La protection des données et Internet
Eidgenössischer Datenschutzbeauftragter
Préposé fédéral à la protection des données
Incaricato federale per la protezione dei dati
Incumbensà federal per la protecziun da datas
Fi été 2000
La protection des données et Internet
La protection des données au niveau international
Il n'existe à l'heure actuelle aucune convention internationale garantissant la protection de la
personnalité sur Internet.
La protection des données au niveau européen
Il n’existe pas au niveau de l’Union européenne de directive spécifique sur la protection
des données dans l'Internet. Plusieurs directives contenant des dispositions de protection
des données sont cependant applicables à Internet, c'est notamment le cas de la Directive
95/46/CE relative à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, et de la Directive
97/66/CE concernant le traitement des données à caractère personnel et la protection de la
vie privée dans le secteur des télécommunications. Les travaux du Conseil de l’Europe en
matière de protection des données sont considérables. Plusieurs textes touchent
indirectement Internet, par ex. la Convention pour la protection des personnes à l'égard du
traitement automatisé des données à caractère personnel, la Recommandation n° R (90) 19
sur la protection des données à caractère personnel utilisées à des fins de paiement et
autres opérations connexes, la Recommandation n° R (91) 10 sur la communication à des
tierces personnes de données à caractère personnel détenues par des organismes publics
ou la Recommandation n° R (95) 4 sur la protection des données à caractère personnel dans
le domaine des services de télécommunication, eu égard notamment aux services
téléphoniques. La Recommandation n° R (99) 5 sur la protection de la vie privée sur Internet
recommande aux gouvernements des Etats membres de diffuser largement les lignes
directrices pour la protection des personnes à l'égard de la collecte et du traitement des
données à caractère personnel sur les inforoutes. Ces lignes directrices doivent être
diffusées en particulier auprès des utilisateurs, des fournisseurs de services d'Internet et de
toute autorité nationale chargée de veiller au respect des dispositions de la protection des
données. Ces lignes directrices peuvent également être intégrées ou annexées à des codes
de conduite. Le texte de la recommandation et les lignes directrices sont disponibles sur le
site du Conseil de l'Europe (www.coe.fr). A l'heure actuelle, un groupe de travail élabore un
Projet de convention relative à la criminalité dans le cyber-espace. Ce projet contient une
liste d'infractions autonomes à la protection des données. Il faut souligner que des Etats non
membres du Conseil de l'Europe participent à ces travaux, il s'agit des Etats-Unis, du Canada
et du Japon.
La protection des données au niveau national
Tout traitement de données personnelles effectué par les différents acteurs d'Internet (le
fournisseur d'accès, le fournisseur de contenu et dans une moindre mesure l'utilisateur) doit
respecter les dispositions de la législation fédérale sur la protection des données - loi
fédérale du 19 juin 1992 sur la protection des données (LPD) et ordonnance du 14 juin 1993
relative à la loi fédérale sur la protection des données (OLPD) - à savoir les principes
généraux et les règles matérielles.
2
La licéité (art. 4, 1er al., LPD)
Toute collecte de données personnelles ne peut être entreprise que d'une manière licite.
Ceci implique, pour les organes fédéraux, l'existence d'une base légale (art. 17 LPD) et
ancrage dans une loi au sens formel si des données sensibles ou des profils de la
personnalité sont traités. Pour les personnes privées (art. 12 et 13 LPD), il faut un motif
justificatif (le consentement de la personne concernée, un intérêt prépondérant public ou
privé, la loi). Il est bien entendu illicite de collecter des données par la menace, par astuce ou
en usant de violence.
La bonne foi (art. 4, 2e al., LPD)
Les données doivent être traitées conformément à la bonne foi. En règle générale, la collecte
doit avoir lieu auprès de la personne concernée ou du moins pas l'être à l'insu de celle-ci ou
contre sa volonté. Celui qui recueille des données en trompant intentionnellement la
personne concernée [par exemple en donnant de fausses indications quant au but du
traitement] transgresse le principe de la bonne foi. Il en va de même de celui qui collecte des
données clandestinement.
La proportionnalité (art. 4, 2e al., LPD)
Celui qui traite des données est obligé de ne collecter et de ne traiter que les seules données
qui lui sont nécessaires et aptes à atteindre un but déterminé.
La finalité (art. 4, 3e al., LPD)
Les données personnelles ne peuvent être traitées que dans le but qui est indiqué lors de
leur collecte, qui est prévu par une loi ou qui ressort des circonstances. Par exemple, des
adresses obtenues à l'occasion d'une récolte de signatures à l'appui d'une initiative ne
peuvent pas être utilisées à des fins commerciales.
L'exactitude des données (art. 5 LPD)
Quiconque traite des données personnelles doit s'assurer qu'elles sont correctes.
L'exactitude au sens de cette disposition n'implique pas seulement que les données doivent
contenir des affirmations exactes, mais aussi qu'elles doivent être complètes et à jour, du
moins autant que les circonstances le permettent. Par exemple, le chef du personnel qui
déplace ou congédie un employé, sur la base d'un certificat médical périmé, peut porter
atteinte à la personnalité de ce dernier. En outre, la personne concernées peut requérir la
rectification des données inexactes. La rectification est traitée plus en détail dans la partie
concernant le droit d'accès.
La communication à l'étranger (art. 6 LPD, 5, 6, 7 et 19 OLPD)
Afin d'éviter en particulier que des maîtres de fichiers ne transmettent des données dans
des pays présentant des risques considérables pour la personnalité des personnes
concernées (si, par exemple le pays destinataire ne dispose pas de législation en matière de
protection des données équivalente), et pour permettre aux intéressés d'exercer leur droit
d'accès, quel que soit le lieu où se trouvent les données les concernant (droit de suite), la
LPD prévoit à l'art.6 l'obligation, avant de transmettre un fichier à l'étranger, de le déclarer au
Préposé fédéral si la communication ne découle pas d'une obligation légale ou si elle a lieu à
l'insu des personnes concernées. Dans le secteur privé, l'OLPD (art. 5 et 6) complète la loi en
précisant tout d'abord ce que l'on entend par transmission de fichier à l'étranger, à savoir
non seulement la communication de fichiers ou de parties essentielles de ceux-ci, mais
3
également la communication par procédure d'appel (online/self-service), ainsi que la
transmission de fichiers à un mandataire. L'art. 6 OLPD décrit la procédure de déclaration,
qui doit être faite par écrit et préalablement à la communication (l'art. 6, 3ème al., OLPD
prévoit la possibilité d'une déclaration globale). Quant aux exceptions, l'art. 7 OLPD prévoit
qu'il n'y a pas de déclaration lorsque des fichiers ne se rapportant pas à des personnes sont
transmis (recherche, statistique) et que les résultats sont publiés sous une forme ne
permettant pas d'identifier les personnes concernées. Il en va de même si des fichiers sont
communiqués dans des pays dotés d'une législation équivalente sans risque de
réexportation dans un Etat tiers qui n'en est pas doté, et que les fichiers communiqués ne
contiennent ni données sensibles, ni profils de la personnalité. Le Préposé fédéral établit et
tient à disposition de quiconque communique des données personnelles à l'étranger une
liste des Etats dotés d'une législation équivalente.
La sécurité des données (art. 7 LPD, 8, 9, 10, 11, 12, 20, 21, 22 et 23 OLPD)
Certains problèmes de protection des données peuvent être évités, si l'on prend, à temps,
les mesures de sécurité qui s'imposent. Les systèmes informatiques modernes requièrent
des mesures d'aménagement des lieux, empêchant à tout tiers non autorisé d'accéder aux
équipements informatiques. Des mesures techniques sont également nécessaires pour
prévenir les pannes (par exemple à la suite d'une coupure de courant) et, partant, la
destruction irrémédiable des données. Enfin, on veillera à ce que les données ne soient pas
accessibles à n'importe qui et à ce que les principes fondamentaux de la protection des
données soient respectés par des mesures organisationnelles, telles des procédures
d'identification des usagers, des évaluations périodiques des mesures de sécurité ou encore
la nomination d'un responsable de la protection des données au sein de l'entreprise.
Le droit d'accès (art. 8, 9, et 10 LPD, 1, 2, 13, 14 et 15 OLPD)
C'est un droit fondamental pour la personne concernée et l'institution-clé de la protection
des données. Ce n'est qu'ainsi que l'intéressé pourra faire valoir ses droits, en particulier
faire rectifier des données inexactes, en contester l'exactitude ou les faire le cas échéant
détruire. Ce droit a en outre un effet préventif certain. Même si les particuliers en feront
rarement usage, le seul fait, pour le maître d'un fichier, de connaître l'existence de ce droit
l'incitera à traiter correctement les données personnelles dont il aura vraiment besoin. Les
modalités de l'exercice de ce droit sont décrites à l'art. 1er OLPD. Il y est notamment prévu
que l'intéressé doit en règle générale faire valoir son droit par écrit en justifiant de son
identité (pièce d'identité, permis de conduire etc.). Certains organes fédéraux ont pour
habitude de fournir des informations par téléphone. L'OLPD n'exclut pas cette manière de
procéder, encore faut-il que la personne concernée y ait consenti et ait été identifiée. Les
renseignements requis doivent être dans la mesure du possible fournis dans les 30 jours
suivant réception de la demande. Afin que ce droit puisse être exercé par chacun,
indépendamment de sa situation financière, le législateur a prévu le principe de la gratuité
du droit d'accès (art. 8, 5e al. LPD). Une participation aux frais pourra exceptionnellement
être demandée par le maître du fichier lorsque le droit d'accès aura déjà été exercé dans les
12 mois précédant la demande sans modification non annoncée des données relatives à
l'intéressé. Idem si la communication des renseignements demandés occasionne un volume
de travail considérable. Le but de cette participation financière n'est pas de couvrir les frais,
mais de prévenir les abus. Le montant maximal a été fixé par le Conseil fédéral à 300francs.
Le maître de fichier public peut refuser ou restreindre la communication des renseignements
demandés si une loi le prévoit, les intérêts prépondérants d'un tiers l'exigent, un intérêt
public prépondérant le requiert (sûreté intérieure ou extérieure de la Confédération) ou le
déroulement d'une procédure d'instruction risque d'être compromis (art. 9 LPD). Le maître
de fichier privé peut également refuser ou restreindre le droit d'accès si une loi le prévoit, les
intérêts prépondérants d'un tiers l'exigent ou ses propres intérêts prépondérants le
requièrent, à condition que ces données ne soient communiquées à des tiers (art. 9 LPD).
4
Pour les médias, l'accès peut être restreint ou refusé dans un fichier servant exclusivement
d'instrument de travail personnel du journaliste. Il en va de même des fichiers utilisés
exclusivement pour la partie rédactionnelle d'un média à caractère périodique pour protéger
les sources, l'exclusivité d'une publication ou la libre formation de l'opinion publique (art. 10
LPD). Si, en prenant connaissance de données le concernant, l'intéressé constate en
particulier qu'elles sont inexactes ou que leur traitement est illicite, il peut requérir la
rectification ou la destruction des données litigieuses ou interdire leur communication (art.
15 LPD). Il est cependant des cas où ni l'exactitude, ni l'inexactitude d'une donnée ne peut
être établie. Le demandeur peut alors requérir que l'on ajoute à la donnée la mention de son
caractère litigieux.
La protection de la vie privée et les fournisseurs de services d'Internet
Les informations collectées sur la base des visites effectuées sur les sites Internet peuvent
servir à des études de marché et même être vendues à des tiers. Les fournisseurs de
services d'Internet doivent développer une politique en faveur de la protection de la
personnalité afin de répondre aux exigences légales (transparence, information, possibilité
de choix, sécurité, agrément de la personne concernée). Cette politique leur permettra du
reste de mettre en confiance leurs clients et les futurs utilisateurs. Les principales mesures à
prendre sont les suivantes:
1. Signaler en un endroit bien visible de l'offre à quelles dispositions légales de protection
des données cette offre est soumise. En outre, la pratique du site en la matière doit être
présentée dans un langage clair (déclaration de traitement de données sur Internet). Il
convient en particulier de dire quelles données vont être relevées et utilisées, et dans
quel but.
2. Donner à l'utilisateur la possibilité de limiter l'utilisation (par ex. s'il s'oppose à
l'élaboration de son profil de consommation) et la transmission des données le
concernant (par ex. à des fins publicitaires).
3. Selon la destination des données, prendre des mesures de sécurité garantissant
l'exactitude, l'intégralité et l'actualité des données (par ex. méthodes de codage et
d'authentification).
4. Enfin, mentionner la manière dont l'utilisateur peut faire valoir ses droits.
Vous trouverez des renseignements sur l'élaboration d'une déclaration de traitement de
données sur Internet dans le 7ème rapport d'activités 1999/2000 (p. 158) du Préposé fédéral
à la protection des données (PFPD). Ce rapport est disponible sur le site du PFPD
(www.edsb.ch).
Quelques conseils permettant aux utilisateurs de services d'Internet de préserver
leur vie privée
Internet permet d'accéder au niveau de la planète à des informations ou à des prestations.
En même temps qu'ils surfent sur le net, les utilisateurs (souvent à leur insu) fournissent des
données personnelles qui sont traitées, rassemblées, exploitées ou transmises à des tiers de
diverses manières. Or les lois nationales sur la protection des données ne sont applicables
que sur le territoire de l'Etat en question. Pour cette raison, en cas d'atteinte à la
personnalité, il est très difficile pour les personnes concernées de faire valoir leurs droits. Il
n'existe actuellement aucune convention internationale qui protégerait efficacement la
sphère privée sur Internet. Les utilisateurs devraient donc être particulièrement prudents
avant de permettre l'accès à leurs données personnelles. Nous avons rassemblé ci-dessous
quelques conseils permettant de mieux protéger la sphère privée sur Internet:
1. Sachez qu'en utilisant Internet, vos données personnelles sont relevées et enregistrées,
en partie à votre insu.
5
2. Assurez-vous d’abord que le traitement de données personnelles sur un site particulier
est soumis à des dispositions précises de protection des données. Certains prestataires
indiquent dans quel but les données sont relevées et quelle sera leur utilisation.
3. Ne communiquez vos données personnelles que si cela est indispensable.
4. Utilisez la dernière version des programmes de navigation qui offrent en général une
meilleure sécurité.
5. Ne transmettez jamais des données confidentielles non cryptées par Internet. Protégez
vos données (codage, signature digitale), si vous voulez garantir leur intégralité et leur
confidentialité. Vous pouvez charger gratuitement via Internet des logiciels qui
permettent de coder les données de manière sûre.
6. Si vous participez à des groupes de discussion et acceptez de figurer sur des listes de
participants, pensez que vos données, notamment votre adresse électronique sera
enregistrée pour longtemps et accessible à tous.
7. Vos données peuvent être réutilisées ou abusivement utilisées. Afin d'éviter cela, nous
vous recommandons de faire usage des outils d'anonymisation gratuitement disponibles
sur Internet.
8. Ne réglez aucune affaire via Internet si la structure n'est pas dotée d'un système de
sécurité.
9. Soyez toujours conscients que lorsque vous visitez les sites, vos destinations de
prédilection seront pour la plupart enregistrées. Afin de l'éviter, fuyez les offres qui ne
garantissent pas l'anonymat ou utilisez sinon les outils d'anonymisation.
Vous trouverez des informations pratiques dans le bulletin d'information n° 1/2000 (mars
2000) disponible sur le site du PFPD (www.edsb.ch).
Le cas de l'envoi de publicité non souhaitée par courrier électronique
Il est facile d’identifier et d’enregistrer une personne dans Internet par le biais de son
adresse électronique. Mais une adresse électronique peut aussi comporter d'autres
informations sur le destinataire comme son nom, son prénom, son lieu de travail et son
adresse personnelle. Grâce à ces renseignements sur la personne, et le cas échéant grâce
aussi à la participation des personnes concernées à des listes de distribution ou à divers
groupes de discussion, il est possible de cerner ses intérêts et d'établir ainsi un profil de sa
personnalité. Ces données peuvent être exploitées par des tiers et utilisées à d'autres fins,
par exemple pour l'envoi de publicité. Lorsqu'il s'agit d'un envoi conventionnel de publicité
par poste, on peut bloquer son adresse qui ne sera plus utilisée à des fins publicitaires (liste
Robinson ou étoile dans l'annuaire téléphonique). Les expéditeurs d'envois publicitaires sont
tenus dans ce cas de respecter le souhait d'une personne qui ne désire pas recevoir de
publicité. La situation est tout autre dans le cas du courrier électronique. Bien que l'adresse
soit valable dans le monde entier, il n'existe pas de liste centrale d'adresses où l'on pourrait,
si nécessaire, la faire bloquer. Il est donc difficile de se protéger du courrier électronique non
désiré. Aux désagréments crées par la publicité, s'ajoutent encore les taxes téléphoniques
qui sont à la charge de la personne concernée. Il convient donc de mettre en oeuvre les
moyens techniques adéquats pour protéger l'utilisateur du courrier électronique qu'il ne
désire pas et qui, en outre, implique pour lui des coûts. Certains serveurs mettent à la
disposition des utilisateurs des programmes contenant des filtres qui trient les messages
électroniques entrants. On peut ainsi fixer les conditions dans lesquelles le courrier
publicitaire est automatiquement effacé. Les filtres puissants dirigent eux-mêmes les envois
publicitaires dans la corbeille à papier. Là aussi, un inconvénient n'en demeure pas moins: la
publicité non désirée n'est reconnue qu'après avoir été chargée. Donc les frais de téléphone
demeurent. Il est possible de remédier à cet inconvénient lorsque le tri se fait déjà au niveau
du serveur. La messagerie électronique a donc «son prix». Il est en effet long et fastidieux de
se protéger des envois non souhaités. Mais, indépendamment des envois publicitaires non
souhaités, il n'est pas sans danger d'envoyer soi-même des données par courrier
6
1
/
6
100%
