La protection des données et Internet
Transcription
La protection des données et Internet
Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas Fi été 2000 La protection des données et Internet La protection des données au niveau international Il n'existe à l'heure actuelle aucune convention internationale garantissant la protection de la personnalité sur Internet. La protection des données au niveau européen Il n’existe pas au niveau de l’Union européenne de directive spécifique sur la protection des données dans l'Internet. Plusieurs directives contenant des dispositions de protection des données sont cependant applicables à Internet, c'est notamment le cas de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de la Directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Les travaux du Conseil de l’Europe en matière de protection des données sont considérables. Plusieurs textes touchent indirectement Internet, par ex. la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, la Recommandation n° R (90) 19 sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes, la Recommandation n° R (91) 10 sur la communication à des tierces personnes de données à caractère personnel détenues par des organismes publics ou la Recommandation n° R (95) 4 sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques. La Recommandation n° R (99) 5 sur la protection de la vie privée sur Internet recommande aux gouvernements des Etats membres de diffuser largement les lignes directrices pour la protection des personnes à l'égard de la collecte et du traitement des données à caractère personnel sur les inforoutes. Ces lignes directrices doivent être diffusées en particulier auprès des utilisateurs, des fournisseurs de services d'Internet et de toute autorité nationale chargée de veiller au respect des dispositions de la protection des données. Ces lignes directrices peuvent également être intégrées ou annexées à des codes de conduite. Le texte de la recommandation et les lignes directrices sont disponibles sur le site du Conseil de l'Europe (www.coe.fr). A l'heure actuelle, un groupe de travail élabore un Projet de convention relative à la criminalité dans le cyber-espace. Ce projet contient une liste d'infractions autonomes à la protection des données. Il faut souligner que des Etats non membres du Conseil de l'Europe participent à ces travaux, il s'agit des Etats-Unis, du Canada et du Japon. La protection des données au niveau national Tout traitement de données personnelles effectué par les différents acteurs d'Internet (le fournisseur d'accès, le fournisseur de contenu et dans une moindre mesure l'utilisateur) doit respecter les dispositions de la législation fédérale sur la protection des données - loi fédérale du 19 juin 1992 sur la protection des données (LPD) et ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD) - à savoir les principes généraux et les règles matérielles. 2 La licéité (art. 4, 1er al., LPD) Toute collecte de données personnelles ne peut être entreprise que d'une manière licite. Ceci implique, pour les organes fédéraux, l'existence d'une base légale (art. 17 LPD) et ancrage dans une loi au sens formel si des données sensibles ou des profils de la personnalité sont traités. Pour les personnes privées (art. 12 et 13 LPD), il faut un motif justificatif (le consentement de la personne concernée, un intérêt prépondérant public ou privé, la loi). Il est bien entendu illicite de collecter des données par la menace, par astuce ou en usant de violence. La bonne foi (art. 4, 2e al., LPD) Les données doivent être traitées conformément à la bonne foi. En règle générale, la collecte doit avoir lieu auprès de la personne concernée ou du moins pas l'être à l'insu de celle-ci ou contre sa volonté. Celui qui recueille des données en trompant intentionnellement la personne concernée [par exemple en donnant de fausses indications quant au but du traitement] transgresse le principe de la bonne foi. Il en va de même de celui qui collecte des données clandestinement. La proportionnalité (art. 4, 2e al., LPD) Celui qui traite des données est obligé de ne collecter et de ne traiter que les seules données qui lui sont nécessaires et aptes à atteindre un but déterminé. La finalité (art. 4, 3e al., LPD) Les données personnelles ne peuvent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. Par exemple, des adresses obtenues à l'occasion d'une récolte de signatures à l'appui d'une initiative ne peuvent pas être utilisées à des fins commerciales. L'exactitude des données (art. 5 LPD) Quiconque traite des données personnelles doit s'assurer qu'elles sont correctes. L'exactitude au sens de cette disposition n'implique pas seulement que les données doivent contenir des affirmations exactes, mais aussi qu'elles doivent être complètes et à jour, du moins autant que les circonstances le permettent. Par exemple, le chef du personnel qui déplace ou congédie un employé, sur la base d'un certificat médical périmé, peut porter atteinte à la personnalité de ce dernier. En outre, la personne concernées peut requérir la rectification des données inexactes. La rectification est traitée plus en détail dans la partie concernant le droit d'accès. La communication à l'étranger (art. 6 LPD, 5, 6, 7 et 19 OLPD) Afin d'éviter en particulier que des maîtres de fichiers ne transmettent des données dans des pays présentant des risques considérables pour la personnalité des personnes concernées (si, par exemple le pays destinataire ne dispose pas de législation en matière de protection des données équivalente), et pour permettre aux intéressés d'exercer leur droit d'accès, quel que soit le lieu où se trouvent les données les concernant (droit de suite), la LPD prévoit à l'art.6 l'obligation, avant de transmettre un fichier à l'étranger, de le déclarer au Préposé fédéral si la communication ne découle pas d'une obligation légale ou si elle a lieu à l'insu des personnes concernées. Dans le secteur privé, l'OLPD (art. 5 et 6) complète la loi en précisant tout d'abord ce que l'on entend par transmission de fichier à l'étranger, à savoir non seulement la communication de fichiers ou de parties essentielles de ceux-ci, mais 3 également la communication par procédure d'appel (online/self-service), ainsi que la transmission de fichiers à un mandataire. L'art. 6 OLPD décrit la procédure de déclaration, qui doit être faite par écrit et préalablement à la communication (l'art. 6, 3ème al., OLPD prévoit la possibilité d'une déclaration globale). Quant aux exceptions, l'art. 7 OLPD prévoit qu'il n'y a pas de déclaration lorsque des fichiers ne se rapportant pas à des personnes sont transmis (recherche, statistique) et que les résultats sont publiés sous une forme ne permettant pas d'identifier les personnes concernées. Il en va de même si des fichiers sont communiqués dans des pays dotés d'une législation équivalente sans risque de réexportation dans un Etat tiers qui n'en est pas doté, et que les fichiers communiqués ne contiennent ni données sensibles, ni profils de la personnalité. Le Préposé fédéral établit et tient à disposition de quiconque communique des données personnelles à l'étranger une liste des Etats dotés d'une législation équivalente. La sécurité des données (art. 7 LPD, 8, 9, 10, 11, 12, 20, 21, 22 et 23 OLPD) Certains problèmes de protection des données peuvent être évités, si l'on prend, à temps, les mesures de sécurité qui s'imposent. Les systèmes informatiques modernes requièrent des mesures d'aménagement des lieux, empêchant à tout tiers non autorisé d'accéder aux équipements informatiques. Des mesures techniques sont également nécessaires pour prévenir les pannes (par exemple à la suite d'une coupure de courant) et, partant, la destruction irrémédiable des données. Enfin, on veillera à ce que les données ne soient pas accessibles à n'importe qui et à ce que les principes fondamentaux de la protection des données soient respectés par des mesures organisationnelles, telles des procédures d'identification des usagers, des évaluations périodiques des mesures de sécurité ou encore la nomination d'un responsable de la protection des données au sein de l'entreprise. Le droit d'accès (art. 8, 9, et 10 LPD, 1, 2, 13, 14 et 15 OLPD) C'est un droit fondamental pour la personne concernée et l'institution-clé de la protection des données. Ce n'est qu'ainsi que l'intéressé pourra faire valoir ses droits, en particulier faire rectifier des données inexactes, en contester l'exactitude ou les faire le cas échéant détruire. Ce droit a en outre un effet préventif certain. Même si les particuliers en feront rarement usage, le seul fait, pour le maître d'un fichier, de connaître l'existence de ce droit l'incitera à traiter correctement les données personnelles dont il aura vraiment besoin. Les modalités de l'exercice de ce droit sont décrites à l'art. 1er OLPD. Il y est notamment prévu que l'intéressé doit en règle générale faire valoir son droit par écrit en justifiant de son identité (pièce d'identité, permis de conduire etc.). Certains organes fédéraux ont pour habitude de fournir des informations par téléphone. L'OLPD n'exclut pas cette manière de procéder, encore faut-il que la personne concernée y ait consenti et ait été identifiée. Les renseignements requis doivent être dans la mesure du possible fournis dans les 30 jours suivant réception de la demande. Afin que ce droit puisse être exercé par chacun, indépendamment de sa situation financière, le législateur a prévu le principe de la gratuité du droit d'accès (art. 8, 5e al. LPD). Une participation aux frais pourra exceptionnellement être demandée par le maître du fichier lorsque le droit d'accès aura déjà été exercé dans les 12 mois précédant la demande sans modification non annoncée des données relatives à l'intéressé. Idem si la communication des renseignements demandés occasionne un volume de travail considérable. Le but de cette participation financière n'est pas de couvrir les frais, mais de prévenir les abus. Le montant maximal a été fixé par le Conseil fédéral à 300francs. Le maître de fichier public peut refuser ou restreindre la communication des renseignements demandés si une loi le prévoit, les intérêts prépondérants d'un tiers l'exigent, un intérêt public prépondérant le requiert (sûreté intérieure ou extérieure de la Confédération) ou le déroulement d'une procédure d'instruction risque d'être compromis (art. 9 LPD). Le maître de fichier privé peut également refuser ou restreindre le droit d'accès si une loi le prévoit, les intérêts prépondérants d'un tiers l'exigent ou ses propres intérêts prépondérants le requièrent, à condition que ces données ne soient communiquées à des tiers (art. 9 LPD). 4 Pour les médias, l'accès peut être restreint ou refusé dans un fichier servant exclusivement d'instrument de travail personnel du journaliste. Il en va de même des fichiers utilisés exclusivement pour la partie rédactionnelle d'un média à caractère périodique pour protéger les sources, l'exclusivité d'une publication ou la libre formation de l'opinion publique (art. 10 LPD). Si, en prenant connaissance de données le concernant, l'intéressé constate en particulier qu'elles sont inexactes ou que leur traitement est illicite, il peut requérir la rectification ou la destruction des données litigieuses ou interdire leur communication (art. 15 LPD). Il est cependant des cas où ni l'exactitude, ni l'inexactitude d'une donnée ne peut être établie. Le demandeur peut alors requérir que l'on ajoute à la donnée la mention de son caractère litigieux. La protection de la vie privée et les fournisseurs de services d'Internet Les informations collectées sur la base des visites effectuées sur les sites Internet peuvent servir à des études de marché et même être vendues à des tiers. Les fournisseurs de services d'Internet doivent développer une politique en faveur de la protection de la personnalité afin de répondre aux exigences légales (transparence, information, possibilité de choix, sécurité, agrément de la personne concernée). Cette politique leur permettra du reste de mettre en confiance leurs clients et les futurs utilisateurs. Les principales mesures à prendre sont les suivantes: 1. Signaler en un endroit bien visible de l'offre à quelles dispositions légales de protection des données cette offre est soumise. En outre, la pratique du site en la matière doit être présentée dans un langage clair (déclaration de traitement de données sur Internet). Il convient en particulier de dire quelles données vont être relevées et utilisées, et dans quel but. 2. Donner à l'utilisateur la possibilité de limiter l'utilisation (par ex. s'il s'oppose à l'élaboration de son profil de consommation) et la transmission des données le concernant (par ex. à des fins publicitaires). 3. Selon la destination des données, prendre des mesures de sécurité garantissant l'exactitude, l'intégralité et l'actualité des données (par ex. méthodes de codage et d'authentification). 4. Enfin, mentionner la manière dont l'utilisateur peut faire valoir ses droits. Vous trouverez des renseignements sur l'élaboration d'une déclaration de traitement de données sur Internet dans le 7ème rapport d'activités 1999/2000 (p. 158) du Préposé fédéral à la protection des données (PFPD). Ce rapport est disponible sur le site du PFPD (www.edsb.ch). Quelques conseils permettant aux utilisateurs de services d'Internet de préserver leur vie privée Internet permet d'accéder au niveau de la planète à des informations ou à des prestations. En même temps qu'ils surfent sur le net, les utilisateurs (souvent à leur insu) fournissent des données personnelles qui sont traitées, rassemblées, exploitées ou transmises à des tiers de diverses manières. Or les lois nationales sur la protection des données ne sont applicables que sur le territoire de l'Etat en question. Pour cette raison, en cas d'atteinte à la personnalité, il est très difficile pour les personnes concernées de faire valoir leurs droits. Il n'existe actuellement aucune convention internationale qui protégerait efficacement la sphère privée sur Internet. Les utilisateurs devraient donc être particulièrement prudents avant de permettre l'accès à leurs données personnelles. Nous avons rassemblé ci-dessous quelques conseils permettant de mieux protéger la sphère privée sur Internet: 1. Sachez qu'en utilisant Internet, vos données personnelles sont relevées et enregistrées, en partie à votre insu. 5 2. Assurez-vous d’abord que le traitement de données personnelles sur un site particulier est soumis à des dispositions précises de protection des données. Certains prestataires indiquent dans quel but les données sont relevées et quelle sera leur utilisation. 3. Ne communiquez vos données personnelles que si cela est indispensable. 4. Utilisez la dernière version des programmes de navigation qui offrent en général une meilleure sécurité. 5. Ne transmettez jamais des données confidentielles non cryptées par Internet. Protégez vos données (codage, signature digitale), si vous voulez garantir leur intégralité et leur confidentialité. Vous pouvez charger gratuitement via Internet des logiciels qui permettent de coder les données de manière sûre. 6. Si vous participez à des groupes de discussion et acceptez de figurer sur des listes de participants, pensez que vos données, notamment votre adresse électronique sera enregistrée pour longtemps et accessible à tous. 7. Vos données peuvent être réutilisées ou abusivement utilisées. Afin d'éviter cela, nous vous recommandons de faire usage des outils d'anonymisation gratuitement disponibles sur Internet. 8. Ne réglez aucune affaire via Internet si la structure n'est pas dotée d'un système de sécurité. 9. Soyez toujours conscients que lorsque vous visitez les sites, vos destinations de prédilection seront pour la plupart enregistrées. Afin de l'éviter, fuyez les offres qui ne garantissent pas l'anonymat ou utilisez sinon les outils d'anonymisation. Vous trouverez des informations pratiques dans le bulletin d'information n° 1/2000 (mars 2000) disponible sur le site du PFPD (www.edsb.ch). Le cas de l'envoi de publicité non souhaitée par courrier électronique Il est facile d’identifier et d’enregistrer une personne dans Internet par le biais de son adresse électronique. Mais une adresse électronique peut aussi comporter d'autres informations sur le destinataire comme son nom, son prénom, son lieu de travail et son adresse personnelle. Grâce à ces renseignements sur la personne, et le cas échéant grâce aussi à la participation des personnes concernées à des listes de distribution ou à divers groupes de discussion, il est possible de cerner ses intérêts et d'établir ainsi un profil de sa personnalité. Ces données peuvent être exploitées par des tiers et utilisées à d'autres fins, par exemple pour l'envoi de publicité. Lorsqu'il s'agit d'un envoi conventionnel de publicité par poste, on peut bloquer son adresse qui ne sera plus utilisée à des fins publicitaires (liste Robinson ou étoile dans l'annuaire téléphonique). Les expéditeurs d'envois publicitaires sont tenus dans ce cas de respecter le souhait d'une personne qui ne désire pas recevoir de publicité. La situation est tout autre dans le cas du courrier électronique. Bien que l'adresse soit valable dans le monde entier, il n'existe pas de liste centrale d'adresses où l'on pourrait, si nécessaire, la faire bloquer. Il est donc difficile de se protéger du courrier électronique non désiré. Aux désagréments crées par la publicité, s'ajoutent encore les taxes téléphoniques qui sont à la charge de la personne concernée. Il convient donc de mettre en oeuvre les moyens techniques adéquats pour protéger l'utilisateur du courrier électronique qu'il ne désire pas et qui, en outre, implique pour lui des coûts. Certains serveurs mettent à la disposition des utilisateurs des programmes contenant des filtres qui trient les messages électroniques entrants. On peut ainsi fixer les conditions dans lesquelles le courrier publicitaire est automatiquement effacé. Les filtres puissants dirigent eux-mêmes les envois publicitaires dans la corbeille à papier. Là aussi, un inconvénient n'en demeure pas moins: la publicité non désirée n'est reconnue qu'après avoir été chargée. Donc les frais de téléphone demeurent. Il est possible de remédier à cet inconvénient lorsque le tri se fait déjà au niveau du serveur. La messagerie électronique a donc «son prix». Il est en effet long et fastidieux de se protéger des envois non souhaités. Mais, indépendamment des envois publicitaires non souhaités, il n'est pas sans danger d'envoyer soi-même des données par courrier 6 électronique. La plupart du temps, ces envois ne sont pas codés et peuvent être aisément lus, copiés ou modifiés par des tiers. Nous aimerions à cet endroit rappeler avec insistance que l'envoi de données non codées par l'intermédiaire d'Internet est tout aussi sûr et confidentiel que l'envoi d'une carte postale ! Vous trouverez des informations supplémentaires dans le 7ème rapport d'activités (p. 238) disponible sur le site du PFPD (www.edsb.ch). La protection de la sphère privée grâce aux technologies favorables à la protection des données Internet, comme d'autres services en ligne, se caractérise entre autres par sa capacité à générer la transmission de très grandes quantités d'informations. L'accès des utilisateurs aux services en ligne est très rarement anonyme. En outre, la plupart des utilisateurs ignorent les risques que cette activité en ligne comporte pour leur sphère privée qui n'en est que plus menacée. Il convient donc de prendre des mesures qui limitent au minimum le relevé de données personnelles. Pour ce qui est de la protection de la sphère privée à l'aide de moyens techniques [dans la mesure de ce qui est réalisable ], les services en ligne doivent tenir compte du besoin légitime d'anonymat. En effet, à l'ère des réseaux mondiaux, les lois sur la protection des données ne suffisent plus à elles seules à protéger le droit à la vie privée. La technique doit donc être utilisée de manière à ce que les systèmes de traitement de données permettent de limiter d'emblée au strict nécessaire le traitement de données personnelles. Aujourd'hui déjà, il existe des moyens techniques favorables à la protection des données permettant de concevoir des systèmes qui ne nécessitent que peu de données ou qui garantissent l'anonymat (services en ligne anonymes, procédé de codage, utilisation de pseudonymes dans des cas où l'identification de la personne n'est pas nécessaire, cartes à prépaiement anonymes et rechargeables, etc.). Néanmoins, dans la pratique, ces possibilités sont encore trop peu exploitées. Nous recommandons donc aux utilisateurs et aux fournisseurs de services d'Internet de faire davantage usage de ces technologies compatibles avec la protection des données. Il est aussi dans l'intérêt des fournisseurs de services en ligne de promouvoir et d'offrir des technologies favorables à la protection des données. Cela permet d'accroître la confiance des utilisateurs à l'égard de l'offre de prestations de services électroniques, confiance nécessaire pour que les prestations offertes rencontrent un écho favorable. Enfin, il convient de ne limiter que dans la mesure du nécessaire par une loi et de manière permanente les restrictions au droit à l'anonymat ou les moyens techniques à cet effet (par exemple les procédés de codage).