@ccueil / actualité / jurisprudence / chroniques / internautes / professionnels / universitaires

Rubrique : chroniques francophones / volume 2 / Suisse
Mots clés : vie, privée, protection, données, personnelles, Suisse
Citation : Laurent BAERISWYL et Grégoire MANGEAT, "Protection des données personnelles sur Internet : la situation en Suisse", Juriscom.net, 21 juin 2000
Première publication : Juriscom.net


Protection des données personnelles sur Internet : la situation en Suisse

Maître Laurent Baeriswyl
Lic. iur Fribourg
e-mail :
laurent.baeriswyl@pgp.ch

Maître Grégoire Mangeat
L
ic. iur Fribourg
e-mail :
gregoire_mangeat@freesurf.ch


Préambule

1.  Le développement rapide des technologies de l'information, du multimédia et d’Internet pose de nouveaux problèmes de protection des données aux différents systèmes juridiques. En particulier, du fait que, techniquement, l'offre de service en ligne permet un important traçage des données et qu’il est relativement aisé de dresser des profils complets des habitudes de consommation des utilisateurs, ces profils pouvant intéresser le marché de la publicité, le commerce d'adresses ou l'employeur. Afin de permettre une protection efficace de la personnalité des utilisateurs d’Internet, les systèmes législatifs doivent limiter strictement le traitement des données à ce qui est nécessaire pour l'accomplissement d'une tâche déterminée et obliger le responsable à fournir des garanties quant à la finalité de ce traitement.

Dans cette perspective, la Suisse dispose-t-elle d’un cadre juridique suffisant pour garantir efficacement la protection de la sphère privée des utilisateurs de services Internet ?

Introduction

2.  La loi fédérale du 19 juin 1992 sur la protection des données [LPD ; RS 235 ] et les ordonnances d'exécution qui s'y rapportent sont entrées en vigueur en Suisse le 1er juillet 1993. Contrairement à certains modèles étrangers ou à certains principes ancrés dans les traités internationaux ou les directives européennes en la matière, le législateur suisse a opté pour une loi unique, c'est-à-dire applicable aux personnes privées et à l’administration publique, aux personnes physiques et morales, à tous les traitements de données personnelles, sans s’attacher à un support particulier ou à une technique spécifique de traitement des données.

3.  Le législateur suisse a choisi délibérément une option techniquement neutre dans la mesure où, vu la rapidité du développement technologique, il a voulu que la loi fondamentale en matière de protection des données s'applique également aux développements et technologies futurs. Ainsi, les principes dégagés par la loi sur la protection des données sont applicables aux nouvelles technologies de l'information, en particulier à Internet.

4.  Afin de garantir un contrôle institutionnel, le législateur a instauré un Préposé fédéral à la protection des données chargé essentiellement de conseiller les personnes privées en matière de protection des données, informer, collaborer avec les autorités étrangères, surveiller le développement des nouvelles technologies et évaluer leur influence sur la protection des données.

Le présent article se limitera à l’examen du traitement des données par des personnes privées, celui-ci étant particulièrement touché par le développement d’Internet.

1. Les principes généraux de la loi sur la protection des données

A. Généralités

5.  La loi sur la protection des données n'est pas fondée sur le principe de l'interdiction générale du traitement des données personnelles. Par contre, la circulation des données personnelles sur Internet doit respecter les principes et les limites fixés par la loi. Ceux-ci tendent en particulier à protéger la sphère privée et la liberté personnelle de toute personne, physique ou morale, quels que soient les moyens utilisés.

> La collecte de données personnelles

6.  Ainsi, la collecte de données personnelles ne peut se faire que d'une manière licite. Cela signifie qu'une telle action nécessite un motif justificatif, que ce soit sous forme de consentement de la personne concernée, d'un intérêt prépondérant public ou privé, ou d'une loi. Il n'est dès lors pas permis de collecter des données personnelles sans que la personne concernée en ait connaissance, ni contre son gré. Celui qui collecte des données doit en particulier indiquer que les données vont être traitées et communiquées, dans quels buts elles vont l'être et quelles sont les possibilités de s'y opposer. Quiconque trompe la personne concernée lors de la collecte des données, par exemple en collectant des données sous une fausse identité ou en donnant de fausses indications sur le but du traitement, viole le principe de la bonne foi. Il agit également contrairement à ce principe s'il collecte des données personnelles de manière cachée, par exemple en interceptant des communications (article 4 alinéa 1 LPD). En conséquence, les collectes de données qui procèdent par soustraction de données, par une utilisation abusive de communications interactives, par l'interception de transmissions soumises à un secret professionnel, de fonction, de fabrication commerciale ou par la violation du domaine privé pénalement réprimée, sont manifestement illicites.

> Principe de la proportionnalité

7.  En vertu du principe de la proportionnalité, seules les données qui sont nécessaires et qui sont aptes à atteindre l'objectif fixé peuvent être traitées. Une pesée des intérêts entre le but du traitement et l'atteinte à la vie privée de la personne concernée est donc toujours nécessaire (article 4 alinéa 2 LPD).

> Le principe de la finalité

8.  Le principe de la finalité veut que les données collectées soient traitées uniquement dans les limites nécessaires pour atteindre le but qui a été communiqué lors de leur collecte, qui découle des circonstances ou qui est prévu de par la loi. Par ailleurs, afin d’éviter qu'une communication de données personnelles à l'étranger ne soulève de trop grands risques d'atteinte à la vie privée (par exemple, suite à une législation en matière de protection des données qui ne serait pas équivalente à la législation suisse) et de permettre aux personnes concernées de faire valoir leur droit d'accès aux données les concernant, la loi prévoit l’obligation d’annoncer ladite communication au Préposé fédéral à la protection des données avant d'être communiqué à l'étranger, ce dans les cas où la communication n'est pas exigée par une loi ou que la personne concernée n'en a pas connaissance (article 4 alinéas 3 et 6 LPD).

9.  Quiconque traite des données personnelles doit examiner si celles-ci sont exactes et les modifier si elles ne le sont pas ou s’il en est requis par la personne concernée (article 5 LPD), et assurer leur protection par des mesures organisationnelles et techniques appropriées (article 7 LPD).

> Le droit d'accès aux données

10.  Le droit d'accès aux données pour la personne concernée doit lui permettre de faire valoir ses droits, en particulier en demandant la rectification ou la suppression des données la concernant. Le droit d'accès a d'autre part un effet préventif, en tendant à obliger les responsables du traitement des données à ne traiter que les données dont ils ont vraiment besoin (article 8 LPD).

11.  En conséquence, malgré l’impression presque mythique de liberté qui entoure Internet, les données personnelles ne sont pas plus disponibles sur la toile que sur un autre vecteur de diffusion.

B. Traitement et communication des données personnelles

12.  Par « communication de données personnelles », la loi entend le fait de rendre accessible des informations se rapportant à une personne identifiée ou identifiable, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant (art. 3 lit. a et f LPD).

13.  La loi considère qu’il y a atteinte à la personnalité chaque fois que le responsable du traitement des données viole l’un des principes décrits au point 3.1 ci-avant, agit contre la volonté expresse de la personne concernée ou communique des données sensibles ou des profils de la personnalité (article 12 alinéa 2 LPD).

14.  Il existe en particulier des conditions ou des précautions supplémentaires lors du traitement et de la communication des données personnelles sensibles, à savoir celles portant sur les opinions ou activités religieuses, philosophiques, politiques, ou syndicales, la santé, la sphère intime ou l'appartenance à une race, les mesures d'aide sociale, les poursuites ou sanctions pénales ou administratives, ou des profils de la personnalité (art. 3 lit.  c et d LPD). La loi impose ainsi à celui qui communique régulièrement des données sensibles à des tiers de déclarer ses fichiers au Préposé fédéral à la protection des données, si le traitement et la communication ont lieu à l'insu des personnes concernées et qu'ils ne sont pas soumis à une obligation légale.

15.  Si la personne concernée a rendu les données accessibles à tout un chacun en les diffusant sur Internet sans s’opposer formellement à leur traitement, la loi considère qu’il n’y a pas violation de la sphère privée en cas de communication à des tiers. Ce principe ne saurait cependant s'appliquer que pour une première communication et non pour des rediffusions. Dans ce cas, il faudrait une approbation écrite de la personne concernée, consentement devant englober la prise de connaissance des données traitées, du réseau dans lequel les données sont disponibles, du but du traitement dans le réseau, des possibilités et des risques inhérents d'une éventuelle disponibilité à l'échelle mondiale, du défaut éventuel de la législation de protection des données dans certains pays dans lesquels l'accès aux données est possible.

16.  La loi considère qu’il n’y a pas atteinte à la sphère privée, malgré le traitement de données personnelles sans le consentement de la personne concernée, s’il y a un intérêt prépondérant privé de la personne qui traite les données, à savoir si le traitement (i) est en relation directe avec la conclusion ou l’exécution d’un contrat et que les données concernent le cocontractant, (ii) s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu’aucune donnée personnelle traitée ne soit communiquée à des tiers, (iii) vise à évaluer le crédit d’une autre personne, à condition que les données personnelles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée, (iv) se fait de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique, (v) ne se rapporte pas à des personnes, par exemple dans le cadre de la recherche, de la planification ou de la statistique, à condition que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées, (vi) concerne une personnalité publique, dans la mesure ou ces données se réfèrent à son activité publique (article 13 alinéa 2 LPD).

17.  Ces critères sont importants dans le développement de l'accès à l'information sur Internet dans la mesure où, au sens de la LPD, la personne concernée protégée peut aussi bien être une personne physique qu'une personne morale.

C. La sécurité de données personnelles

18.  L'art. 7 LPD stipule une obligation concrète de sécurité des données personnelles. Celles-ci doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Les mesures visent expressément les personnes qui mettent à disposition des données sur Internet (art. 8 al. 1 OLPD), de manière à assurer la confidentialité, la disponibilité et l'exactitude de celles-ci. Cette responsabilité n'incombe pas seulement au responsable qui décide du but et du contenu du fichier, mais à toute personne privée qui traite les données, donc également à l'opérateur de réseau, qui devient ainsi ex lege co-responsable de la garantie de cette sécurité.

19.  Cette responsabilité de l'opérateur découle de la mise à disposition du réseau sur lequel circulent ensuite des données personnelles et non pas de la prise en charge consciente de données. Il s'agit d'une responsabilité formelle, indépendante du contenu des données véhiculées dont le non-respect provoque l'illicéité de la transmission de données personnelles.

20.  L'obligation de sécurité est relativement étendue et implique que des mesures soient prises permettant de prévenir toutes les possibilités de traitement non autorisées (les erreurs techniques, l'utilisation illicite ou l'accès non autorisé), cela en tenant compte du but et de la nature du traitement, des risques potentiels pour la personne concernée et même du développement technique futur, les mesures prises devant être périodiquement réexaminées.

21.  Parmi les mesures particulières de sécurité, le réseau doit être conçu de manière conforme aux impératifs de contrôle du transport, de communication et d'introduction (art. 9 al. 1 lit. c, d et h LPD). L'on doit ainsi pouvoir éviter que des personnes non autorisées puissent lire, copier, modifier ou effacer les données lors de leur communication. Par ailleurs, l'identité de la personne communiquant des données personnelles doit être vérifiable a posteriori.

22.  L'opérateur de réseau, ainsi que les fournisseurs d’accès ou d’hébergement ne sont en général pas considérés comme des responsables du traitement des données au sens de l'art. 3 lit. i LPD. En revanche, ils ont cette qualité dans la mesure où, dans le réseau, même temporairement, des données personnelles restent enregistrées notamment pour des motifs de sécurité de transmission. A ce titre, et dans la mesure où il s'agit de données personnelles communiquées, ils ont l'obligation d'indiquer au destinataire l'actualité et la fiabilité des données, lorsque ces informations ne ressortent pas des données elles-mêmes ou des circonstances (art. 12 OLPD). Même si l'opérateur de réseau n'est en principe pas responsable des contenus des messages, il devient responsable et même complice s'il sait, notamment parce qu'il en a été averti, que le réseau est utilisé à des fins délictueuses et qu'il le tolère (ATF 121 IV 124).

D. Le droit d’accès de la personne concernée

23.  Selon l'art. 8 LPD, la personne concernée a le droit de savoir si des données la concernant sont traitées ou communiquées à des tiers. Dans cette perspective, le responsable du traitement des données est tenu de communiquer toutes les données qui sont traitées dans le fichier et d’indiquer le but et la base juridique du traitement, ainsi que les destinataires des données.

24.  Internet rend l’application de ce principe extrêmement difficile. En effet, une fois les données envoyées à un tiers, il devient presque impossible de savoir où celles-ci vont être envoyées et dans quelles conditions.

E. Les dispositions pénales

25.  La loi prévoit des sanctions allant de l’amende aux arrêts en cas de violation par le responsable du traitement des données des règles fixées dans la loi, en particulier s’il révèle intentionnellement et d’une manière illicite des données personnelles secrètes et sensibles ou des profils de la personnalité ou s’il ne déclare au Préposé fédéral à la protection des données une communication à l’étranger conformément à l’article 6 LPD.

2. Limites du système législatif suisse

26.  Dans son rapport annuel de 1998/1999, le Préposé fédéral à la protection des données constate que les nouvelles technologies de l’information ont comme première conséquence que le traitement des données personnelles ne se déroule plus à l’intérieur des frontières nationales mais revêt une dimension universelle. Il considère dès lors que les risques d’atteinte à la personnalité qui en résultent ne peuvent être maîtrisés qu’à l’échelle mondiale. En effet, les lois nationales sur la protection des données ne sont applicables que sur leur propre territoire et n’offrent en conséquence qu’une protection limitée à la personne dont les données sont traitées. En l’absence d’une convention internationale protégeant efficacement la sphère privée sur Internet, le Préposé invite les utilisateurs de services Internet à être particulièrement prudents avant de permettre l’accès à leurs données personnelles.

27.  Dans le même rapport, le Préposé voit l’avenir de la protection des données dans la production d’instruments technologiques permettant une protection efficace de la vie privée. L’Etat ne pourra qu’imposer le recours à ces instruments, mais ne pourra plus garantir une protection efficace en raison de la nature globale d’Internet. Si l’on peut imaginer un renforcement de la coopération internationale et l’adoption de standards universels, c’est surtout à chaque utilisateur de services Internet qu’il appartiendra de veiller à se protéger efficacement contre un traitement non consenti de ses données personnelles.

28.  S’il considère que la société de l’information nécessitera une protection des données de plus en plus efficace, le Préposé estime qu’elle se caractérisera par un recours plus limité à des dispositions juridiques formelles et mettra plutôt l’accent sur la mise à disposition par l’Etat de conseillers permettant aux utilisateurs de connaître tous les moyens techniques de protection des données. La loi sur la protection des données étant rédigée de manière neutre du point de vue technologique, le Préposé considère qu’une révision ne s’impose pas. Par contre il estime indispensable de mettre en place un programme de sensibilisation et de formation aux méthodes de chiffrement ou d’identification ainsi qu’à d’autres procédés favorables à la protection des données.

Conclusion

29.  Si la Suisse dispose aujourd’hui d’une loi sur la protection des données qui est applicable à Internet en raison de sa neutralité technique, il apparaît surtout que, malgré les limites fixées par la loi afin de protéger efficacement la personnalité des utilisateurs d’Internet, les lois nationales ne permettent plus une protection efficace de la sphère privée et que les techniques de protection des données devront à l’avenir pallier l’impuissance de plus en plus grande de la législation.

30.  Dans cette perspective, la Suisse ne va pas renforcer son arsenal juridique mais va développer une stratégie de communication et de formation des utilisateurs afin de les responsabiliser et de leur donner les moyens de se protéger efficacement.

31.  Cette politique de protection des données adoptée par la Suisse illustre parfaitement l’une des conséquences majeures de la globalisation de la société de l’information, à savoir la mise à mal des systèmes juridiques nationaux qui ne parviennent plus, aujourd’hui, à régler seuls les problèmes liés aux nouvelles technologies.

L.B. - G.M.

 

Juriscom.net est une revue juridique créée et éditée par Lionel Thoumyre
Copyright © 1997-2001 Juriscom.net / Copyright © 2000 LexUM