-ci partage avec d’autres en ligne, notamment sur des réseaux sociaux (5.3).

Le Conseil de l’Europe souhaite ainsi clairement protéger les employés et candidats et exclure toute possibilité pour l’employeur ou futur employeur de se renseigner en ligne sur la personne concernée, notamment par le biais des moteurs de recherche. Il n’est pas fait d’exception pour les données partagées publiquement. On peut néanmoins se demander s’il ne faut pas considérer qu’il y a un accord implicite du candidat qui rend publiques des données sur un réseau social professionnel ou un site de recherche d’emploi.

Internet et le courrier électronique
En ce qui concerne l’accès à Internet, il conviendrait de préférence d’une part d’adopter des mesures préventives, telles que la configuration de systèmes ou l’utilisation de filtres qui peuvent empêcher certaines opérations, et d’autre part de prévoir éventuellement des contrôles effectués de manière graduée et par sondages non individuels, en utilisant des données anonymes ou agrégées (14.2).

L’accès par des employeurs aux communications électroniques professionnelles de leurs employés ne peut survenir que s’ils ont été informés au préalable de cette éventualité et si cela est nécessaire pour des raisons de sécurité ou d’autres raisons légitimes (14.3). En aucun cas le contenu, l’envoi et la réception de communications électroniques privées dans le cadre du travail ne devraient faire l’objet d’une surveillance (14.4).

En cas d’absence d’un employé, les employeurs devraient prendre les mesures nécessaires et prévoir les procédures appropriées visant à permettre l’accès aux communications électroniques professionnelles, uniquement lorsqu’un tel accès est nécessaire d’un point de vue professionnel. Cet accès devrait intervenir de la façon la moins intrusive possible et uniquement après avoir informé les employés concernés (14.3).

Lorsqu’un employé quitte son emploi, l’employeur devrait prendre des mesures techniques et organisationnelles afin que la messagerie électronique de l’employé soit désactivée automatiquement. Si le contenu de la messagerie devait être récupéré pour la bonne marche de l’organisation, l’employeur devrait prendre des mesures appropriées afin de récupérer son contenu avant le départ de l’employé et si possible en sa présence (14.5).

Surveillance et données biométriques
L’utilisation des systèmes et technologies d’information ayant pour finalité directe et principale de contrôler de l’activité et le comportement des employés ne devraient pas être permises. S’ils ont d’autres finalités légitimes (sécurité, protection de la santé, gestion efficace, etc.), les représentants des employés doivent être consultés préalablement et les systèmes spécialement conçus et placés de façon à ne pas porter préjudice aux droits fondamentaux des employés (15.1 et 15.2). Quant aux appareils permettant de localiser un employé, ils ne devraient être introduits que s’ils s’avèrent nécessaires pour atteindre les finalités légitimes poursuivies par les employeurs et si leur utilisation ne conduit pas à un contrôle permanent des employés.

La collecte et le traitement de données biométriques ne devraient être réalisés que lorsqu’ils sont nécessaires à la protection des intérêts légitimes des employeurs, des employés ou des tiers, et s’il n’y a pas de possibilité d’utiliser d’autres méthodes alternatives de traitement moins intrusives pour la vie privée (18.1).

De manière générale, tout traitement de données lié à l’utilisation d’Internet, des courriels, de la vidéosurveillance, d’appareils de localisation ou de données biométriques exige une information préalable des employés (finalité du dispositif, durée de conservation, existence ou non des droits d’accès et de rectification, et la façon dont ces droits peuvent être exercés), des mesures internes appropriées, ainsi que la consultation des représentants des employés et cas échéant des autorités nationales de protection des données (21).

Voir également

La surveillance électronique des employés (publication)

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé

Surveillance d’employés par le service informatique: les règles à suivre

Comment réagir lorsque l’on découvre une faille de sécurité? 9 avril 2015

Posted by Sylvain Métille in Informatique, Protection des données, Publications, Sphère privée, Suisse, Technique.
1 comment so far

Il n’y a pas d’obligation de notifier une faille de sécurité en Suisse, mais il faut pourtant s’y préparer. En l’absence de procédure légale, c’est donc à l’entreprise de choisir comment elle veut réagir.

Lorsque l’on parle de failles de sécurité, on pense surtout à Adobe, Sony, Target, etc. Mais cela existe également en Suisse, sauf qu’on le sait peut-être moins. En 2013, la Banque Coop envoie 41 000 relevés de compte à de mauvais destinataires à cause d’une erreur de programmation informatique, alors que la NZZ reçoit cinq bandes de sauvegarde contenant des données confidentielles de Swisscom. En 2014, ce sont les factures de clients de UPC Cablecom qui sont accessibles sur le site de l’opérateur. On apprend également que de nombreux sites de e-banking sont vulnérables à cause de la faille « Heartbleed » et la BCGE refuse de payer une rançon pour éviter la divulgation de données relatives à des milliers de clients. S’y ajoutent les courriels mal adressés, les ordinateurs, clés USB et autres supports perdus ou volés, ainsi que les actes d’employés indélicats.

(Presque) pas d’obligation d’annonce
La plupart des Etats américains prévoient une obligation d’annoncer les failles de sécurité relatives à des données personnelles. Ce devrait être le cas en Europe avec le nouveau Règlement sur la protection des données. Des obligations d’annonce sont également en discussion pour les infrastructures critiques. En Suisse, rien de tout cela. Tout au plus l’autorité de surveillance devra être informée pour certaines activités réglementées (par exemple les banques) ou si l’information des personnes concernées permet de réduire notablement le dommage causé. Dans certains cas, il faudra informer une autorité étrangère parce que parmi les données exposées se trouvent celles d’une résident étranger, ou un partenaire contractuel.

Etre prêt à communiquer et collaborer
Lorsqu’une faille est découverte, il faut agir vite (et bien). Il est donc impératif d’avoir défini préalablement une politique et que chaque employé connaisse le point d’alerte interne. On prendra soin d’avoir identifié et de pouvoir contacter rapidement les personnes concernées, y compris les intervenants externes. Tous les aspects doivent être pris en compte : les conséquences légales, l’atteinte à la réputation, le risque d’une attaque, etc. Il est essentiel d’impliquer dès le début les responsables informatiques, juridiques et des relations publiques. Le plan devra être suffisamment détaillé pour permettre de trouver en urgence toutes les informations utiles. Il ne faudra finalement pas oublier les employés, qui devront être rassurés et à qui il faudra donner les informations leurs permettant de défendre l’image de l’entreprise.

Une approche fine et un plan détaillé adapté à chaque entreprise est absolument nécessaire. Voici déjà quelques grandes lignes:

  1. Alerter. Celui qui découvre la faille doit immédiatement alerter le responsable de la sécurité et lui donner toutes informations dont il dispose (qui est impliqué, quelles données sont potentiellement concernées, qui est au courant de la faille et s’il y a des mesures immédiates à prendre).
  2. Réunir. Le responsable de la sécurité doit rendre inaccessible les données qui le peuvent et réunir la direction et les responsables juridique, informatique et communication (éventuellement un avocat externe et un conseiller en relations publiques).
  3. Analyser. Déterminer quelles données sont concernées (et s’il en découle des obligations, y compris contractuelles ou de droit étranger), quelles mesures de sécurité doivent être prises (pour restaurer les données ou protéger les victimes éventuelles).
  4. Communiquer. Informer le public, les autorités concernées et les employés. Dans le cas où l’entreprise décide de ne pas dévoiler la faille, prévoir une réponse à utiliser en cas d’urgence.
  5. Améliorer. Evaluer les procédures en cours et corriger les erreurs.

Ce billet a déjà été publié dans la version papier du magazine suisse des technologies de l’information pour l’entreprise ICTjournal.

Publications: La surveillance électronique des employés 23 mars 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
1 comment so far

Dans l’ouvrage Internet au travail édité par Jean-Philippe Dunand et Pascal Mahon, j’ai abordé la question de «La surveillance électronique des employés». Cette contribution est complétée par la présentation faite lors d’un séminaire organisé par l’Université de Neuchâtel.

Après avoir fait le point sur les exigences légales (Loi fédérale sur la protection des données et recommandations du Préposé fédéral à la protection des données et à la transparence, art. 28ss du Code civil, Loi et Ordonnance 3 sur le travail, ainsi que les articles 179ss du Code pénal), on passe en revue les jurisprudences déterminantes sur le sujet. Les points principaux sont ensuite regroupés en deux principes essentiels, l’information et la proportionnalité.

Différents cas d’applications sont finalement examinés: la surveillance téléphonique, la surveillance de l’Internet, la surveillance du courrier électronique, et la surveillance de l’activité. L’article se conclut par les conséquences d’une surveillance illégale et quelques recommandations pratiques.

La liberté d’information peut justifier l’enregistrement d’une conversation privée par un journaliste 25 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
add a comment

Dans une Affaire Haldimann et autres contre Suisse du 24 février 2015, la Cour européenne des droits de l’Homme a constaté que la Suisse avait violé la CEDH en condamnant pénalement des journalistes qui avait enregistré au moyen d’une caméra caché des conversations non publiques (Requête no 21830/09). La Cour a retenu que la liberté d’information devait prendre le pas sur le droit à l’image.

La procédure suisse
En 2003, la rédaction de l’émission hebdomadaire de protection des consommateurs de la télévision suisse alémanique Kassensturz a produit et diffusé un reportage sur les pratiques dans le domaine de la vente des produits d’assurance-vie. Dans ce but, ils ont convenu d’un entretien avec un courtier en assurances lors duquel une journaliste s’est faite passer pour une cliente potentielle. Deux caméras cachées ont enregistré la scène. A la fin de l’entretien, le courtier a été informé et la possibilité de donner son avis lui a été donnée, ce qu’il a refusé. Une partie de l’entretien est ensuite diffusée, mais le visage du courtier est «pixélisé» de manière à ce que seule la couleur de ses cheveux et de sa peau soient encore visibles après cette transformation de l’image, ainsi que ses vêtements. Sa voix a aussi été modifiée.

Au terme de la procédure pénale, les quatre journalistes sont condamnés pour avoir enregistré en secret une conversation de l’un d’entre eux avec le courtier d’assurances et pour avoir diffusé certaines parties de cette conversation sous forme «anonymisée» à la télévision. Les journalistes n’ont pas été condamnés pour avoir fait un enregistrement avec une caméra cachée, mais pour avoir utilisé ce procédé pour enregistrer une conversation non publique.

En droit, il s’agit pour la journaliste qui a participé à la conversation d’une violation de l’art. 179ter CP qui sanctionne l’enregistrement d’une conversation non publique par l’un des participants, sans le consentement de son interlocuteur, et pour les autres une violation de l’art. 179bis CP qui sanctionne l’enregistrement d’une conversation non publique entre d’autres personnes, sans leur consentement, et la communication à des tiers d’un fait obtenu au moyen d’un tel enregistrement. Ces articles garantissent en particulier la confidentialité des conversations non publiques. La violation du domaine secret ou du domaine privé au moyen d’un appareil de prise de vues au sens de l’art. 179quater CP n’a pas été retenue.

Droit à l’image contre liberté d’expression
La Cour européenne des droits de l’Homme était saisie d’un recours formé par les journalistes, qui considèrent que les dispositions pénales en question portent atteinte à la liberté d’expression et ne devraient pas leur être applicables. Ils soulignent d’ailleurs qu’ils ont respecté la décision no 51/2007 du Conseil suisse de la presse qui dit que les recherches cachées sont autorisées si les informations sont dans l’intérêt public et si les informations ne peuvent pas être reçues par un autre moyen.

La Cour aborde l’affaire comme un conflit entre deux droits fondamentaux, la liberté d’expression des journalistes d’une part et le droit au respect de la vie privée du courtier d’autre part. La Cour ne conteste pas que les dispositions pénales protègent le droit du courtier à sa propre image, à sa propre parole ainsi que sa réputation, mais elle se demande si les dispositions pénales sont une restriction justifiée de la liberté d’expression.

La Cour passe en revue les différents critères qu’elle utilise habituellement pour analyser la mise en balance du droit à la liberté d’expression et du droit au respect de la vie privée:

  • la contribution à un débat d’intérêt général: la mauvaise qualité du conseil délivré par des courtiers en assurances et la protection du droit des consommateurs en découlant est un débat d’un intérêt public très important auquel les journalistes participent.
  • la notoriété de la personne visée, l’objet du reportage et son comportement antérieur: le courtier filmé à son insu n’était pas un personnage public. Le reportage litigieux n’était pas focalisé sur la personne du courtier mais sur certaines pratiques commerciales mises en œuvre au sein d’une catégorie professionnelle. En outre, l’entretien ne s’était pas déroulé dans les bureaux du courtier ou autre local professionnel. L’atteinte à la vie privée du courtier est moins importante que s’il avait été visé exclusivement et en personne par le reportage.
  • le mode d’obtention des informations et leur véracité: les journalistes ont respectés les règles déontologiques et la véracité des informations n’a jamais été contestée.
  • le contenu, la forme et les répercussions de la publication: l’enregistrement a été diffusé sous forme de reportage, particulièrement péjoratif à l’égard du courtier. Des mesures ont toutefois été prises pour l’«anonymiser». Pour la Cour, l’ingérence dans la vie privée du courtier n’est pas d’une gravité telle qu’elle doive occulter l’intérêt public à l’information des malfaçons alléguées en matière de courtage en assurances.
  • la gravité de la sanction imposée: même si les peines sont très faibles (quatre et douze jours-amendes), cette sanction pénale peut inciter la presse à s’abstenir d’exprimer des critiques.

En conclusion, la Cour estime que la mesure litigieuse n’était pas, en l’espèce, nécessaire dans une société démocratique et que, par conséquent, il y a eu violation de l’art. 10 CEDH. Autrement dit, la Cour considère que dans ce cas précis, la norme pénale ne devait pas l’emporter sur la liberté d’expression et qu’il ne fallait pas condamner pénalement les journalistes. La Cour crée d’une certaine manière un motif justificatif pour les journalistes rendant leurs actes licites dans ce cas particulier.

Confidentialité des conversations
Pour le juge Paul Lemmens qui signe une opinion dissidente très intéressante, il ne s’agissait pas simplement de la mise en balance de deux intérêts privés. Les dispositions pénales en question visent à protéger non pas la vie privée (ou la réputation) de certains individus, mais la confidentialité en général des conversations non publiques. Il s’agit alors d’un intérêt général touchant à l’ordre public et concrétisé dans la loi pénale, et non pas à de simples intérêts privés.

La question n’est pas de savoir dans quelle mesure l’utilisation de la caméra cachée est acceptable, mais de savoir dans quelle mesure des accusés peuvent invoquer avec succès une cause de justification contre l’accusation d’enregistrement et de diffusion d’une conversation protégée par la loi. Comme l’avait relevé le Tribunal fédéral, la défense d’intérêts légitimes suppose que l’acte délictuel soit un moyen nécessaire et adéquat pour atteindre un but légitime, voire que ce soit la seule voie possible pour atteindre ce but, et que le bien juridique protégé par l’interdiction légale pèse moins lourd que celui que l’auteur de l’acte cherchait à préserver. Cela n’était probablement pas le cas en l’espèce puisqu’il était possible de montrer les abus en matière d’assurance de manière différente. Et cette interprétation ne rendait pas pour autant illégale le recours à une caméra cachée lorsque c’est le seul moyen d’arriver au but visé, et légitime, pour un journaliste.

Cette décision de la Cour européenne des droits de l’Homme va conduire à la révision de la condamnation des journalistes, mais elle va aussi permettre, de manière plus générale, aux journalistes d’investigation suisses d’utiliser des caméras cachées. Leur utilisation devrait toutefois restée limitée, car la Cour n’a pas indiqué que le droit pénal ne s’appliquait pas aux journalistes mais seulement que dans ce cas particulier, le droit à l’information devrait primer sur la protection de la sphère privée. Si le reportage avait visé une personne en particulier, la conclusion aurait pu être différente.

A noter finalement que la Cour ne s’est pas prononcée sur l’éventuelle utilisation de l’enregistrement par la justice pénale. En l’absence d’infraction pénale, la preuve ne serait vraisemblablement plus illégale. Le journaliste pourrait néanmoins se réfugier derrière la protection des sources pour refuser de la communiquer.

Publications: Infrastructures et données informatiques 10 février 2015

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Téléchargement, Technique.
add a comment

L’article écrit avec Joanna Aeschlimann intitulé Infrastructures et données informatiques: quelle protection au regard du code pénal suisse? est paru il y a quelques semaines dans la Revue pénale suisse 03/2014. Nous avons examiné en détail les conditions devant être remplies pour que l’infraction soit réalisée, mais également les mesures à prendre par la victime potentielle pour pouvoir prétendre à la protection pénale. Les infractions envisagées sont :

  • La soustraction de données (143 CP)
  • La soustraction de données personnelles (Art. 179novies)
  • L’accès indu à un système informatique (143bis al. 1 CP)
  • La mise à disposition d’informations en vue d’un accès indu (143bis al. 2 CP)
  • La détérioration de données proprement dite (144bis ch. 1 CP)
  • La mise à disposition d’informations permettant la détérioration de données (144bis ch. 2 CP)
  • L’utilisation frauduleuse d’un ordinateur (147 CP)
  • L’obtention frauduleuse d’une prestation (art. 150 CP)

Que fait-on de nos données? 28 janvier 2015

Posted by Sylvain Métille in Divers, Humeur, Informatique, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
1 comment so far

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 833 autres abonnés