Memento sur la protection des données en Suisse

Le champ d’application de la Loi fédérale sur la protection des données

A) Introduction

a) Contexte actuel

Avec l’expansion des nouvelles technologies, avec l’avènement de la révolution industrielle 4.0 et le web 2.0, les données, qui viennent enrichir ces systèmes, prennent une valeur inestimable. Ils sont aussi la promesse d’innovations technologiques d’importance, lesquelles façonneront notre quotidien de demain ou celui des générations futures. Ce nouveau gisement d’or numérique va irrémédiablement causer des abus, et il en crée déjà. Depuis plusieurs années, les citoyennes et citoyens prennent conscience également des menaces qui peuvent planer, en particulier de la menace sur leur droit à la sphère privée et leur droit à protéger leurs données personnelles.

Dans un souci d’actualiser la protection des données personnelles dans l’Union Européenne, le Parlement Européen a adopté une nouvelle mouture plus contraignante en la matière qui viendra supplanter l’actuelle directive 95/46/CE, adoptée en 1995. Cette refonte du droit a été motivée par la rapide évolution des technologies, dont le corollaire est le partage exponentiel de données personnelles. Ce nouveau règlement entrera en vigueur en mai 2018. La Suisse, comme souvent, est davantage observatrice dans son approche et a attendu de connaître les développements européens pour s’aligner. Surtout, la Suisse souhaite aussi pouvoir prochainement ratifier la convention révisée du Conseil de l’Europe sur la protection des données dénommée de manière un peu mécanique « ST 108 ». Lors de sa séance du 21 décembre 2016, le Conseil fédéral a mis en consultation un avant-projet de révision totale de la loi sur la protection des données, procédure de consultation qui durera jusqu’à début avril 2017. Cette révision devrait permettre pour les Etats de l’Union Européenne de reconnaître la Suisse comme un Etat tiers possédant un cadre législatif adéquat.

Ce mémento se composera de plusieurs parties et a pour objectif d’effectuer une piqûre de rappel pour des lecteurs avertis qui s’intéressent à la protection des données. Ce texte n’a pas pour ambition d’être exhaustif mais tentera de montrer les quelques changements prévus par le projet de loi fédérale.

B) Le champ d’application de la LPD

a) Champ d’application matériel

La Loi fédérale sur la protection des données du 19 juin 1992 (ci-après LPD) « vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données » (art. 1 LPD). Elle s’applique ainsi à tout traitement de données, concernant des personnes, effectué par des personnes privées et par des organes fédéraux[1] (art. 2 al. 1 LPD). La notion de traitement est définie comme toute opération relative à des données, en particulier chacune des diverses phases du traitement[2]. Une action d’archivage, de conservation[3] ou de communication de données, soit le fait de les rendre accessibles en les transmettant[4], sont tous de potentiels traitements de données.

Le champ d’application matériel ne s’étend pas notamment aux procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif (art. 2 al. 2 let. c LPD). Il faut entendre par procédure pendantes civiles, le moment quand entrent en vigueur les normes de procédure applicables. Le litige civil doit donc avoir atteint « le stade d’une procédure devant un tribunal, puisque c’est seulement à partir de ce moment que les lois de procédure civile réglant la protection de la personnalité (dorénavant le CPC) s’appliquent »[5]. Une instance judiciaire (y compris un juge de paix) doit avoir été saisie, et au plus tard à partir de la litispendance au sens du droit de procédure civile. Il n’y a donc pas lieu « d’étendre cette notion (…) à la phase antérieure durant laquelle les parties constituent leurs dossiers, réunissent les preuves et évaluent leurs chances de succès dans une procédure éventuelle »[6].

Le champ d’application matériel ne s’étend pas non plus aux données personnelles qu’une personne physique traite pour un usage exclusivement personnel et qu’elle ne communique pas à des tiers (art. 3 al. 2 let. a LPD). D’autres exceptions existent (art. 2 al. 2 LPD), mais nous ne nous y attarderons pas.

Projet de révision

Le projet de révision exclut toujours du champ d’application les données utilisées pour un usage exclusivement personnel. En revanche, le projet élargit l’exclusion non pas seulement à toutes procédures pendantes, civiles, ou pénales mais à toutes les autorités judiciaires fédérales indépendantes dans le cadre de leurs activités, afin de garantir au mieux la séparation des pouvoirs et l’indépendance de la justice. D’ailleurs le projet ne prend plus comme référentiel le terme « procédure pendante » mais parle plutôt d’activités juridictionnelles, notion plus neutre. A l’inverse, l’exception en faveur des registres publics est supprimée et concerne donc les registres publics de droit privé à l’instar d’Infostar, Zefix, le registre des aéronefs de l’Office fédéral de l’aviation civile, et le registre des marques de l’Institut de la propriété intellectuelle. Pour le reste, aucun autre changement majeur n’est prévu[7].

b) Champ d’application personnel

La LPD s’applique à toute personne physique ou morale (art. 3 let. b LPD). L’on distingue ensuite celui qui « subit » le traitement de données (la personne concernée) et celui qui décide du but du traitement (le maître du fichier) (art. 3 let. h LPD)[8].

Projet de révision

La future loi ne devrait plus s’appliquer aux personnes morales. En effet, ces dernières ne sont que peu concernées en pratique et les législations étrangères ne prévoient pas non plus de protection particulière[9].

Par ailleurs, le projet de loi actualise le terme de « maître du fichier » par celui de « responsable de traitement », terme usuellement utilisé. La définition du responsable du traitement est même précisée puisqu’il s’agit de la personne privée ou de l’organe fédéral qui détermine d’une part la finalité du traitement de données (i) et les moyens utiles pour traiter ces données (ii)[10].

c) Quatre régimes différents

Le régime juridique peut varier en fonction de l’auteur du traitement ou du type de données traitées. La loi distingue entre le traitement par des personnes privées ou des organes publics (i), et elle distingue entre données personnelles « classiques » et données personnelles dites « sensibles » (ii). Au total, nous verrons — si l’on veut schématiser — quatre régimes juridiques différents : un régime pour les personnes privées traitant des données personnelles classiques, un régime pour les personnes privées traitant des données personnelles sensibles, un régime juridique pour les organes fédéraux traitant des données personnelles classiques, et enfin un régime juridique pour les organes fédéraux traitant des données personnelles sensibles. Dans l’exposé qui suivra, l’on distinguera surtout entre régime applicable aux personnes privées et régime applicable aux organes fédéraux. Ces différentes distinctions ne devraient pas être touchées par la prochaine révision législative.

1) Personnes privées

Une personne privée désigne une personne physique ou morale qui traite des données dans le cadre d’une relation de droit privé[11].

2) Organes publics

Les organes publics se composent d’organes fédéraux et d’organes cantonaux. La LPD ne s’applique qu’aux organes fédéraux[12] et exclue donc les organes cantonaux (art. 2 al. 1 let. b a contrario LPD). Les organes fédéraux sont soumis à un régime différencié en matière de protection des données et doivent remplir des obligations supplémentaires. Dans la systématique de la loi, le consentement de l’intéressé n’est pas nécessaire lorsqu’il existe une base légale.

C) Les données identifiables selon la LPD

Le champ d’application de la LPD se concentre sur toutes données dites « personnelles ». Une donnée personnelle est toute information qui se rapporte à une personne identifiée ou identifiable (art. 3 lit. a LPD). Pour illustrer l’incarnation d’une donnée personnelle, l’on peut citer l’exemple d’une photographie qui produit également des données sous forme d’image[13]. Par ailleurs, la forme que revêt une donnée personnelle importe peu — il peut s’agir d’un signe, d’un écrit, d’une image, d’un son ou d’une combinaison de ces éléments[14].

Savoir si une personne est identifiable ou non est une question qu’il faut d’emblée se poser. Les données récoltées permettent-elles raisonnablement de remonter à une personne déterminée ? Si l’association d’une information à une personne est possible, alors cela signifie que la personne concernée peut être identifiée, sous réserve toutefois que les moyens permettant de l’identifier soient raisonnables en terme de coûts et de temps[15].

Il faut en plus distinguer si cette information contient directement l’identification de la personne (comme une carte d’identité), ou si cette information permet indirectement d’identifier la personne au moyen d’informations supplémentaires (comme l’adresse d’un immeuble qui permet de rechercher le nom du propriétaire de cet immeuble)[16] et que l’identité de la personne concernée peut donc être déduite de ces informations supplémentaires.

En d’autres termes, l’identification peut être directe ou indirecte, en fonction du lien étroit ou éloigné entre l’information et la personne concernée. Seul le cas particulier permettra de juger de l’étroitesse du lien entre l’information et la personne en prenant en compte les facteurs du coût financier et de temps consacré à l’identification. Quoiqu’il en soit, nonobstant cette distinction théorique, l’identification directe ou indirecte entre dans le champ d’application de la loi, mais la distinction est pertinente lorsque l’on parle de codage ou de pseudonymisation de données personnelles. Par ailleurs, il ne faut pas croire qu’une personne identifiable soit nécessairement reconnaissable. Le fait d’être reconnaissable est un concept étranger à la loi et ressortit à la protection plus générale des droits de la personnalité[17].

Selon l’arrêt Logistep, les adresses IP[18] peuvent être qualifiées de données personnelles par exemple. En effet, une adresse IP identifie chaque ordinateur connecté à l’Internet. Elle peut être soit fixe, soit dynamique. Elle est fixe lorsque le Fournisseur d’Accès (FAI) fournit tout le temps la même adresse IP. Elle est dynamique lorsque le FAI donne à la personne concernée une adresse IP différente à chaque connexion. En principe, une adresse IP dynamique ne permet pas directement d’identifier une personne ; une identification indirecte est toutefois possible si le fournisseur d’accès arrive à combiner l’adresse IP dynamique avec d’autres informations qu’il détient ou peut obtenir[19].

Pour le Tribunal Fédéral, même une adresse IP dynamique peut être considérée comme une donnée personnelle[20]. Selon l’Avocat général M. Manuel Campos Sánchez-Bordona de la CJUE, il est établi que le simple fait qu’une adresse IP dynamique révèle certains traits du comportement des utilisateurs d’Internet constitue une ingérence dans le droit au respect de la vie privée. La connaissance d’une adresse IP dynamique facilite l’identification « indirecte » de l’utilisateur, grâce au recoupage des informations. La Cour a dû trancher la question épineuse de savoir si la seule « éventualité de l’existence de ces informations supplémentaires pouvant être combinées à l’adresse IP dynamique » revient à considérer cette adresse IP comme une donnée personnelle. Selon la Cour, si la connaissance des données supplémentaires peut être raisonnablement obtenue d’un tiers, alors la simple « possession » d’une adresse IP est considérée comme une donnée personnelle[21]. Cet arrêt n’a en principe pas d’effet pour la Suisse, mais l’interprétation de la Cour de Justice de l’UE ne pourra être ignorée et elle admet ici une interprétation large de la notion de données personnelles.

Les métadonnées, à savoir, selon la définition du Larousse, une donnée servant à caractériser une autre donnée, physique, ou numérique, permet une identification indirecte lorsque ces données aident à remonter vers une personne déterminée. En effet, ces métadonnées peuvent renseigner sur la géolocalisation, la date de création de la donnée, la légende ou la dénomination de la donnée, sur le type de communication, etc..[22]. Prises dans leur ensemble, ces métadonnées sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes et peuvent révéler des données extrêmement sensibles[23]. A notre avis, ces données permettent notamment d’identifier une personne indirectement par le recoupement de toutes ces informations.

Sources:

[1] On entend par organe fédéral toutes les personnes physiques ou morales qui exécutent des tâches publiques pour le compte de la Confédération, telles les entreprises d’économie mixte et les corporations de droit public (Message du Conseil Fédéral concernant la loi fédérale sur la protection des données du 23 mars 1988, FF II 453)

[2] Message du Conseil Fédéral concernant la loi fédérale sur la protection des données du 23 mars 1988 (FF 1988 II 455)

[3] Ibidem

[4] ATF 127 III 481 ; ATF 131 II 413

[5] SJ 2013 I 81

[6] SJ 2013 I 81

[7] Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales, Office fédéral de la justice, décembre 2016, p. 38–41

[8] Message du Conseil Fédéral concernant la loi fédérale sur la protection des données du 23 mars 1988 (FF 1988 II 421)

[9] Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales, Office fédéral de la justice, décembre 2016, p. 38

[10] Ibidem, p. 43

[11] Message du Conseil Fédéral concernant la loi fédérale sur la protection des données du 23 mars 1988 (FF 1988 II 448)

[12] JdT 1998 I 194

[13] ATF 127 III 481 consid. 3

[14] JdT 2010 I 396

[15] Rapport explicatif concernant l’avant-projet de loi fédérale sur la révision totale de la loi sur la protection des données et sur la modification d’autres lois fédérales, Office fédéral de la justice, décembre 2016, p. 42

[16] ATF 138 II consid. 6.1

[17] http://www.lawinside.ch/79/

[18] Selon les conclusions de l’Avocat général dans l’affaire C-582/14 Patrick Breyer contre Bundesrepublik Deutschland du 12 mai 2016, l’adresse IP a été définie comme une « suite de chiffres binaires qui, attribuée à un dispositif (ordinateur, tablette, téléphone intelligent), l’identifie et lui permet d’accéder au réseau de communications électroniques. Pour se connecter à Internet, le dispositif doit utiliser la suite de chiffres donnée par les fournisseurs du service d’accès au réseau. L’adresse IP est communiquée au serveur sur lequel le site Internet consulté est hébergé ».

[19] Arrêt CJUE C-582/14 dans l’affaire Patrick Breyer contre Bundesrepublik Deutschland du 19 octobre 2016

[20] ATF 136 II 508

[21] Arrêt CJUE C-582/14 dans l’affaire Patrick Breyer contre Bundesrepublik Deutschland du 19 octobre 2016, consid. 40ss

[22] Ebrahimi Touradj, « Les métadonnées des photos, comment ça marche », in Emission radio RTS On en parle du 17 octobre 2016

[23] Affaires jointes CJUE C-203/15 et C-698/15 dans l’affaire Tele2 Sverige AB contre Post-och telestyrelsen du 21 décembre 2016 ; Affaires jointes CJUE C-293/12 et C-594/12 dans l’affaire Digital Rights Ireland Ltd du 8 avril 2014, consid. 26 ss