La surveillance des télécommunications par les services secrets (CourEDH) (I/III)

CourEDH, 13.09.2018, Affaire Big Brother Watch et autres c. Royaume-Uni, requêtes nos. 58170/13, 62322/14 et 24960/15

En tant que telle, l’interception massive de communications n’excède pas la marge d’appréciation laissée aux Etats pour préserver leur sécurité nationale. Il n’est pas indispensable que la mise en œuvre d’une telle surveillance face l’objet d’un contrôle ex ante par une autorité indépendante. Les bases légales et la procédure nationales doivent cependant présenter une densité normative suffisante et garantir la proportionnalité.

Faits

À la suite des révélations d’Edward Snowden, plusieurs personnes physiques et morales contestent la conformité de la surveillance électronique déployée par les services secrets du Royaume-Uni au droit à la vie privée garanti par la CEDH (art. 8 CEDH).

Après avoir épuisé les voies de droit nationales, les requérants agissent devant la Cour européenne des droits de l’homme.

Dans ce contexte, la CourEDH examine la conventionnalité de trois types de surveillance : (I) l’interception massive de communications ; (II) le partage de renseignements avec les services secrets étrangers ; et (III) l’obtention de données de communications auprès de fournisseurs de télécoms.

Le présent résumé s’attache au premier de ces trois types de surveillance.

L’interception massive de communications consiste à intercepter un nombre indéterminé de communications pendant leur transmission (p.… Lire la suite

US Program : le transfert de données clients pseudonymisées

TF, 26.02.2018, 4A_365/2017

Les données pseudonymisées de façon à empêcher l’identification de la personne concernée ne constituent pas des données personnelles. Cela étant, il incombe à l’auteur de la pseudonymisation de prouver que l’identification est effectivement rendue impossible.

Faits

Dans le cadre du Joint Statement de 2013 destiné à mettre un terme au contentieux fiscal américain impliquant des banques suisses, une banque décide de participer au programme américain avec l’autorité fiscale américaine et le Département fédéral de la justice des États-Unis (DoJ) dans la catégorie 2, ce qui signifie qu’elle estime avoir violé le droit américain. Les banques de catégorie 2 sont notamment tenues de communiquer au DoJ diverses données relatives à tout compte lié aux États-Unis et clos pendant la période visée par le programme (Closed US Related Account), notamment le nom du relationship manager concerné, certaines informations concernant le trafic de paiements, ainsi que la nature de la relation entre le compte et la personne américaine (p. ex. qualité de cliente ou d’ayant droit économique de cette dernière) (liste II.D.2).

La liste II.D.2 ne contient en revanche aucune information permettant d’identifier directement le client, les données telles que le nom du client et le numéro de compte étant remplacées par des pseudonymes.… Lire la suite

La restriction arbitraire au droit d’accès LIPAD/GE

TF, 28.05.2018, 1C_642/2017

Le droit d’accès prévu aux art. 44 ss LIPAD/GE ne peut être restreint au motif que le document visé par la requête n’a pas trait à l’accomplissement d’une tâche publique. De même, une restriction à ce droit d’accès ne peut se fonder sur le fait qu’une demande de production de pièces visant le même document a été rejetée dans le cadre d’une procédure civile.

Faits

Dans le cadre de l’assainissement de la Banque cantonale de Genève (BCGE), la Fondation de valorisation des actifs de la BCGE (la Fondation) est créée en 2000 afin de gérer, valoriser et réaliser les actifs à risques transférés par la BCGE. À cette fin, en 2002, une Convention est conclue entre la Fondation et un débiteur, par laquelle la Fondation accepte un versement de 21 millions pour solde de tout compte.

En 2010, l’État de Genève, soit pour lui le Département des finances, succède à la Fondation. Le Département dénonce la créance reconnue dans la Convention et ouvre action à l’encontre du débiteur.

En dehors de toute procédure, le débiteur demande au Département l’accès à son dossier personnel et aux autres conventions conclues par la Fondation en se fondant sur la LIPAD.… Lire la suite

L’accès au dossier d’une procédure pénale clôturée

TAF, 19.04.2018, A-6356/2016

Le droit d’accès garanti par l’art. 8 LPD ne permet pas d’obtenir un accès complet au dossier en dehors d’une procédure pendante puisque ce droit ne vise que les données personnelles propres. Toutefois, l’art. 29 al. 2 Cst. permet à une personne d’avoir accès au dossier en dehors d’une procédure pendante si elle peut justifier d’une proximité particulière avec la cause.

Faits

Le 11 février 2016, la République démocratique du Congo (RDC) requiert du Ministère public de la Confédération (MPC) la consultation du dossier d’une procédure pénale classée en mars 2015. A l’appui de sa requête, la RDC précise qu’elle entend agir civilement contre les anciens prévenus, lesquels auraient extrait de l’or du sol congolais en violation du droit national et international afin de le faire raffiner en Suisse.

Le MPC rejette la demande au motif qu’elle constitue un abus de droit. En effet, selon le MPC, la RDC tenterait d’effectuer une fishing expedition afin de se procurer des preuves sur sa future partie adverse, ce qui contrevient au but de la LPD.

Suite à ce refus, la RDC dépose un recours devant le Tribunal administratif fédéral, lequel est amené à préciser le contenu du droit d’accès à un dossier en dehors d’une procédure pendante.… Lire la suite

Les réponses d’un examen et les annotations de l’examinateur sont des données à caractère personnel

CJUE, 20.12.2017, C-434/16

Les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel au sens de la Directive de l’UE sur la protection des données personnelles.

Faits

M. Nowak, ressortissant irlandais, échoue à l’examen professionnel de comptabilité. Il demande à l’ordre des experts-comptables l’accès à sa copie d’examen, ce qui lui est refusé. Après un échec devant le commissaire à la protection des données, M. Nowak voit sa requête rejetée par toutes les instances irlandaises jusqu’à la Supreme Court.

La Supreme Court décide de saisir la Cour de justice de l’UE afin que soit tranchée la question suivante : les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent-elles des données à caractère personnel au sens de la Directive de l’UE sur la protection des données personnelles ?

Droit

L’art. 2 (a) de la Directive 95/46/CE sur la protection des données personnelles prévoit que les données à caractère personnel correspondent à toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.… Lire la suite