Préambule
1.
Le développement rapide des technologies de l'information, du
multimédia et d’Internet pose de nouveaux problèmes de protection
des données aux différents systèmes juridiques. En particulier, du
fait que, techniquement, l'offre de service en ligne permet un important
traçage des données et qu’il est relativement aisé de dresser des
profils complets des habitudes de consommation des utilisateurs, ces
profils pouvant intéresser le marché de la publicité, le commerce
d'adresses ou l'employeur. Afin de permettre une protection efficace de
la personnalité des utilisateurs d’Internet, les systèmes législatifs
doivent limiter strictement le traitement des données à ce qui est nécessaire
pour l'accomplissement d'une tâche déterminée et obliger le
responsable à fournir des garanties quant à la finalité de ce
traitement.
Dans
cette perspective, la Suisse dispose-t-elle d’un cadre juridique
suffisant pour garantir efficacement la protection de la sphère privée des
utilisateurs de services Internet ?
Introduction
2.
La
loi fédérale du 19 juin 1992 sur la protection des données [LPD ;
RS 235 ] et les ordonnances d'exécution qui s'y rapportent sont
entrées en vigueur en Suisse le 1er juillet 1993.
Contrairement à certains modèles étrangers ou à certains principes
ancrés dans les traités internationaux ou les directives européennes
en la matière, le législateur suisse a opté pour une loi unique,
c'est-à-dire applicable aux personnes privées et à l’administration
publique, aux personnes physiques et morales, à tous les traitements de
données personnelles, sans s’attacher à un support particulier ou à
une technique spécifique de traitement des données.
3.
Le
législateur suisse a choisi délibérément une option techniquement
neutre dans la mesure où, vu la rapidité du développement
technologique, il a voulu que la loi fondamentale en matière de
protection des données s'applique également aux développements et
technologies futurs. Ainsi, les principes dégagés par la loi sur la
protection des données sont applicables aux nouvelles technologies de
l'information, en particulier à Internet.
4.
Afin
de garantir un contrôle institutionnel, le législateur a instauré un
Préposé fédéral à la protection des données chargé
essentiellement de conseiller les personnes privées en matière de
protection des données, informer, collaborer avec les autorités étrangères,
surveiller le développement des nouvelles technologies et évaluer leur
influence sur la protection des données.
Le
présent article se limitera à l’examen du traitement des données
par des personnes privées, celui-ci étant particulièrement touché
par le développement d’Internet.
1. Les
principes généraux de la loi sur la protection des données
A.
Généralités
5.
La loi sur la protection des données n'est pas fondée sur le
principe de l'interdiction générale du traitement des données
personnelles. Par contre, la circulation des données personnelles sur
Internet doit respecter les principes et les limites fixés par la loi.
Ceux-ci tendent en particulier à protéger la sphère privée et la
liberté personnelle de toute personne, physique ou morale, quels que
soient les moyens utilisés.
> La
collecte de données personnelles
6.
Ainsi,
la collecte de données
personnelles ne peut se faire que d'une manière licite. Cela signifie
qu'une telle action nécessite un motif justificatif, que ce soit sous
forme de consentement de la personne concernée, d'un intérêt prépondérant
public ou privé, ou d'une loi. Il n'est dès lors pas permis de
collecter des données personnelles sans que la personne concernée en
ait connaissance, ni contre son gré. Celui qui collecte des données
doit en particulier indiquer que les données vont être traitées et
communiquées, dans quels buts elles vont l'être et quelles sont les
possibilités de s'y opposer. Quiconque trompe la personne concernée
lors de la collecte des données, par exemple en collectant des données
sous une fausse identité ou en donnant de fausses indications sur le
but du traitement, viole le principe de la bonne foi. Il agit également
contrairement à ce principe s'il collecte des données personnelles de
manière cachée, par exemple en interceptant des communications
(article 4 alinéa 1 LPD). En conséquence, les collectes de données
qui procèdent par soustraction de données, par une utilisation abusive
de communications interactives, par l'interception de transmissions
soumises à un secret professionnel, de fonction, de fabrication
commerciale ou par la violation du domaine privé pénalement réprimée,
sont manifestement illicites.
>
Principe de la proportionnalité
7.
En vertu du principe de la proportionnalité, seules les données
qui sont nécessaires et qui sont aptes à atteindre l'objectif fixé
peuvent être traitées. Une pesée des intérêts entre le but du
traitement et l'atteinte à la vie privée de la personne concernée est
donc toujours nécessaire (article 4 alinéa 2 LPD).
> Le
principe de la finalité
8.
Le principe de la finalité veut que les données collectées
soient traitées uniquement dans les limites nécessaires pour atteindre
le but qui a été communiqué lors de leur collecte, qui découle des
circonstances ou qui est prévu de par la loi. Par ailleurs, afin d’éviter
qu'une communication de données personnelles à l'étranger ne soulève
de trop grands risques d'atteinte à la vie privée (par exemple, suite
à une législation en matière de protection des données qui ne serait
pas équivalente à la législation suisse) et de permettre aux
personnes concernées de faire valoir leur droit d'accès aux données
les concernant, la loi prévoit l’obligation d’annoncer ladite
communication au Préposé fédéral à la protection des données avant
d'être communiqué à l'étranger, ce dans les cas où la communication
n'est pas exigée par une loi ou que la personne concernée n'en a pas
connaissance (article 4 alinéas 3 et 6 LPD).
9.
Quiconque traite des données personnelles doit examiner si
celles-ci sont exactes et les modifier si elles ne le sont pas ou s’il
en est requis par la personne concernée (article 5 LPD), et assurer
leur protection par des mesures organisationnelles et techniques
appropriées (article 7 LPD).
> Le droit d'accès aux données
10.
Le droit d'accès aux
données pour la personne concernée doit lui permettre de faire
valoir ses droits, en particulier en demandant la rectification ou la
suppression des données la concernant. Le droit d'accès a d'autre part
un effet préventif, en tendant à obliger les responsables du
traitement des données à ne traiter que les données dont ils ont
vraiment besoin (article 8 LPD).
11.
En conséquence, malgré l’impression presque mythique de
liberté qui entoure Internet, les données personnelles ne sont pas
plus disponibles sur la toile que sur un autre vecteur de diffusion.
B.
Traitement et communication des données personnelles
12.
Par « communication de données personnelles », la
loi entend le fait de rendre accessible des informations se rapportant
à une personne identifiée ou identifiable, par exemple en autorisant
leur consultation, en les transmettant ou en les diffusant (art. 3 lit.
a et f LPD).
13.
La loi considère qu’il y a atteinte à la personnalité chaque
fois que le responsable du traitement des données viole l’un des
principes décrits au point 3.1 ci-avant, agit contre la volonté
expresse de la personne concernée ou communique des données sensibles
ou des profils de la personnalité (article 12 alinéa 2 LPD).
14.
Il existe en particulier des conditions ou des précautions supplémentaires
lors du traitement et de la communication des données
personnelles sensibles, à savoir celles portant sur les
opinions ou activités religieuses, philosophiques, politiques, ou
syndicales, la santé, la sphère intime ou l'appartenance à une race,
les mesures d'aide sociale, les poursuites ou sanctions pénales ou
administratives, ou des profils de la personnalité (art. 3 lit.
c et d LPD). La loi impose ainsi à celui qui communique régulièrement
des données sensibles à des tiers de déclarer ses fichiers au Préposé
fédéral à la protection des données, si le traitement et la
communication ont lieu à l'insu des personnes concernées et qu'ils ne
sont pas soumis à une obligation légale.
15.
Si la personne concernée a rendu les données accessibles à
tout un chacun en les diffusant sur Internet sans s’opposer
formellement à leur traitement, la loi considère qu’il n’y a pas
violation de la sphère privée en cas de communication à des tiers. Ce
principe ne saurait cependant s'appliquer que pour une première
communication et non pour des rediffusions. Dans ce cas, il faudrait une
approbation écrite de la personne concernée, consentement devant
englober la prise de connaissance des données traitées, du réseau
dans lequel les données sont disponibles, du but du traitement dans le
réseau, des possibilités et des risques inhérents d'une éventuelle
disponibilité à l'échelle mondiale, du défaut éventuel de la législation
de protection des données dans certains pays dans lesquels l'accès aux
données est possible.
16.
La loi considère qu’il n’y a pas atteinte à la sphère privée,
malgré le traitement de données personnelles sans le consentement de
la personne concernée, s’il y a un intérêt prépondérant privé de
la personne qui traite les données, à savoir si le traitement (i) est
en relation directe avec la conclusion ou l’exécution d’un contrat
et que les données concernent le cocontractant, (ii) s’inscrit dans
un rapport de concurrence économique actuel ou futur avec une autre
personne, à condition toutefois qu’aucune donnée personnelle traitée
ne soit communiquée à des tiers, (iii) vise à évaluer le crédit
d’une autre personne, à condition que les données personnelles ne
soient ni sensibles ni constitutives de profils de la personnalité et
qu’elles ne soient communiquées à des tiers que si ceux-ci en ont
besoin pour conclure ou exécuter un contrat avec la personne concernée,
(iv) se fait de manière professionnelle exclusivement en vue d’une
publication dans la partie rédactionnelle d’un média à caractère périodique,
(v) ne se rapporte pas à des personnes, par exemple dans le cadre de la
recherche, de la planification ou de la statistique, à condition que
les résultats soient publiés sous une forme ne permettant pas
d’identifier les personnes concernées, (vi) concerne une personnalité
publique, dans la mesure ou ces données se réfèrent à son activité
publique (article 13 alinéa 2 LPD).
17.
Ces critères sont importants dans le développement de l'accès
à l'information sur Internet dans la mesure où, au sens de la LPD, la
personne concernée protégée peut aussi bien être une personne
physique qu'une personne morale.
C. La sécurité
de données personnelles
18.
L'art. 7 LPD stipule une obligation concrète de sécurité des
données personnelles. Celles-ci doivent être protégées contre tout
traitement non autorisé par des mesures organisationnelles et
techniques appropriées. Les mesures visent expressément les personnes
qui mettent à disposition des données sur Internet (art. 8 al. 1 OLPD),
de manière à assurer la confidentialité, la disponibilité et
l'exactitude de celles-ci. Cette responsabilité n'incombe pas seulement
au responsable qui décide du but et du contenu du fichier, mais à
toute personne privée qui traite les données, donc également à l'opérateur
de réseau, qui devient ainsi ex lege co-responsable de la
garantie de cette sécurité.
19.
Cette responsabilité de l'opérateur découle de la mise à
disposition du réseau sur lequel circulent ensuite des données
personnelles et non pas de la prise en charge consciente de données. Il
s'agit d'une responsabilité formelle, indépendante du contenu des données
véhiculées dont le non-respect provoque l'illicéité de la
transmission de données personnelles.
20.
L'obligation de sécurité est relativement étendue et implique
que des mesures soient prises permettant de prévenir toutes les
possibilités de traitement non autorisées (les erreurs techniques,
l'utilisation illicite ou l'accès non autorisé), cela en tenant compte
du but et de la nature du traitement, des risques potentiels pour la
personne concernée et même du développement technique futur, les
mesures prises devant être périodiquement réexaminées.
21.
Parmi les mesures particulières de sécurité, le réseau doit
être conçu de manière conforme aux impératifs de contrôle du
transport, de communication et d'introduction (art. 9 al. 1 lit. c, d et
h LPD). L'on doit ainsi pouvoir éviter que des personnes non autorisées
puissent lire, copier, modifier ou effacer les données lors de leur
communication. Par ailleurs, l'identité de la personne communiquant des
données personnelles doit être vérifiable a posteriori.
22.
L'opérateur de réseau, ainsi que les fournisseurs d’accès ou
d’hébergement ne sont en général pas considérés comme des
responsables du traitement des données au sens de l'art. 3 lit. i LPD. En revanche, ils ont cette qualité
dans la mesure où, dans le réseau, même temporairement, des données
personnelles restent enregistrées notamment pour des motifs de sécurité
de transmission. A ce titre, et dans la mesure où il s'agit de données
personnelles communiquées, ils ont l'obligation d'indiquer au
destinataire l'actualité et la fiabilité des données, lorsque ces
informations ne ressortent pas des données elles-mêmes ou des
circonstances (art. 12 OLPD). Même si l'opérateur de réseau n'est en
principe pas responsable des contenus des messages, il devient
responsable et même complice s'il sait, notamment parce qu'il en a été
averti, que le réseau est utilisé à des fins délictueuses et qu'il
le tolère (ATF 121
IV 124).
D.
Le
droit d’accès de la personne concernée
23.
Selon l'art. 8 LPD, la personne concernée a le droit de savoir
si des données la concernant sont traitées ou communiquées à des
tiers. Dans cette perspective, le responsable du traitement des données
est tenu de communiquer toutes les données qui sont traitées dans le
fichier et d’indiquer le but et la base juridique du traitement, ainsi
que les destinataires des données.
24.
Internet rend l’application de ce principe extrêmement
difficile. En effet, une fois les données envoyées à un tiers, il
devient presque impossible de savoir où celles-ci vont être envoyées
et dans quelles conditions.
E.
Les dispositions pénales
25.
La loi prévoit des sanctions allant de l’amende aux arrêts en
cas de violation par le responsable du traitement des données des règles
fixées dans la loi, en particulier s’il révèle intentionnellement
et d’une manière illicite des données personnelles secrètes et
sensibles ou des profils de la personnalité ou s’il ne déclare au Préposé
fédéral à la protection des données une communication à l’étranger
conformément à l’article 6 LPD.
2.
Limites du système législatif
suisse
26.
Dans son rapport
annuel de 1998/1999, le Préposé fédéral à la
protection des données constate que les nouvelles technologies de
l’information ont comme première conséquence que le traitement des
données personnelles ne se déroule plus à l’intérieur des frontières
nationales mais revêt une dimension universelle. Il considère dès
lors que les risques d’atteinte à la personnalité qui en résultent
ne peuvent être maîtrisés qu’à l’échelle mondiale. En effet,
les lois nationales sur la protection des données ne sont applicables
que sur leur propre territoire et n’offrent en conséquence qu’une
protection limitée à la personne dont les données sont traitées. En
l’absence d’une convention internationale protégeant efficacement
la sphère privée sur Internet, le Préposé invite les utilisateurs de
services Internet à être particulièrement prudents avant de permettre
l’accès à leurs données personnelles.
27.
Dans le même
rapport, le Préposé voit l’avenir de la protection des données dans
la production d’instruments technologiques permettant une protection
efficace de la vie privée. L’Etat ne pourra qu’imposer le recours
à ces instruments, mais ne pourra plus garantir une protection efficace
en raison de la nature globale d’Internet. Si l’on peut imaginer un
renforcement de la coopération internationale et l’adoption de
standards universels, c’est surtout à chaque utilisateur de services
Internet qu’il appartiendra de veiller à se protéger efficacement
contre un traitement non consenti de ses données personnelles.
28.
S’il considère
que la société de l’information nécessitera une protection des données
de plus en plus efficace, le Préposé estime qu’elle se caractérisera
par un recours plus limité à des dispositions juridiques formelles et
mettra plutôt l’accent sur la mise à disposition par l’Etat de
conseillers permettant aux utilisateurs de connaître tous les moyens
techniques de protection des données. La loi sur la protection des données
étant rédigée de manière neutre du point de vue technologique, le Préposé
considère qu’une révision ne s’impose pas. Par contre il estime
indispensable de mettre en place un programme de sensibilisation et de
formation aux méthodes de chiffrement ou d’identification ainsi qu’à
d’autres procédés favorables à la protection des données.
Conclusion
29.
Si la Suisse
dispose aujourd’hui d’une loi sur la protection des données qui est
applicable à Internet en raison de sa neutralité technique, il apparaît
surtout que, malgré les limites fixées par la loi afin de protéger
efficacement la personnalité des utilisateurs d’Internet, les lois
nationales ne permettent plus une protection efficace de la sphère privée
et que les techniques de protection des données devront à l’avenir
pallier l’impuissance de plus en plus grande de la législation.
30.
Dans cette
perspective, la Suisse ne va pas renforcer son arsenal juridique mais va
développer une stratégie de communication et de formation des
utilisateurs afin de les responsabiliser et de leur donner les moyens de
se protéger efficacement.
31.
Cette politique
de protection des données adoptée par la Suisse illustre parfaitement
l’une des conséquences majeures de la globalisation de la société
de l’information, à savoir la mise à mal des systèmes juridiques
nationaux qui ne parviennent plus, aujourd’hui, à régler seuls les
problèmes liés aux nouvelles technologies.
