- Tout
- Apple
- ATF
- Blog
- Cybersecurité
- Divers
- Droit pénal et procédure pénale
- Humeur
- Informatique
- Jurisprudence
- Langue
- Liens
- Localisation
- Logiciel
- LPD
- Médias
- Microsoft
- PFPDT
- Protection des données
- Publications
- Renseignement
- RGPD
- Skype
- Sphère privée
- Suisse
- Surveillance
- Technique
- Téléchargement
- Téléphonie
- UE
- USA
- Vidéosurveillance
Droit pénal et procédure pénaleLocalisationLPDProtection des donnéesPublicationsRGPDSphère privéeSuisseSurveillanceTechniqueUE
Publication: CPP, RGPD et recueil de lois
Trois ouvrages auxquels j’ai participé sont parus ces derniers mois. Il y a d’abord eu le recueil de textes de loi Protection des données: droit fédéral, droit européen et conventions internationales, transparence et archivage. Publié à l’automne 2019, il s’adresse surtout aux étudiants et praticiens dans le but d’avoir les principaux textes de loi sous la main et accessibles à l’aide d’un large index. Juste pour Noël, c’est la deuxième édition du Commentaire romand du Code de procédure pénale suisse édité par Yvan Jeanneret, André Kuhn et Camille Perrier Depeursinge qui est sorti de presse. Dans cet ouvrage collectif de presque trois mille pages, j’ai commenté sur une centaine de pages les articles 269 à 281 CPP consacrés aux mesures de surveillance secrète. Finalement, c’est le livre Le règlement général sur la protection des données (RPDG): portée et premières expériences (en allemand Datenschutzgrundverordnung (DSGVO): Tragweite und erste Erfahrungen) édité par Astrid Epiney qui est paru en janvier. Avec Annelise Ackermann, nous avons rédigé le chapitre «RGPD: application territoriale et extraterritoriale», qui dresse un panorama complet et critique de l’application territoriale et extraterritoriale du Règlement général sur la protection des données de l’UE, prenant en compte la version finale des lignes directrices du Comité européen de la protection des données. Toutes les publications sont disponibles sur la page publications.
BlogDiversHumeurLangueTechnique
Numérisation, informatisation et digitalisation, de quoi s’y perdre
Notre environnement est pleine évolution (ou révolution). Tout s’accélère au point de nous donner le tournis. Depuis des années déjà, les données sont le nouvel or noir. Nous en générons tellement qu’elles sont devenues des données massives (big data) car les outils traditionnels ne permettent plus de les traiter. Les appareils deviennent intelligents et l’intelligence artificielle est de plus en plus présente, à moins qu’il ne faille parler d’intelligence augmentée. La numérisation, l’informatisation et la digitalisation sont des concepts avec lesquels on se perd. On devrait parler de numérique pour ce qui a trait à l’électronique et aux nombres, alors que l’adjectif digital se réfère aux doigts. Jusque-là c’est assez simple, même si les erreurs sont fréquentes. La numérisation, c’est un simple procédé technique de conversion des informations d’un support, par exemple papier, en données numériques. L’informatisation va un peu plus loin en dotant l’entreprise des outils informatiques nécessaires. La digitalisation (ou la transformation digitale) est (aujourd’hui) le dernier stade qui consiste à changer un modèle d’affaires ou de fonctionnement pour développer de nouvelles opportunités en exploitant les données et les outils informatiques (y compris en partie automatisés). Cela peut conduire à des changements assez drastiques. Tout s’accélère et le droit reste stable, presque immobile. Des changements dans sa mise en exécution et dans les moyens des autorités sont nécessaires (comme le dossier judiciaire électronique), et parfois les lois elles-mêmes doivent être remises à jour (comme la révision de la loi sur la protection des données). Les grands principes doivent en revanche demeurer (bonne foi, responsabilité, proportionnalité, transparence, principe de précaution, etc.), à la fois pour protéger le citoyen contre les dérives mais aussi pour assurer la confiance dans le monde numérique nécessaire à tout projet. Certaines règles, parfois perçues comme trop contraignantes par de nouveaux acteurs, peuvent aussi être ...
GoogleInformatiqueLocalisationLPDProtection des donnéesPublicationsSphère privéeSuisseTechniqueUEUSA
Publication: l’utilisation de l’informatique en nuage par l’administration publique
Si le recours à des services informatiques fournis en ligne est devenu courant, il n’en demeure pas moins soumis à des règles particulièrement strictes lorsque le client est l’administration. Si les exigences en matière de protection des données peuvent généralement être respectées dans le cadre de la négociation du contrat de services, il en va différemment du secret de fonction qui empêche dans la majorité des cas purement et simplement tout traitement de données hors de Suisse. J’ai traité de ces question ainsi que de quelques particularités des contrats informatiques dans l’article «L’utilisation de l’informatique en nuage par l’administration publique» paru dans la revue AJP/PJA 6/2019, désormais librement accessible en ligne. Mise à jour 26 septembre 2024 La situation juridique a sensiblement changée depuis la publication de cet article en 2019: il est aujourd’hui beaucoup plus facile de recourir à l’informatique en nuage tant pour les privés que les organes cantonaux et fédéraux. La notion d’auxiliaire a été ajoutée à l’art. 320 CP le 1er janvier 2023 et le Conseil fédéral a précisé qu’il n’y avait pas de violation du secret de fonction lorsque des informations protégées sont communiquées à un auxiliaire en Suisse ou à l’étranger (BO 2022 N 353 s). De plus, la reconnaissance des États-Unis comme un État offrant un niveau de protection adéquat (pour les entreprises ayant adhéré au Swiss-U.S. Data Privacy Framework) et la Désignation de la Suisse le 7 juin 2024 en tant qu’État bénéficiant du mécanisme de recours à deux niveaux comprenant l’accès à la Cour d’examen en matière de protection des données (ainsi que les garanties découlant du Décret exécutif 14086 du 7 octobre 2022), permettent désormais une communication de données personnelles aux États-Unis dans le respect de la LPD. Toutes les publications sont disponibles sur la page publications.
ATFDroit pénal et procédure pénaleJurisprudenceLogicielLPDProtection des donnéesRenseignementSphère privéeSuisseSurveillanceTechniqueVidéosurveillance
Caméras embarquées et reconnaissance automatisée des plaques jugées illicites
Le Tribunal fédéral a rendu ces dernières semaines deux arrêts importants en matière de surveillance dans l’espace public. Dans le premier (6B_1188/2018), il a retenu que l’enregistrement d’images par le conducteur d’un véhicule au moyen d’une caméra embarquée (Dashcam) est illicite en raison du défaut d’information des autres usagers de la route. Dans le second (6B_908/2018), c’est un système de reconnaissance automatisé des plaques de contrôle mis en place par le canton de Thurgovie qui a été considéré comme illicite en raison de l’absence d’une base légale formelle suffisante. Dans les deux cas, les preuves obtenues ont été considérées comme inexploitables. La protection de la sphère privée La protection de la sphère privée est garantie par l’art. 13 Constitution fédérale (Cst.) qui garantit à toute personne le droit d’être protégée contre l’emploi abusif de données qui la concernent (droit à l’auto-détermination informationnelle). La protection de la sphère privée et la protection des données s’appliquent également dans l’espace public. Ce droit n’est pas absolu et peut être limité aux conditions de l’art. 36 Cst. qui exige notamment que toute restriction repose sur une base légale suffisante et qu’elle demeure proportionnée. Lorsque des données personnelles sont traitées par des personnes privées, ce sont les règles de la Loi fédérale sur la protection des données (LPD) qui s’appliquent et en particulier le principe transparence de l’art. 4 al. 4 LPD qui exige que la collecte et le but du traitement des données soient reconnaissables par les personnes concernées. Une violation de ce principe peut être justifiée dans des cas particuliers, notamment si une loi prévoit la collecte des données ou en cas d’intérêt prépondérant (art. 13 LPD). La caméra embarquée Dans le cas de la caméra embarquée dans un véhicule, son utilisation n’est évidemment pas reconnaissable par les autres usagers de la route. ...
LPDPFPDTProtection des donnéesSphère privéeSuisse
Révision de la LPD: projet de la CIP-N
La Commission des institutions politiques du Conseil national (CIP-N) a publié ses différentes propositions de modification du projet de révision de la loi fédérale (suisse) de protection des données.
ATFDroit pénal et procédure pénaleInformatiqueJurisprudenceProtection des donnéesSphère privéeSuisseSurveillanceTechnique
Accéder à une messagerie électronique avec un mot de passe trouvé est une infraction pénale
Dans une décision publiée aujourd’hui (6B_1207/2018, ATF 145 IV 185), le Tribunal fédéral confirme que celui qui accède à une messagerie électronique au moyen d’un mot de passe trouvé se rend coupable d’accès indu à un système informatique, quelles que soient les circonstances qui entourent l’obtention du mot de passe. Un mot de passe oublié L’affaire est assez simple. Un couple se sépare, Monsieur laisse une carte avec le mot de passe de sa messagerie électronique (Gmail) dans un tiroir du bureau de l’appartement occupé précédemment par la couple, Madame trouve la carte, se connecte à de multiples reprises à la messagerie et télécharge notamment des images. Condamnée par le Tribunal cantonal argovien à une peine pécuniaire de 30 jours-amende avec sursis pendant 2 ans et à une amende de 300.- pour accès indu à un système informatique (143bis al. 1 CP), elle recourt jusqu’au Tribunal fédéral, considérant qu’elle n’a pas déployé une énergie criminelle accrue, à l’image d’un « hacker », ce qui serait nécessaire pour la condamner. Au contraire, elle a obtenu le mot de passe sans la moindre manœuvre frauduleuse de sa part, dans un tiroir auquel elle avait le droit d’accéder. La manière d’obtenir le mot de passe n’est pas importante La question qui se pose est celle de savoir si la manière d’obtenir le mot de passe joue un rôle et si l’accès a eu lieu sans droit, ou si au contraire étant en possession du mot de passe elle n’agissait pas sans droit. Il ne fait pour le reste aucun doute que les autres conditions sont remplies, puisqu’elle s’est introduite dans un système informatique (elle s’est connectée à la messagerie à de multiples reprises), la messagerie appartient à un tiers (son mari dont elle vit séparée) et a saisi le mot de passe lui ...
Droit pénal et procédure pénaleInformatiqueJurisprudence
Faut-il introduire une infraction de harcèlement obsessionnel?
Le Parlement fédéral a adopté le 14 décembre 2018 un projet de Loi fédérale sur l’amélioration de la protection des victimes de violence. La question d’une éventuelle codification de l’infraction de harcèlement obsessionnel restait ouverte et la Commission des affaires juridiques du Conseil National (CAJ-N) avait préalablement sollicité de l’Office fédéral de la justice (OFJ) la production d’une note de discussion relative à la question d'une éventuelle. L’OFJ a publié il y a quelques semaines un rapport qui doit servir de base de discussion à la CAJ-N et qui fait le point sur la punissabilité actuelle du harcèlement.
ATFJurisprudenceSuisseTéléchargement
Un fournisseur d’accès n’est pas responsable du contenu auquel il donne accès
Le Tribunal fédéral vient de confirmer qu’un fournisseur d'accès Internet ne peut être astreint à bloquer l'accès à des pages web contenant des films proposés en violation du droit d’auteur (arrêt 4A_433/2018 destiné à la publication).
GoogleProtection des donnéesRGPDSphère privéeTechniqueUE
La CNIL impose une amende de 50 millions d’euros à Google en application du RGPD
La CNIL, l’autorité française de contrôle de la protection des données, a prononcé le 21 janvier 2019 une amende administrative de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.