datum 02/2009

Sommaire

Éditorial
Chère lectrice, cher lecteur,

Le 21 mai de cette année, un incident a soulevé une vague d'indignation dans toute la Suisse. Dans le passage sous voies de la gare de Kreuzlingen, sous l'œil d'une caméra de surveillance des CFF, trois jeunes ont roué de coups deux passants, sans motif apparent et avec un plaisir manifeste. Les appels à témoin lancés par la police sont restés vains. Seule la diffusion de la vidéo a permis d'arrêter les coupables. Le succès de cet avis de recherche sur Internet pousse le monde politique à réclamer l'introduction d'un véritable pilori électronique pour y exposer les chauffards et autres malfaiteurs. Le premier article de notre bulletin est consacré aux questions que cette approche soulève au point de vue de la protection des données et aux arguments qui permettent de la justifier dans certains cas.

Le Tribunal administratif fédéral a récemment rendu un arrêt important concernant la loi sur la transparence. Les juges ont requis que les documents de direction et de contrôle administratifs soient en règle générale accessibles au public. Ils ont ainsi donné raison à un journaliste qui avait demandé à l'Administration fédérale des contributions AFC de pouvoir consulter des documents de cet ordre. La rubrique « A propos », dans laquelle vous trouverez également des indications relatives au traitement correct des certificats personnels fournis par les caisses de pension, vous permettra d'en savoir plus à ce sujet.

Les autres articles sont consacrés aux paiements en ligne, aux actes de candidature électroniques et aux risques associés à l'utilisation de clés USB.

Je vous souhaite une agréable lecture.

Francis Meier

Responsable de la rédaction

Thèmes

Avis de recherche sur Internet: la tentation d'un succès rapide

La sécurité publique a plusieurs fois fait les gros titres ces derniers mois. Qu'il s'agisse de casseurs déchaînés dans les stades, de jeunes se livrant à des agressions brutales ou de chauffards inconscients, la population prend peur et cela a suscité des débats politiques. Les avis de recherche sur Internet se sont parfois révélés efficaces pour démasquer les coupables. Ils soulèvent toutefois la question du rôle que la protection des données doit jouer en pareil cas et des limites qu'elle doit imposer aux enquêteurs.

L'incident de Kreuzlingen du 21 mai a fait grand bruit dans toute la Suisse. De nuit, à la gare, trois jeunes en croisent un autre qu'ils frappent, apparemment sans raison, à coups de poings et de pieds, de même que son camarade accouru peu après. La reconstitution des événements a été rendue possible grâce à une caméra de surveillance installée dans la gare. Après un appel à témoin resté sans succès, la police thurgovienne a décidé de mettre l'enregistrement en ligne et d'inviter la population à fournir des indications sur l'identité des agresseurs. Grâce aux nombreuses informations reçues les coupables ont pu être arrêtés.

Un succès du même ordre a pu être enregistré à Berne et à Lucerne lorsqu'il s'est agi d'identifier des hooligans. A l'issue d'un match de football, ces derniers s'étaient livrés à de violentes échauffourées avec la police et avec des supporters de l'équipe adverse. La police a diffusé les images des fauteurs de trouble sur sa page Web et appelé la population à lui fournir des renseignements qui pourraient mener à une identification des malfaiteurs. Comme dans le cas de Kreuzlingen, les photographies ont en outre été publiées dans la presse, ce qui a permis de toucher un large public.

Une question de mesure

Reste à savoir comment la situation se présente du point de vue de la protection des données. Dans quelle mesure peut-on diffuser la photographie de quelqu'un sans son consentement ? Quelle est la limite à partir de laquelle l'intérêt public à la communication de telles données personelles prime le droit de l'individu à la protection de sa vie privée ? La loi sur la protection des données dispose que les données personnelles doivent être traitées dans le respect de la légalité, de la proportionnalité et de la bonne foi. Ces principes s'appliquent également aux autorités chargées de mener des enquêtes. Etant donné que la diffusion d'un avis de recherche sur Internet constitue une atteinte importante à la sphère privée des personnes visées, il est impératif que les moyens usuels, qui ne soulèvent pas d'objections relatives à la protection des données, soient utilisés tout d'abord.

C'est ainsi qu'en vue de prévenir les débordements dans les stades et alentour, les casseurs sont d'ores et déjà enregistrés dans la banque de donnée nationale des supporters violents. Les autorités chargées de mener des enquêtes peuvent accéder à cette banque de données. Si ces méthodes plus discrètes restent sans effet, le recours à un avis de recherche sur Internet est envisageable. Le degré de culpabilité des personnes recherchées doit toutefois être soigneusement évalué au préalable, pour éviter de livrer des innocents à la vindicte de la communauté Internet. Dans les cas évoqués plus haut, la police a commencé par une enquête traditionnelle mais ce n'est qu'après la publication de photographies et de vidéos en ligne que les casseurs présumés ont pu être démasqués. La publication d'images de personnes recherchées doit se fonder sur un motif solide, d'autant plus qu'avec Internet on a affaire à un média dont la diffusion est quasi illimitée. En l'occurrence, infliger ou prendre le risque d'infliger des lésions corporelles graves, par exemple en lançant des torches enflammées sur des groupes de supporters, constitue une infraction suffisamment sérieuse pour justifier cette diffusion.

Internet a la mémoire longue

Ce qui fait le bonheur des enquêteurs n'est pas sans préoccuper les préposés à la protection des données : face à des cas comme ceux qui ont été évoqués plus haut, les autorités d'instruction, aiguillonnées par les succès récents et soumises à la pression du public et des médias, seront tentées de recourir de plus en plus à des méthodes si prometteuses et de publier le plus tôt possible des vidéos ou des photos de surveillance dans le cadre de leurs recherches. Les conséquences sur les plans professionnel et social peuvent toutefois se révéler dramatiques pour les personnes concernées et leur famille. Etant donné que les contenus diffusés sur le World Wide Web peuvent être multipliés et manipulés à loisir, il est plus que probable que les images diffusées comme avis de recherche seront durablement accessibles. Que les autorités retirent les images ou les vidéos de leur page Web après l'identification des coupables ne change pas grand chose à l'affaire.

Les chauffards au pilori?

Peu de temps après les succès enregistrés dans le cadre des enquêtes dont il a été question, des voix se sont élevées du côté du monde politique pour réclamer une extension du recours à Internet et notamment pour en faire un pilori destiné à certains groupes de délinquants. Les auteurs d'une initiative parlementaire ont ainsi exigé que les photos des chauffards invétérés soient publiées sur Internet : à leur avis, les peines encourues par ces derniers ne sont pas suffisamment dissuasives. Ils justifient l'atteinte à la sphère privée des personnes concernées par la prépondérance de l'intérêt général à voir la sécurité routière s'améliorer. Du point de vue de la protection des données, ces arguments ne sont guère défendables.

Il est incontestable que les bagarreurs, les chauffards et les hooligans mettent la sécurité publique en danger et qu'il faut leur opposer des mesures efficaces. Il est néanmoins très improbable que des personnes qui se vantent de leurs actes devant un cercle d'amis, voire spontanément sur Internet, se laissent réellement dissuader par une mise au pilori officielle sur ce même Internet. On peut craindre au contraire que la divulgation des noms n'entraîne une course à la plus grande publicité possible, ou au meilleur classement possible, sur une liste officielle. C'est pourquoi le préposé, monsieur Hanspeter Thür, s'est exprimé dans les médias en faveur d'une confiscation définitive du véhicule des chauffards et d'un retrait de permis de très longue durée, sans oublier les sanctions à l'encontre de tiers qui mettraient un véhicule à la disposition d'un chauffard. Internet offre des possibilités prometteuses lorsqu'il s'agit de démasquer des coupables mais il faut éviter de dépasser la mesure par excès de zèle. Le succès des avis de recherche sur Internet peut inciter à y recourir également pour des peccadilles, ce qui porterait atteinte au principe de la proportionnalité.

Sources:

  • Freipass vom Datenschutz (Feu vert de la protection des données). Thurgauer Zeitung, 30.5.09.
  • Foto-Veröffentlichung umstritten (Publication contestée de photographies). Aargauer Zeitung, 25.5.09.
  • Hooligan-Fahndung : Luzern als Vorbild ; Entlarvt die Chaoten (Avis de recherche de hooligans : Lucerne joue un rôle de pionnier ; Démasquez les casseurs). Tages-Anzeiger, 28.5.09.
  • Die Renaissance des Prangers könnte zum Bumerang werden (La réintroduction du pilori pourrait avoir un effet boomerang). Südostschweiz 11.6.09.
  • Pranger für Raser ungeeignet (Le pilori pour les chauffards n'est pas une solution). Aargauer Zeitung, 11.6.09.
  • Fahndung im Internet läuft an (Démarrage des avis de recherche sur Internet). Der Bund, 30.5.09.
  • Schneller Einsatz des Internet-Prangers (Mise au pilori hâtive sur Internet). NZZ, 30.5.09.
Thèmes

Les exploitants de chats habilités à enregistrer des conversations en cas de soupçon de pédophilie

En vue de dissuader les pédophiles et de réprimer les infractions, les exploitants de forums de discussion ont le droit d'enregistrer les propos échangés, mais uniquement en cas de soupçon. Les utilisateurs doivent être informés préalablement de ce fait et les données effacées une fois le but atteint.

L'exploitant d'un forum de discussion qui a des raisons de croire que des infractions sont commises sur son site peut enregistrer les données en vue d'une dénonciation, dans des cas particuliers et sous certaines conditions. L'enregistrement systématique des propos échangés (enregistrement préventif des données) n'est par contre autorisé que sur injonction d'un juge. L'exploitant a le droit de mettre en œuvre un logiciel capable de repérer d'éventuels agissements pédophiles (par comparaison entre les propos échangés et des mots-clés prédéfinis, par exemple) et d'enregistrer ensuite la conversation électronique en question (logging). L'exploitant peut communiquer les dossiers d'enregistrement des conversations (logfiles) aux autorités d'instruction dans le cadre d'une procédure pénale. Il est tenu d'avertir à l'avance les utilisateurs du forum de la présence d'un logiciel de surveillance.

La conservation des dossiers d'enregistrement doit respecter le principe de la proportionnalité. L'exploitant n'a le droit de conserver des données qu'aussi longtemps que le but visé par l'enregistrement n'a pas été atteint. Si une plainte est déposée, il doit effacer les données restées en sa possession immédiatement après la remise des dossiers aux autorités d'instruction. En l'absence de plainte, les propos enregistrés doivent en règle générale être contrôlés et effacés dans les 24 heures.

Revue de presse

Les pièges du cyberpaiement

A intervalles réguliers, les médias publient des mises en garde contre les dangers associés aux transactions bancaires électroniques et au cyberpaiement. Il n'est pas rare en effet que des personnes non autorisées accèdent à des comptes appartenant à des tiers ou qu'elles détournent des paiements. D'après les experts, les premières causes de ces fraudes sont d'une part la sophistication des stratégies mises en œuvre et d'autre part l'ignorance, voire l'inconscience des victimes. Pourtant, quelques règles de base permettent d'effectuer en toute sécurité des paiements en ligne.

De temps à autres, les autorités parviennent à arrêter des fraudeurs du cyberpaiement. En 2008, par exemple, trois étudiants en informatique ont été inculpés en Russie et en Ukraine pour avoir prélevé quelque 150 000 francs sur les comptes de tiers. L'opération débute souvent ainsi: Monsieur Untel est invité par courriel d'une entreprise fictive à télécharger gratuitement un logiciel antivirus. Lorsqu'il clique sur le lien proposé, on lui demande d'extraire une donnée particulière, qui contient un code malveillant. La prochaine fois que monsieur Untel veut recourir à un service de paiement en ligne comme Abbey, Halifax ou Paypal, le code malveillant dirige le navigateur Internet vers une page qui imite à s'y tromper la page authentique. Les mots de passe, codes de sécurité et autres données confidentielles confiés à cette page falsifiée peuvent alors être enregistrés et utilisés frauduleusement par les exploitants du service fictif.

Comment se protéger

Quiconque apprécie le paiement par voie électronique et n'entend pas renoncer aux avantages qu'il procure fait bien de suivre les règles de sécurité suivantes :

•-          Assurez-vous qu'un logiciel antivirus ou de sécurité Internet à jour est installé sur votre ordinateur. Ne naviguez qu'avec un pare-feu (firewall) activé et mettez régulièrement à jour votre navigateur (Internet Explorer, Mozilla Firefox, p. ex.).

•-          Soyez prudent avec vos mots de passe et vérifiez au préalable la crédibilité et la fiabilité de l'offre Internet avant de révéler des données personnelles. Evitez de vous connecter à un institut financier dont le lien vous a été transmis par courriel. Ces pages constituent ce qu'on appelle des pages de hameçonnage (phishing) à travers lesquelles les fraudeurs espionnent vos données d'identification pour se connecter ensuite au serveur de votre institut financier. Sélectionnez donc la page du prestataire de services par l'intermédiaire de votre liste de favoris ou tapez l'adresse dans la barre d'adresse du navigateur.

•-          Après chaque transaction, vérifiez l'exactitude du montant et du numéro de compte. Par le biais de certains logiciels malveillants (qui peuvent être placés sur le disque dur de votre ordinateur) les fraudeurs peuvent en effet manipuler en temps réel et sans se faire remarquer des données telles que le bénéficiaire du paiement et le montant versé au cours de la transaction. Si lors du contrôle de vos transactions vous constatez une telle manipulation, vous devriez dénoncer celle-ci immédiatement auprès de votre institut financier.

Vous trouverez de plus amples informations et des conseils auprès de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, par exemple, ou sur la plateforme lancée par divers instituts financier suisses « eBanking mais sûrement ! ».

Sources et informations supplémentaires:

  • Bei Onlinezahlungen aufpassen (Soyez vigilant quand vous payez en ligne), PC-Tipp, 10.6.2009
  • Sûreté de l'information. Rapport semestriel 2008/II de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI (chapitre 3.1) : http://www.melani.admin.ch/dokumentation/00123/00124/01085/index.html?lang=fr.

En bref

USB : la clé de tous les dangers

Les experts multiplient les mises en garde contre les risques associés à l'utilisation des clés USB et d'autres supports de données amovibles, qui peuvent transmettre des virus et compromettre la sécurité de données personnelles en cas de perte. Pour éviter ces problèmes, il suffit généralement d'appliquer quelques règles simples.

Les médias ont rapporté que de nombreuses organisations ont été infectées ces derniers mois par des logiciels malveillants transmis par des supports de données amovibles. L'armée américaine, notamment, a connu ce problème l'an passé, ce qui l'a amenée à interdire l'emploi de supports de données externes à l'ensemble du personnel militaire. D'après une étude américaine, la proportion de contaminations virales par l'intermédiaire de clés USB a crû de manière exponentielle, passant de 32 % en 2007 à 65 % l'année suivante. Pour que le virus soit transmis, il suffit que le support amovible soit raccordé à l'ordinateur et déjà le logiciel malveillant peut s'incruster sur le disque dur.

Comme l'écrit la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, il est pourtant relativement simple de protéger ses données contre les attaques provenant de clés USB. En premier lieu, la fonction autorun pour clés USB doit être désactivée sur l'ordinateur, afin d'empêcher tout transfert non sollicité de données. Ensuite, un contrôle antivirus régulier de la clé, tout comme du disque dur, est recommandé. Enfin, pour éviter que des informations confidentielles ne tombent en de mauvaises mains en cas de perte du support de données, il suffit de verrouiller les données avec un logiciel approprié.

Sources et informations supplémentaires:

Conseils

Candidatures en ligne: les points à observer

L'avènement d'Internet a modifié de fond en comble le monde du travail. Les procédures d'embauches ne sont pas restées à l'écart. De nombreux intéressés soumettent aujourd'hui leur candidature en ligne. La méthode est pratique mais présente toutefois certains risques en ce qui concerne la protection des données.

Les candidatures en ligne présentent des avantages, pour les candidats comme pour les entreprises: à l'heure du raccordement aux lignes fixes, l'envoi sous forme électronique permet de part et d'autre de réduire les dépenses de fournitures et d'abaisser ainsi les coûts. L'abandon du courrier postal fait en outre gagner du temps. Dans ces conditions, il n'est pas étonnant que de nombreuses entreprises exigent désormais que les dossiers de candidature leur soient remis sous forme électronique. D'après une étude publiée par la revue PC-Tipp, près de la moitié (46,4 %) des services de recrutement du personnel n'acceptent plus les curriculums, certificats et lettres de motivation que par courrier électronique. Un service sur huit exige des intéressés qu'ils fassent acte de candidature par le biais d'un formulaire en ligne.

Or, les dossiers de candidature contiennent un large éventail de données personnelles qui vont au-delà du parcours professionnel et sont révélatrices de la personnalité, des relations familiales et du comportement du candidat. Ce type d'informations est très demandé. Pour éviter tout usage abusif des données, il faut vous assurer que seules les personnes autorisées auront accès au dossier. Avant d'envoyer vos documents par courrier électronique, vérifiez entre autres le sérieux de l'annonce et optez pour un mode de cryptage approprié (FAQ Chiffrement - http://www.edoeb.admin.ch/themen/00794/00928/00930/00953/index.html?lang=fr). De plus, évitez autant que possible de communiquer des données sensibles (informations relatives aux opinions politiques, à l'état de santé ou à l'orientation sexuelle, p. ex.).

L'employeur doit traiter de manière confidentielle les candidatures reçues. Seules les personnes chargées du recrutement doivent y avoir accès. Les données ne doivent en outre servir qu'à déterminer les candidats les mieux adaptés aux postes mis au concours. Toute autre utilisation des données exige l'accord explicite des personnes concernées. Lorsque l'entreprise a trouvé le nouveau collaborateur qu'elle recherchait, elle doit en principe effacer les données relatives aux candidats, à moins que ceux-ci ne l'autorisent à conserver leur dossier (en vue d'une candidature ultérieure).

Source:

  • Digitale Bewerbungen überwiegen (Les candidatures numériques prennent le dessus). PC-Tipp, 18.6.2009

 

A propos

Décision du Tribunal fédéral administratif: Documents de gestion administrative accessibles au public

Les documents de conduite et de contrôle de l'administration fédérale connus sous le nom de «Cockpits» et de «Amtsreporting» ne peuvent pas être soustraits a priori à l'attention du public. Ainsi en a décidé le Tribunal fédéral administratif dans un arrêt récent, qui va dans le sens d'une recommandation du préposé fédéral à la protection des données et à la transparence, arrivé précédemment à la même conclusion.

Un journaliste a demandé à l'Administration fédérale des contributions AFC l'accès à certains documents de gestion administrative (désignés par les appellations de «Cockpits» et de «Amtsreporting»). L'accès lui a été refusé au motif que les rapports en question servent au contrôle, à la conduite et à la direction des affaires et du service et qu'elles sont donc destinés à l'usage personnel du directeur. Le journaliste a alors déposé une demande en médiation auprès du préposé. Ce dernier est arrivé à la conclusion que les documents de contrôle et de conduite de la direction d'une autorité fédérale relevaient du principe de la transparence et qu'ils devaient donc en règle générale être accessibles. Le préposé a recommandé à l'AFC de remettre au journaliste une liste de tous les rapports désignés par les appellations de «Cockpits» et de «Amtsreporting» des années 2006 à 2008, pour lui permettre de préciser les termes de sa demande.

L'AFC a rejeté la recommandation du préposé et rendu une décision, contre laquelle le journaliste a fait recours devant le Tribunal fédéral administratif. L'arrêt de ce dernier a abouti au même résultat que la recommandation antérieure du préposé. Le tribunal a cassé la décision de l'AFC et lui a ordonné de remettre une liste des dossiers en question au journaliste pour lui permettre d'affiner sa demande d'accès.

Recommandation du 3 avril 2009 : AFC / Cockpits et Amtsreportings

A propos

Le préposé critique la remise indirecte de certificats de caisse de pension

Pour des raisons de protection des données, les institutions de la prévoyance professionnelle devraient remettre les certificats personnels directement aux assurés et non par l'intermédiaire de l'employeur. Dans le cas d'une institution qui, au contraire, faisait parvenir les certificats des employés aux entreprises, le préposé est donc intervenu et lui a enjoint par recommandation de mettre fin à cette pratique de remise indirecte. la caisse de pension concernée a toutefois rejeté la recommandation, raison pour laquelle le Département fédéral de l'intérieur (DFI) doit rendre maintenant une décision.

La caisse de pension envoyait les certificats personnels de ses assurés à l'employeur, qui les remettait ensuite aux employés. Les supérieurs hiérarchiques pouvaient ainsi prendre connaissance des indications contenues dans les certificats, alors qu'elles ne sont pas pertinentes pour l'exécution de leurs tâches. Le préposé est d'avis que cette manière de procéder est illicite. Comme il n'existe aucune disposition légale qui règle expressément la communication du contenu du certificat de caisse de pension à l'employeur, le principe de légalité n'est pas respecté. L'institution ne peut donc se prévaloir d'aucune base légale pour justifier la communication à l'employeur de données concernant ses employés.

L'institution pourrait en outre prendre les mesures techniques ou organisationnelles qui garantiraient que les certificats de caisse de pension parviennent aux assurés sans que leurs données personnelles puissent faire l'objet d'un traitement non autorisé. La responsabilité de l'envoi conforme à la protection des données ne peut pas être rejetée sur les employeurs. Plusieurs grandes institutions de prévoyance transmettent déjà directement et confidentiellement les certificats de caisse de pension aux employés assurés.

Comme l'institution visée ne s'est pas montrée disposée à résoudre ce problème purement organisationnel conformément aux exigences de la protection des données, malgré l'échange d'une correspondance fournie, le préposé a émis une recommandation. L'institution de prévoyance y est sommée de mettre fin avec effet immédiat à la remise indirecte des certificats de caisse de pension, qu'elle pratiquait jusqu'ici par l'intermédiaire des employeurs. Elle doit également veiller à ce que les certificats parviennent directement et exclusivement aux assurés. Après que l'institution a refusé de donner suite à sa recommandation, le préposé a déposé une demande de décision à ce sujet auprès du DFI. Cette décision pourra faire l'objet d'un recours devant le Tribunal fédéral administratif.

Agenda 2010

28 janvier

4e Journée européenne de la protection des données
 Mars  datum 1/2010

«datum» est une publication du Préposé fédéral à la protection des donnés et à la transparence. Elle paraît deux fois par an.

Les contributions à «datum» sont libres de droits.  

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/newsletter/aeltere-newsletter/datum-02-2009.html