Upload
edpoliteia
View
465
Download
0
Embed Size (px)
Citation preview
Présentation générale de la législation relative à la
protection des données à caractère personnel
Prof. Cécile de Terwangne, Professeure à l’UNamur Jean-Marc Van Gyseghem, Directeur d’Unité de
recherches au Crids et Avocat au Barreau de Bruxelles Namur - 2.10.2015
2
Notion de vie privée : propos introductifs
VP n’est pas exhaustive : elle inclut ce qui relève de l’intime, de la personnalité, de la vie familiale, de la santé,… VP est évolutive VP est plus large que celle d' « intimité » : elle
existe également dans le milieu professionnel VP englobe le droit pour l’individu de nouer et
développer des relations avec ses semblables VP englobe la maitrise des informations qui se
rapportent à soi
3
Vie privée / protection des données
But de la législation de protection des données: l’auto-détermination informationnelle = contrôle par chacun de ses informations à
caractère personnel Le droit à l’auto-détermination informationnelle est dérivé mais pas assimilé au droit à la vie privée:
- art. 7 et 8 Charte européenne des D.F.
4
Environnement européen
Le droit belge en matière de protection de la vie privée et de protection des données à caractère personnel doit être analysé au regard du droit international:
• Libertés fondamentales dont l’article 8 CEDH • Convention 108 du Conseil de l’Europe • Directive 95/46 du Parlement européen (engagées dans un processus de modernisation)
Politeia - Namur, 2.10.2015
5
Équilibre entre
- droit des « ficheurs » d’utiliser des données personnelles
- droit des « fichés » de contrôler ces utilisations
Protection des donnée à caractère personnel : objectif
Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel
Politeia - Namur, 2.10.2015
6
Notions de base
Donnée à caractère personnel art. 1er, § 1er
Toute information
Personne physique
Identifiée Identifiable
Politeia - Namur, 2.10.2015
7
Personne physique identifiable:
Art. 1er, § 1er de la loi: « est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »
Exposé des motifs: « prendre en compte l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre par le responsable du traitement ou par toute autre personne, pour identifier les sujets des données. »
In abstracto
Notions de base
Politeia - Namur, 2.10.2015
8
Traitement des données art. 1er, § 2 - Enregistrement
- Destruction
- Organisation - Modification - Consultation - Utilisation - Transmission - Diffusion - Interconnexion
- Collecte
Notions de base (suite)
Politeia - Namur, 2.10.2015
9
Notions de base (suite)
Responsable du traitement (art. 1er § 4)
- critère: celui qui détermine les finalités et les moyens
- personne physique ou morale, association de fait ou admin.
Sous-traitant (art. 1er § 5)
- doit être de qualité (art. 16, § 1er, 1°)
Politeia - Namur, 2.10.2015
10
• Fichiers (art. 1er § 3)
La loi s’applique aux:
• Traitements automatisés en tout ou en partie (art. 3 § 1er)
Champ d’application de la loi
Politeia - Namur, 2.10.2015
11
Champ d’application de la loi
Exclusion totale :
Traitements liés à des activités exclusivement personnelles ou domestiques (art. 3 § 2)
Politeia - Namur, 2.10.2015
12
Champ d’application de la loi
Exclusions partielles :
Traitements de données effectués à des fins de sécurité publique
Politeia - Namur, 2.10.2015
13
Champ d’application de la loi
Exclusions partielles :
Trait. effectués à des fins de journalisme ou d’expression littéraire et artistique
C.J.C.E., 16 décembre 2008, C-73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi oy et Satamedia oy
Politeia - Namur, 2.10.2015
14
Traitement de données à des fins de journalisme = ?
C.J.C.E., arrêt du 16 décembre 2008, (Tietosuojavaltuutettu c. Satakunnan markkinapörssi oy et Satamedia oy):
activités ‘aux seules fins de journalisme’ =
activités qui ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées
15
Champ d’application de la loi
Exclusions partielles :
Trait. effectués à des fins de police administrative
Commission bancaire, financière et des Assurances (CBFA) [FMSA (Financial Services and Markets Authority)]
AR du 29 avril 2009 portant exécution de l'article 3, § 5, 3°, de la loi du 8 décembre 1992 en ce qui concerne la CBFA
Politeia - Namur, 2.10.2015
16
Traitements gérés par le Service public fédéral Finances durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales
(loi du 3 aout 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions, ajoute un §7 à l’article 3 de la loi vie privée)
Champ d’application de la loi
Exclusions partielles (art. 10) :
17
Champ d’application territorial
- Lieu d’établissement fixe du responsable
- Recours à des moyens situés sur le territoire belge, dans le but de traiter des données personnelles
Exercice effectif et réel d’une activité au moyen d’une installation stable
Sauf le transit
Politeia - Namur, 2.10.2015
18
Enonciation du droit à la protection
« Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de sa vie privée » (art. 2)
19
Licéité du traitement des données
1. Collecte loyale et licite 2. Principe de finalité 3. Fondement légitime
20
Licéité du traitement des données
1. Données traitées loyalement et licitement (art. 4, 1°)
Transparence Respect des lois
Politeia - Namur, 2.10.2015
21
Licéité du traitement des données
Finalités de la collecte Légitimes
Déterminées et explicites
Utilisations compatibles
2. Principe de finalité (art. 4, 2°):
Précises Pas secrètes
Le but ne peut induire une atteinte disproportionnée aux intérêts des personnes
- Prévisions raisonnables des intéressés - Dispositions légales Politeia - Namur, 2.10.2015
22
Du principe de finalité découle:
Ce que l’on peut faire : ce qui est compatible avec la finalité annoncée Les données que l’on peut traiter : seulement les données pertinentes au vu de la finalité poursuivie La durée de conservation des données : tant que c’est nécessaire pour réaliser l’objectif
23
Utilisations pas compatibles
Cas particulier : Traitement ultérieur pour finalités historiques, statistiques ou scientifiques Politeia - Namur, 2.10.2015
24
Conséquences de l’incompatibilité
D’après la loi : Incompatibilité de la finalité secondaire entraîne blocage des données : elles ne peuvent être communiquées en vue de traitement à fins historiques, statistiques ou scientifiques sauf si nouveau traitement annonçant finalité statistique dès le départ Régime de l’arrêté royal : débloque données. Permet traitement à fins statistiques sans devoir tout recommencer mais respect régime de l’arrêté royal.
25
Finalités statistiques
Recommandation R(97)18 Conseil de l ’Europe : « toute opération de collecte et de traitement des données à caractère personnel nécessaires aux enquêtes statistiques ou à la production de résultat statistique » Exposé des motifs : « la statistique a pour objet l’analyse des phénomènes de masse…elle permet de tirer une affirmation générale d’une série d’observations systématiques » • vise donc données générales mais aussi
données individuelles • vise statistique publique et privée Politeia - Namur, 2.10.2015
26
Finalités scientifiques
Exposé des motifs rec. R(97)18: recherche scientifique vise à établir des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu’ils concernent
27
Traitement ultérieur
Ne vise donc pas traitement qui poursuit dès le départ une finalité statistique, scientifique ou historique
28
Finalités historiques
Rapport au Roi de l’AR du 13 février 2001: Traitements visant à analyser un événement passé ou à permettre cette analyse
29
Arrêté royal du 13.02.2001
Définitions: • Données anonymes: « les données qui ne
peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel »
• Données codées: « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code »
Politeia - Namur, 2.10.2015
30
Arrêté royal du 13.02.2001
Principes:
Politeia - Namur, 2.10.2015
Données anonymes
Données codées
Données non codées
31
Arrêté royal du 13.02.2001
• Interdiction d’entreprendre des actions de conversion de: • données anonymes en données à caractère
personnel • données codées en données à caractère
personnel non codées.
Politeia - Namur, 2.10.2015
32
Arrêté royal du 13.02.2001
Données codées: • Hypothèse 1a: pour le compte ou par le
responsable de traitement initial
Politeia - Namur, 2.10.2015
Responsable de traitement
33
Arrêté royal du 13.02.2001
Données codées: • Hypothèse 1b:
Politeia - Namur, 2.10.2015
Organisme intermédiaire
Sous-traitant Responsable de traitement
34
Arrêté royal du 13.02.2001
Données codées: • Hypothèse 2a:
Politeia - Namur, 2.10.2015
Traitement initial Traitement ultérieur
Responsable de traitement initial Tiers
35
Arrêté royal du 13.02.2001
Données codées: • Hypothèse 2b:
Politeia - Namur, 2.10.2015
Sous-traitant
Traitement initial Traitement ultérieur
Responsable de traitement initial Tiers
36
Arrêté royal du 13.02.2001
Données codées: • Hypothèse 3:
Politeia - Namur, 2.10.2015
Responsable de traitement
Traitement initial
Traitement ultérieur
Responsable de traitement initial
Tiers
37
Arrêté royal du 13.02.2001
• Conditions • pour hypothèses 2 et 3:
Responsable de traitement ultérieur doit présenter l’accusé de réception d’une déclaration complète;
Données codées: « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code »
Politeia - Namur, 2.10.2015
38
Arrêté royal du 13.02.2001
• pour données sensibles (uniquement?): Informations spécifique avant le codage:
l'identité du responsable du traitement ; les catégories de données à caractère personnel qui
sont traitées ; l'origine des données ; une description précise des fins historiques,
statistiques ou scientifiques du traitement ; les destinataires ou les catégories de destinataires
des données à caractère personnel ; Etc
Politeia - Namur, 2.10.2015
39
Arrêté royal du 13.02.2001
Données non codées: • Conditions
• Information de la personne concernée; • Consentement de la personne concernée
• Sauf: • données non codées:
rendues manifestement publiques par la personne concernée
qui sont en relation étroite avec le caractère public de la personne concernée ou des faits dans lesquels celle-ci est ou a été impliquée; ou
Politeia - Namur, 2.10.2015
40
Arrêté royal du 13.02.2001
• Impossibilité ou efforts disproportionnés et responsable de traitement s'est conformé à la procédure déterminée (déclaration ad hoc - article 21 de l’AR)
Politeia - Namur, 2.10.2015
41
Licéité du traitement des données (suite)
3. Fondement légitime
Art. 5 : 6 hypothèses légitimes
Politeia - Namur, 2.10.2015
42
Fondement du traitement (art. 5)
Consentement indubitable de la personne concernée • Libre • Éclairé • Spécifique (forme libre) Nécessaire au contrat ou à la négociation d’un contrat
43
Fondement du traitement (suite)
Nécessaire au respect d’obligations légales Nécessaire sauvegarde de l’intérêt vital Mission d’intérêt public/autorité publique Intérêt légitime du responsable du traitement pour autant que ne prévalent pas l’intérêt ou les droits et libertés de la personne concernée
44
Traitement catégories particulières de données
A. Données « sensibles » (art. 6) : révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à vie sexuelle.
B. Données relatives à la santé (art. 7) C. Données judiciaires (art. 8): relatives à suspicions, poursuites, condamnations pénales ou administratives
45
Principe: interdiction de traiter les données A+B
sauf si - consentement par écrit (! Pas pour employeur) - données manifestement publiques - associations à finalité politique, religieuse,... et pas de communication à des tiers - obligation légale (droit du travail) - permis par ou en vertu d’une loi, en vue de l’application de la sécurité sociale ou pour un motif d’intérêt public important … - aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé
Politeia - Namur, 2.10.2015
46
Principe: interdiction de traiter les données C
sauf si - sous contrôle autorité publique - si nécessaire exécution loi ou obligations réglementaires - gestion contentieux - avocats
Politeia - Namur, 2.10.2015
47
Précautions particulières
• désigner les catégories et fonctions des personnes ayant accès aux données
• lors de l’information, mentionner la base légale autorisant le traitement de données sensibles
• si consentement écrit, signaler les motifs du traitement de données sensibles et catégories de personnes ayant accès aux données
Politeia - Namur, 2.10.2015
48
La qualité des données
Adéquates, pertinentes et non excessives
Exactes et si nécessaire mises à jour
Conservation pendant période limitée
49
Droits de la personne concernée
Droit d’accès (art. 10) : sur demande. • Quoi ?
• confirmation que données sont ou non traitées • Données contenues à son sujet • origine • connaissance de la logique • Droit d’exercice des recours
• Exceptions : • Journalisme, expression littéraire ou artistique si
compromettrait publication
50
- Données relatives à la santé (art. 10 § 2) Choix du patient: accès direct OU par intermédiaire d’un professionnel Possibilité pour le responsable d’exiger un intermédiaire choisi par le patient
Droits de la personne concernée
Droit d’accès indirect
- Données traitées par la « police » (art. 13) Accès par la Commission de la protection de la vie privée
Politeia - Namur, 2.10.2015
51
Modalités d’exercice des droits (AR) : - Demande datée et signée sur place, par poste ou autre moyen télécommunication (e-mail) - Réponse dans 45 jours
Droit de rectification : rectification de toute donnée inexacte, ou suppression de donnée incomplète, non pertinente ou conservée pour durée trop longue par rapport à finalité poursuivie.
Droits de la personne concernée
Politeia - Namur, 2.10.2015
52
Droits de la personne concernée
Droit d’opposition (article 12) • Sur demande datée et signée, droit de
s’opposer: • Pour raisons sérieuses et légitimes • Sans justification en cas de traitements à fins
« direct marketing »
53
Droits de la personne concernée
Décision individuelle automatisée (article 12bis) • Ne pas être soumis à décision produisant effets
juridiques à l’égard d’une personne ou l’affectant de manière significative, prise sur seule fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité
• Exceptions : contrat ou disposition légale si garantie de sauvegarde des intérêts de la personne et de son point de vue.
54
Obligation d’informer (article 9) • De quoi?
• Au moins : identité resp. du traitement, finalités, droit de s’opposer au traitement à fins de « direct marketing »
• Information supplémentaire : existence droit d’accès et rectification, destinataires des données, caractère obligatoire ou facultatif de la réponse et conséquences défaut de réponse
Obligations du responsable
55
Obligation d’informer (suite) • Quand?
• Lors de la collecte si collectées auprès de la personne concernée
• Lors de l’enregistrement ou de la communication
• Exceptions : article 9§2 • Impossible ou efforts disproportionnés
(+justification) (! Si contact plus tard) • Application d’une disposition légale
Obligations du responsable
56
Sécurité et confidentialité (art. 16, §§2-3)
Obligations du responsable
• faire diligence pour tenir les données à jour • limiter l’accès du personnel aux seules données nécessaires • mettre le personnel au courant de la législation personnel tenu à obligation de confidentialité
Politeia - Namur, 2.10.2015
57
Obligations du responsable
Mesures techniques et organisationnelles requises pour protéger les données • En tenant compte de l’état de la technique, • des frais • et de la nature des données à protéger
Sécurité et confidentialité (art. 16, § 4)
58
Obligations du responsable
• Choix du sous-traitant et garanties contractuelles - choix d’un s-t qui offre garanties suffisantes quant à sécurité - contrat doit fixer responsabilité du sous-traitant et indiquer que s-t ne peut agir que sur instructions du responsable
Sécurité et confidentialité (art. 16, § 1er)
Politeia - Namur, 2.10.2015
59
Obligations du responsable
Déclaration du traitement automatisé auprès de CPVP (ex.: http://www.privacycommission.be/fr)
Traitement ou ensemble de traitements ayant même finalité ou finalités liées
Quand (art. 17 § 1) Contenu (art. 17) Contribution financière (A.R.) Registre public (art. 18)
Arrêté royal prévoit dispenses (art. 51 à 62) mais jamais pour données sensibles.
Déclaration
60
Sanctions et recours
Sanctions pénales (art. 39) Recours : • Plainte CPVP
• Recours judiciaires
Médiation Dénonciation au Procureur du Ro
61
Recours (suite)
Recours judiciaires
• Les recours traditionnels : - en cessation devant le président du
Tribunal de commerce - Tribunal civil - Tribunal pénal - Tribunal du travail
• Le recours particulier de l’article 14: le président du tribunal de 1ère instance siégeant comme en référé pour, et uniquement pour, les droits subjectifs accordés à la personne concernée par la loi de 1992.
62
Merci de votre attention
Chercheuse au CRIDS et avocat chez Crosslaw
Les saisies de matériel et de données informatiques
Bénédicte Losdyck
2 octobre 2015
2
Saisies & Vie privée
! Matériel informatique susceptible de contenir • des données à caractère personnel • des données couvertes par le secret professionnel
! Saisir du matériel ou des données informatiques constitue une ingérence dans la vie privée :
ü « La fouille et la saisie de données électroniques s’analysent en
une ingérence dans le droit au respect de la « vie privée » et de la « correspondance » (CEDH, Sallinen et autres c. Autriche, 27 septembre 2005)
3
Saisies & Vie privée
! Atteinte au droit au respect de la vie privée consacré à l’article 8 CEDH et à l’article 22 de la Constitution Ø Du saisi Ø Du tiers impacté indirectement par la saisie
! Atteinte au principe de l’inviolabilité du domicile
consacré à l’article 15 de la Constitution
4
Saisie & Vie privée
! Droit au respect de la vie privée pas absolu (article 8§2 CEDH)
! Ingérence tolérée si:
• Elle est prévue par la loi • Elle poursuit un but légitime • Elle est nécessaire dans une société démocratique
5
PLAN
! Les différents types de saisies • Pénales
• La saisie pénale de données informatiques • L’extension de recherche dans un autre système informatique
• Civiles • La saise mobilière • La saisie-description • La saisie ordonnée sur la base de l’article 584,al 3 du Code
judiciaire
! Les garde-fous visant à protéger le saisi • Lors de l’octroi de la mesure • Lors de l’exécution de la mesure • Lorsque la mesure prend fin
6
Les types de saisies
! La saisie de données informatiques • En matière pénale (art. 39bis CICr) • MP a le droit de saisir des données et du matériel
informatiques pouvant servir à la manifestation de la vérité (copie, blocage, saisie du support)
! L’extension de la recherche dans un autre système informatique (art. 88ter CICr) • Exemple: cloud
! Cass, 11 février 2015: « l’exploitation d’un téléphone portable est une mesure découlant de la saisie »
7
Les types de saisies
! La saisie mobilière • Conservatoire
• Rend indisponibles les biens saisis • But: empêcher le débiteur d’en disposer au
détriment de ses créanciers • Caractère purement conservatoire
• Exécution • Mise sous la main de la justice de biens
meubles en vue de faire procéder à leur vente • But: obtenir le paiement de ce qui est dû
8
Les types de saisies
! La saisie-description
• Spécifique à la matière des droits de propriété intellectuelle (PI)
• But: permet au titulaire d’un droit de PI de rechercher et de rapporter la preuve d’une atteinte à son droit grâce à une expertise
• Possibilité d’obtenir l’indisponibilité de certains objets (saisie-réelle)
9
Les types de saisies
! La saisie ordonnée sur la base de l’article 584, al.3 du Code judiciaire
• Permet au juge d’ordonner en référé toutes mesures nécessaires à la sauvegarde des droits de ceux qui ne peuvent y pourvoir
• Sur simple requête en cas d’urgence et d’absolue
nécessité
• En pratique, des saisies informatiques sont fréquemment permises sur cette base
10
« Nous, X, Président du tribunal {…} ; Déclarons la demande recevable et fondée dans la mesure ci-après précisée ; Ordonnons à X de remettre conformément à la présente ordonnance, à l’huissier de justice instrumentant tout le matériel informatique (notamment les ordinateurs, I-pads, DVD, Cd rom, clés USB, serveurs, BlackBerry, et autres téléphones mobiles) dont il est détenteur à son domicile ainsi que tous les écrits relatifs à la requérante et ses affaires dont il est détenteur à son domicile, sous peine d’une astreinte de 1.000 euros par jour de retard ; Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout autre endroit où se trouverait du matériel informatique, sous peine d’astreinte de 1.000 euros par jour de retard ;
11
Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout mot de passe et toutes données utiles de connexion à son adresse e-mail privée et au matériel précité, sous peine d’une astreinte de 1.000 euros par jour de retard ; Autorisons l’huissier de justice instrumentant à saisir tout le matériel informatique et condamnons X à remettre tous ses écrits et affaires présents à son domicile et à tout autre endroit; Autorisons l’huissier instrumentant à conserver les biens saisis en exécution de la présente ordonnance et disons qu’il les remettra à l’expert désigné ; Autorisons l’expert à pénétrer dans le domicile de X afin d’exécuter la présente ordonnance ; Autorisons l’huissier de justice instrumentant à avoir recours à l’assistance de la force publique afin d’assurer l’exécution de la présente ordonnance
12
En pratique
! Constats:
• Saisies informatiques de plus en plus fréquentes
• Impact important pour l’individu ou la société qui en fait l’objet
• Mesures très larges accordées • Usage détourné des mesures de saisies • Problème d’indépendance de l’expert désigné
13
Les garde-fous visant à protéger le saisi
! Lors de l’octroi de la mesure ! Lors de l’exécution de la mesure ! Lorsque la mesure prend fin
Et distinction entre les garanties légales et jurisprudentielles
14
Les garde-fous visant à protéger le saisi
! Lors de l’octroi de la mesure
• Les garanties légales • Requête motivée • Juge spécifique • Nécessité de remplir des conditions strictes propres à
chaque type de saisie • Respect du principe de proportionnalité
15
• Les garanties émanant de la jurisprudence
• Soupçons raisonnables doivent exister § En Belgique:
ü Cour d’appel de Mons, 26 avril 2010 ü Cass, 25 novembre 2011
§ En Europe: ü CEDH, André et autres c. France, 24 juillet 2008 ü CEDH, Robathin c. Autriche, 3 juillet 2012 ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015
16
• Mandat/ordonnance doit avoir une portée limitée et être rédigé en termes précis § En Belgique:
ü Cour d’appel de Liège, 13 novembre 2006
§ En Europe: ü CEDH, Van Rossem c. Belgique, 9 décembre 2004 ü CEDH, Ilya Stefanov c. Bulgarie, 22 mai 2008 ü CEDH, Robathin c. Autriche, 3 juillet 2012 ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015
17
Les garde-fous visant à protéger le saisi
! Lors de l’exécution de la mesure
• Les garanties légales • Devoir d’information de la personne concernée
• Choix de la méthode (mise sous scellé ou simple copie?) • Etablissement d’un inventaire/procès-verbal
• Respect des limites du mandat ou de l’ordonnance
• Si documents couverts par le secret professionnel, des garanties spéciales s’appliquent ü Ex: saisie chez un avocat/médecin en présence d’un
membre de l’ordre
18
• Les garanties émanant de la jurisprudence
• Saisie massive et indifférenciée interdite • En Belgique:
ü Cour d’appel de Liège, 13 novembre 2006 ü Cass, 22 janvier 2015
• En Europe: ü CEDH, Miailhe c. France, 25 février 1993, §39 ü CEDH, Yudiskaya et autres c. Russie, 12 février 2015 ü CEDH, Vinci Construction et GTM Génie civil c. France,
2 avril 2015
19
• Secret professionnel et protection de la vie privée
• En Europe:
ü CEDH, Wieser and Bicos c. Autriche, 16 octobre 2007 ü CEDH, André et autres c. France, 24 juillet 2008 ü CEDH, Vinci construction et GTM Génie civil c. France,
2 avril 2015 ü CEDH, Sérvulo et associés c. Portugal, 3 septembre
2015
20
Les garde-fous visant à protéger le saisi
! Lorsque la mesure prend fin
• Les garanties légales • Assurer l’intégrité, la préservation et la confidentialité des données (MP, expert) • Exercice d’un droit de recours effectif • Restitution/déblocage du matériel ou des données
21
• Les garanties émanant de la jurisprudence
• Durée de conservation du matériel - Restitution ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008 ü CEDH, Sérvulo et associés c. Portugal, 3 septembre
2015
• Répercussion possible sur le travail ou la réputation de la personne concernée ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008
22
Deux arrêts récents de la CEDH
! L’arrêt Vinci construction et GTM Génie civil et l’arrêt Sérvulo et associés:
• Saisies de matériel et documents électroniques • Impliquant de la correspondance échangée entre
l’avocat et son client • Décision de la Cour divergente
• Vinci construction : Violation article 8 CEDH • Sérvulo et associés : Non-violation article 8 CEDH
• Analyse du raisonnement de la Cour et des différences entre les deux arrêts
23
Raisonnement
! Respect du principe de proportionnalité • La législation et la pratique interne apportent-elles aux
individus des garanties adéquates et effectives contre les abus?
• En l’espèce, l’ingérence litigieuse était-elle proportionnée au but recherché?
• Circonstances dans lesquelles le mandat a été émis ü Éléments de preuve disponibles à l’époque ü Contenu et étendu du mandat
• Manière dont la perquisition a été menée ü Présence ou non d’observateurs indépendants?
• Étendue des répercussions possibles sur le travail et la réputation
• Existence d’un contrôle efficace des mesures attentatoires à la vie privée?
24
Conclusion
q Rôle du juge : q n’ordonner que les mesures nécessaires à la
réalisation du but poursuivi q et vérifier qu’il n’existe pas de méthode moins
attentatoire aux droits des personnes concernées
q Rôle de l’expert: q conserver son indépendance, q circonscrire son expertise (mots clés limités,…) q et préserver la confidentialité et l’intégrité des
informations
25
q Rôle de l’huissier: q informer le saisi et q dresser les procès-verbaux q en y incluant les éventuelles contestations
q Rôle du saisi: q classer, q archiver, q supprimer q et répertorier ses documents
2
PLAN
Quelques propos introductifs concernant le droit au respect de la vie privée sur le lieu du travail et la réglementation de la problématique L’utilisation des TIC dans le contrôle/la surveillance le travailleur: • Le cas de l’internet ou de l’e-mail • Le téléphone • Le cas du disque dur ou autre support (cd-rom) • La géolocalisation
Sanctions en cas de non-respect de la règlementation • La problématique de la recevabilité de la preuve • Les autres sanctions
4
Introduction
La reconnaissance d’une vie privée au travail (CEDH Niemietz/Allemagne, 16 décembre 1992) : Le droit à la vie privée peut être invoqué par le travailleur dans les locaux professionnels et même lorsque le travailleur utilise les outils de l’employeur (voy. ég. Cour eur. D.H., Arrêt Halford c. Royaume-Uni, 25 juin 1997 ; Cour eur. D.H., arrêt Copland, 3 avril 2007)
Dilution du terrain professionnel : difficultés de tracer une frontière entre vie privée et vie professionnelle Nécessité de rechercher un équilibre entre le pouvoir de surveillance de l’employeur et la vie privée du travailleur
5
Quelques particularités de la vie privée en droit du travail
• Il existe de nombreuses règles spécifiques de
protection de la vie privée. La conjonction de ces nombreuses règles est malaisée.
• En dehors de ces règles, il faut recourir aux principes généraux issus de l’interprétation de l’article 8 CEDH.
• Application horizontale de l’article 8 CEDH.
6
• Règlementation de différentes problématiques par le recours à des conventions collectives de travail du fait de l’autonomie des partenaires sociaux • Exclusion de l’autorité publique • Problématique de la hiérarchie des sources dans le cas
où il faut une loi pour faire une ingérence dans la vie privée
• Problématique de consentement du travailleur
dans un contrat inégalitaire. Questions spécifiques du contrat de travail et du règlement de travail.
8
Quelques constats préalables
Focalisation de la jurisprudence et de la doctrine sur l’aspect « surveillance » et non «gestion » L’utilisation des NTIC comme outils de travail et outils de contrôle : différents cas de figure Distinction entre le contrôle a priori et a posteriori
9
NTIC et droit respect la vie privée
Droit au respect de la vie privée de l’article 8 CEDH Il ne peut y avoir d’ingérence dans la vie privée d’une personne sauf lorsque celle-ci est prévue par une « loi », pour un objectif prévu à l’article 8 de la CEDH (dont la protection des droits et libertés d’autrui) et que l’ingérence n’est pas disproportionnée
Droit à la protection des données à caractère personnel On ne peut traiter des données relatives à des personnes physiques que dans les conditions fixées par la loi
Secret des communications électroniques Sauf exceptions prévues par la loi, un tiers à une communication électronique ne peut pas prendre connaissance de l’existence de l’information transmise ou des données de communications, ni les stocker, sans l’accord de toutes les personnes concernées par la communication
10
NTIC et droit respect la vie privée
Critère des attentes raisonnables en matière de vie privée CEDH, voy. not. Arrêts Peev, 26 juillet 2007 et Alford, 25 juin 1997) : L’intéressé peut-il raisonnablement s’attendre à voir respecter sa vie privée ? (Cour de cassation, 9 septembre 2008)
Droit au respect de la vie privée n’est pas absolu :
Ingérences possibles : critères de légalité, finalité et proportionnalité
11
Surveillance et droit respect la vie privée
Surveillance et NTIC devant la Cour.eur.D.H. : Arrêt Köpke c. Allemagne du 5 octobre 2010 [Cas d’une vidéosurveillance par détective privé pour établir
des vols commis par une caissière] • Mise en balance du droit au respect de la vie privée du travailleur
v. droit de propriété de l’employeur / intérêt public de la bonne administration de la justice
• Mise en balance peut et doit évoluer dès lors que les techniques de surveillance deviennent plus intrusives
12
Principes de l’article 8 CEDH Légalité Finalité
Proportionnalité Principes en matière de contrôle
Transparence Finalité (légitime) Proportionnalité
14
Contrôle a priori
• Marge de manœuvre de l’employeur • L’employeur peut-il interdire tout usage à des fins
privées ou certains actes (téléchargement)? controverse
• L’employeur peut permettre un usage exceptionnel, marginal ou limité à certaines périodes de la journée
• L’employeur peut interdire l’accès à certains sites • L’employeur peut assortir l’usage de la messagerie à
certaines conditions (suppression de la signature de l’entreprise, identification des e-mails privés, usage d’une boîte e-mail privée).
essentiellement une question d’opportunité
15
Comment mettre en place un contrôle a priori? réglementer dans le respect du cadre légal
applicable (cf. C.C.T. n°81) • Comment? Par exemple en insérant un chapitre sur ce
thème dans le contrat de travail, dans le règlement de travail, dans une charte ad hoc.
• Que réglementer? Ce qui est permis / interdit; imposer des modalités d’utilisation.
• Intérêt ? Transparence, éventuelle concertation, avertissement.
16
Contrôle a priori
Par le biais de dispositifs techniques Par exemple: logiciels bloquant l’accès à certains sites
dans le respect des règles applicables concernant les communications électroniques (L. 13 juin 2005 sur les communications électroniques, art. 122).
17
Contrôle a posteriori
Ce n’est pas parce que l’employeur a interdit l’usage de l’outil mis à disposition du travailleur à des fins privées que cela lui confère un libre accès aux données et documents du travailleur !!!
!
18
Contrôle a posteriori
Cadre légal de référence : • Dispositions légales protégeant la vie privée
• Article 8 C.E.D.H. et 22 Constitution • Articles 124 et 125 L. 13 juin 2005 sur les
communications électroniques • Article 314bis C.P. • L. 8 décembre 1992
• Dispositions légales instaurant un pouvoir de contrôle de l’employeur • Articles 16 et 17 de la loi sur le contrat de travail
• Le texte du compromis • C.C.T. n°81
19
Le secret des communications électroniques
Sans le consentement des personnes parties à la communication : • Pas d’interception durant la communication – vise le
contenu de la communication (art. 314bis et 259bis Code pénal)
• Pas de prise de connaissance de :
• L’existence d’une information transmise, • De l’identité des personnes parties à la communication • Des données de communications • Et … pas de stockage de ces informations…
20
Le secret des communications électroniques
Art. 124 de la LCE :
« S'il n'y est pas autorisé par toutes les personnes directement ou indirectement concernées, nul ne peut :
1° prendre intentionnellement connaissance de l'existence d'une information de toute nature transmise par voie de communication électronique et qui ne lui est pas destinée personnellement;
2° identifier intentionnellement les personnes concernées par la transmission de l'information et son contenu;
3° sans préjudice de l'application des articles 122 et 123 prendre connaissance intentionnellement de données en matière de communications électroniques et relatives à une autre personne;
4° modifier, supprimer, révéler, stocker ou faire un usage quelconque de l'information, de l'identification ou des données obtenues intentionnellement ou non »
21
Étendue de la protection
Requiert une « intention » pour les actes visés aux al. 1, 2 et 3 de l’article 124 de la LCE La jurisprudence distingue la prise de connaissance
«fortuite» des «démarches actives» pour prendre connaissance d’une communication
Applicable à toutes les communications privées (><publiques), en ce inclus les communications professionnelles Protection des données de communication et du contenu (voy. Cass., 1er octobre 2009, RG C.08.0064.N)
Pas d’exceptions spécifiques dans le contexte des relations de travail
22
Exceptions
Art. 125 de la LCE: • lorsque la loi permet ou impose l'accomplissement des
actes visés • lorsque les actes visés sont accomplis dans le but exclusif
de vérifier le bon fonctionnement du réseau et d'assurer la bonne exécution d'un service de communications électroniques
• lorsque les actes sont accomplis dans le seul but d'offrir des services à l'utilisateur final consistant à empêcher la réception de communications électroniques non souhaitées (spamming), à condition d'avoir reçu l'autorisation de l'utilisateur final à cet effet.
23
Exceptions
Commentaire de l’article 128, §1er de la LCE:
• Ce qui est permis : l’enregistrement du contenu et des données de communications
• Conditions : • Finalité = comme preuve d'une transaction commerciale ou
d'une autre communication professionnelle • Information préalable de toutes les parties à la
communication à tout le moins sur : Le principe de l’enregistrement, les objectifs précis de ce dernier la durée de stockage de l'enregistrement
• Durée de conservation limitée
24
Conclusions provisoires
• Pas de distinction entre e-mail professionnel
ou privé • Pas de prise de connaissance par un tiers, en
ce inclus «l’employeur » sans le consentement de toutes les parties à la communication distinction entre :
connexions internet: on peut envisager d’obtenir le consentement des travailleurs
e-mails : difficile d’obtenir le consentement de tiers
25
Règles du contrôle définies dans une Convention collective de travail n°81
Champ d’application limité :
• Secteur privé • Uniquement les données de communications et pas
le contenu des communications données de communication électroniques en réseau = les données relatives
aux communications électroniques transitant par réseau, entendues au sens large et indépendamment du support par lequel elles sont transmises ou reçues par un travailleur dans le cadre de la relation de travail.
Distingue e-mails privés et professionnels >< article 124 LCE (C.T. Anvers (sect. Anvers), 15
décembre 2004, Chr.D.S.., 2006, p. 146)
27
Principes clés
finalité (art. 5) finalités définies dans la C.C.T. 1. la prévention de faits illicites ou diffamatoires, de faits
contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ;
2. la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires ;
3. la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise ;
4. le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise (cf contrôle a priori).
28
Principes clés
proportionnalité (art. 6 et 14) exclut les contrôles permanents ou le contrôle immédiat sur des données individualisées Transparence (art. 7-8 et 15-16) informer les travailleurs au préalable sur les
contrôles dont il peut faire l’objet (finalités, modalités, personnel concerné, identification et prérogatives du personnel de surveillance etc.)
Procédure de la sonnette d’alarme pour la
finalité 4
29
MAIS quid de la légalité ? CCT en >< secret des communications
électroniques Il faut le consentement de toutes les
personnes parties à la communication pour prendre connaissance de celle-ci et des données de communication
30
Conséquences
Conséquence d’un non-respect des règles d’utilisation de l’e-mail et de l’internet • Possibilité de prévoir des sanctions dans le
règlement de travail • Motif grave? Appréciation au cas par cas
31
Etats des lieux
Jurisprudence hétérogène Quelques constats par rapport à la jurisprudence récente : • Prépondérance donnée aux principes de l’article 8 CEDH et
à la CCT n°81 • Distinction selon que la messagerie est accessible à
plusieurs personnes ou non • Distinction selon que le courrier électronique est ou non
professionnel • Distinction selon le caractère fortuit ou non de la prise de
connaissance des données A noter : la CPVP a revu sa position sur le sujet (Recommandation n°08/2012)
33
Contrôle de l’usage du téléphone
Il s’agit d’un type de communication électronique Interdiction d’écouter / d’enregistrer les communications lorsqu’on est
tiers à la communication, sans le consentement de toutes les parties Exception : call centers (article 128, § 2 LCE) Quid des données d’appel ? Voir Gand, 12 mai 2014, RG 2013/AG/269: le
travailleur doit raisonnablement s’attendre à ce que les données de facturation soient contrôlées par l’employeur
Quid d’un enregistrement auquel on est partie? Voy. Arrêt de la Cass. 9 novembre 2008, RG P.08.276.N Pas illicite per se Mais peut constituer une violation de l’article 8 CEDH suivant les
circonstances de la cause Nécessité d’examiner quelles étaient les attentes raisonnables de
l’autre partie
35
Contrôle du contenu du disque dur / d’un CD-Rom
Décisions affirmant le principe de l’application du droit au respect de la vie privée : • Articles 8 de la CEDH et 22 Constitution • Loi du 8 décembre 1992 En infèrent not. l’exigence d’une information préalable
Certaines décisions prennent en considération le fait que le document est ou non identifié comme privé
Pour un cas de prise de connaissance du contenu d’un CD-Rom, voy. CT Liège, 20 septembre 2010, RG 2007/AL/34.907
37
Contrôle par le biais de la géolocalisation
Jurisprudence en matière de géolocalisation des véhicules • Application de l’article 8 CEDH (voy. également Cour.
Eur. D.H., affaire Uzun c. Allemagne, 2 septembre 2010, en matière pénale)
• De la loi du 8 décembre 1992 (dans un arrêt de CT Gand, 14 octobre 2011, JT, 2012, p. 190)
Appréciation variable en jurisprudence de la rencontre des exigences de transparence, finalité et proportionnalité
39
Recevabilité de la preuve
• Contexte de la problématique • Admissibilité des preuves dans les litiges
sociaux (article 12 L. du 3 juillet 1978)
• La question de la licéité des preuves
40
Recevabilité de la preuve
Objet de la problématique : Quel sort réserver à une preuve illicitement recueillie? Dédoublement du débat A la question de la savoir quand une preuve est illicite…
Renvoie à question de la violation du droit au respect de la vie privée, du secret des communications électroniques, d’une CCT, de la loi du 8 décembre 1992, etc.
…. S’ajoute celle de savoir si la preuve illicite peut être prise en compte par le juge
41
Evolution de la jurisprudence
Evolution de la jurisprudence de la Cour de cassation Arrêt « Antigone » du 14 octobre 2003 rendu en matière pénale et mettant fin au principe de l’écartement « automatique » de la preuve illicite
Renversement du principe de l’écartement des preuves :
« La circonstance qu'un élément de preuve a été obtenu irrégulièrement a, en règle, uniquement pour conséquence que le juge lorsqu'il forme sa conviction, ne peut prendre cet élément en considération ni directement ni indirectement : - soit lorsque le respect de certaines conditions de forme est prescrit à peine de nullité ; - soit lorsque l'irrégularité commise a entaché la fiabilité de la preuve ; - soit lorsque l'usage de la preuve est contraire au droit à un procès équitable »
42
Jurisprudence « Antigone »
Application en matière civile? Evolution de la question : Opposition des juridictions de fond à l’application en
matière civile, principalement suite à l’arrêt « Manon » du 2 mars 2005
Arrêt de la Cour de cassation du 10 mars 2008 (litige ONEM)
« Validation » de la jurisprudence par la Cour.eur.DH (arrêt « Lee Davies » du 28 juillet 2009 et par la C. constitutionnelle (arrêt 22 décembre 2010))
Application par les juridictions de fond en matière civile mais arrêts refusant cette application : C.T. Bruxelles, 7 février 2013, RG 2012/AB/1115; C.T. Liège (Div. Liège), 6 février 2015, RG 2013/AL/392
43
Incidence sur le droit au respect de la vie privée
Les critères Antigone ne font dans la plupart des cas pas obstacle à l’écartement d’une preuve obtenue en violation du droit au respect de la vie privée
Car : - Il n’y pas de sanction prévue à peine de nullité - Il n’y pas de problème de fiabilité / crédibilité de la
preuve - Il n’y a pas de non-respect du droit à un procès
équitable : not. la violation de l’article 8 CEDH n’implique pas en soi la violation d’un droit au procès équitable mise en balance des droits et intérêts en présence?
44
Appréciation critique
Avantages de la jurisprudence Antigone: • Donne la prépondérance à la manifestation de la
vérité • Dans le contexte de la cybersurveillance,
contrebalance le caractère parfois perçu comme trop rigide ou complexe des contraintes légales en la matière
Aspects critiquables : • Déforce le droit au respect de la vie privée • Pertinence des critères retenus pour écarter les
preuves • Insécurité juridique
45
Autres sanctions
Sanctions civiles (dommages et intérêts pour violation de la vie privée)
Sanctions pénales (L. 8 décembre 1992, L. 13 juin 2005, etc.)
46
Conclusions
Caractère tentaculaire des incidences des nouvelles technologies sur le droit du travail (sur le plan juridique mais aussi technique, sociologique, organisationnel, …) Evolution constante des problématiques Relative inadéquation du droit par rapport aux réalités du terrain en matière de contrôle des e-mails et de l’internet
46
1
Vous n’avez pas pu participer à la journée d’étude ?
Découvrez le livre Vie privée et données à caractère personnel