Journée d'étude (02.10) - La justice et la protection des données à caractère personnel

1

2 octobre 2015

Présentation générale de la législation relative à la

protection des données à caractère personnel

Prof. Cécile de Terwangne, Professeure à l’UNamur Jean-Marc Van Gyseghem, Directeur d’Unité de

recherches au Crids et Avocat au Barreau de Bruxelles Namur - 2.10.2015

2

Notion de vie privée : propos introductifs

VP n’est pas exhaustive : elle inclut ce qui relève de l’intime, de la personnalité, de la vie familiale, de la santé,… VP est évolutive VP est plus large que celle d' « intimité » : elle

existe également dans le milieu professionnel VP englobe le droit pour l’individu de nouer et

développer des relations avec ses semblables VP englobe la maitrise des informations qui se

rapportent à soi

3

Vie privée / protection des données

But de la législation de protection des données: l’auto-détermination informationnelle = contrôle par chacun de ses informations à

caractère personnel Le droit à l’auto-détermination informationnelle est dérivé mais pas assimilé au droit à la vie privée:

- art. 7 et 8 Charte européenne des D.F.

4

Environnement européen

Le droit belge en matière de protection de la vie privée et de protection des données à caractère personnel doit être analysé au regard du droit international:

• Libertés fondamentales dont l’article 8 CEDH • Convention 108 du Conseil de l’Europe • Directive 95/46 du Parlement européen (engagées dans un processus de modernisation)

Politeia - Namur, 2.10.2015

5

Équilibre entre

- droit des « ficheurs » d’utiliser des données personnelles

- droit des « fichés » de contrôler ces utilisations

Protection des donnée à caractère personnel : objectif

Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel


6

Notions de base

Donnée à caractère personnel art. 1er, § 1er

Toute information

Personne physique

Identifiée Identifiable


7

Personne physique identifiable:

Art. 1er, § 1er de la loi: « est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »

Exposé des motifs: « prendre en compte l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre par le responsable du traitement ou par toute autre personne, pour identifier les sujets des données. »

In abstracto

Notions de base


8

Traitement des données art. 1er, § 2 - Enregistrement

- Destruction

- Organisation - Modification - Consultation - Utilisation - Transmission - Diffusion - Interconnexion

- Collecte

Notions de base (suite)


9

Notions de base (suite)

Responsable du traitement (art. 1er § 4)

- critère: celui qui détermine les finalités et les moyens

- personne physique ou morale, association de fait ou admin.

Sous-traitant (art. 1er § 5)

- doit être de qualité (art. 16, § 1er, 1°)


10

• Fichiers (art. 1er § 3)

La loi s’applique aux:

• Traitements automatisés en tout ou en partie (art. 3 § 1er)

Champ d’application de la loi


11


Exclusion totale :

Traitements liés à des activités exclusivement personnelles ou domestiques (art. 3 § 2)


12


Exclusions partielles :

Traitements de données effectués à des fins de sécurité publique


13



Trait. effectués à des fins de journalisme ou d’expression littéraire et artistique

C.J.C.E., 16 décembre 2008, C-73/07, Tietosuojavaltuutettu c. Satakunnan Markkinapörssi oy et Satamedia oy


14

Traitement de données à des fins de journalisme = ?

C.J.C.E., arrêt du 16 décembre 2008, (Tietosuojavaltuutettu c. Satakunnan markkinapörssi oy et Satamedia oy):

activités ‘aux seules fins de journalisme’ =

activités qui ont pour seule finalité la divulgation au public d’informations, d’opinions ou d’idées

15



Trait. effectués à des fins de police administrative

Commission bancaire, financière et des Assurances (CBFA) [FMSA (Financial Services and Markets Authority)]

AR du 29 avril 2009 portant exécution de l'article 3, § 5, 3°, de la loi du 8 décembre 1992 en ce qui concerne la CBFA


16

Traitements gérés par le Service public fédéral Finances durant la période dans laquelle la personne concernée est l'objet d'un contrôle ou d'une enquête ou d'actes préparatoires à ceux-ci effectués par le Service public fédéral Finances dans le cadre de l'exécution de ses missions légales

(loi du 3 aout 2012 portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions, ajoute un §7 à l’article 3 de la loi vie privée)


Exclusions partielles (art. 10) :

17

Champ d’application territorial

- Lieu d’établissement fixe du responsable

- Recours à des moyens situés sur le territoire belge, dans le but de traiter des données personnelles

Exercice effectif et réel d’une activité au moyen d’une installation stable

Sauf le transit


18

Enonciation du droit à la protection

« Lors du traitement de données à caractère personnel la concernant, toute personne physique a droit à la protection de ses libertés et droits fondamentaux, notamment à la protection de sa vie privée » (art. 2)

19

Licéité du traitement des données

1. Collecte loyale et licite 2. Principe de finalité 3. Fondement légitime

20


1. Données traitées loyalement et licitement (art. 4, 1°)

Transparence Respect des lois


21


Finalités de la collecte Légitimes

Déterminées et explicites

Utilisations compatibles

2. Principe de finalité (art. 4, 2°):

Précises Pas secrètes

Le but ne peut induire une atteinte disproportionnée aux intérêts des personnes

- Prévisions raisonnables des intéressés - Dispositions légales Politeia - Namur, 2.10.2015

22

Du principe de finalité découle:

Ce que l’on peut faire : ce qui est compatible avec la finalité annoncée Les données que l’on peut traiter : seulement les données pertinentes au vu de la finalité poursuivie La durée de conservation des données : tant que c’est nécessaire pour réaliser l’objectif

23

Utilisations pas compatibles

Cas particulier : Traitement ultérieur pour finalités historiques, statistiques ou scientifiques Politeia - Namur, 2.10.2015

24

Conséquences de l’incompatibilité

D’après la loi : Incompatibilité de la finalité secondaire entraîne blocage des données : elles ne peuvent être communiquées en vue de traitement à fins historiques, statistiques ou scientifiques sauf si nouveau traitement annonçant finalité statistique dès le départ Régime de l’arrêté royal : débloque données. Permet traitement à fins statistiques sans devoir tout recommencer mais respect régime de l’arrêté royal.

25

Finalités statistiques

Recommandation R(97)18 Conseil de l ’Europe : « toute opération de collecte et de traitement des données à caractère personnel nécessaires aux enquêtes statistiques ou à la production de résultat statistique » Exposé des motifs : « la statistique a pour objet l’analyse des phénomènes de masse…elle permet de tirer une affirmation générale d’une série d’observations systématiques » • vise donc données générales mais aussi

données individuelles • vise statistique publique et privée Politeia - Namur, 2.10.2015

26

Finalités scientifiques

Exposé des motifs rec. R(97)18: recherche scientifique vise à établir des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu’ils concernent

27

Traitement ultérieur

Ne vise donc pas traitement qui poursuit dès le départ une finalité statistique, scientifique ou historique

28

Finalités historiques

Rapport au Roi de l’AR du 13 février 2001: Traitements visant à analyser un événement passé ou à permettre cette analyse

29

Arrêté royal du 13.02.2001

Définitions: • Données anonymes: « les données qui ne

peuvent être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel »

• Données codées: « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code »


30


Principes:


Données anonymes

Données codées

Données non codées

31


• Interdiction d’entreprendre des actions de conversion de: • données anonymes en données à caractère

personnel • données codées en données à caractère

personnel non codées.


32


Données codées: • Hypothèse 1a: pour le compte ou par le

responsable de traitement initial


Responsable de traitement

33


Données codées: • Hypothèse 1b:


Organisme intermédiaire

Sous-traitant Responsable de traitement

34


Données codées: • Hypothèse 2a:


Traitement initial Traitement ultérieur

Responsable de traitement initial Tiers

35


Données codées: • Hypothèse 2b:


Sous-traitant

Traitement initial Traitement ultérieur

Responsable de traitement initial Tiers

36


Données codées: • Hypothèse 3:


Responsable de traitement

Traitement initial

Traitement ultérieur

Responsable de traitement initial

Tiers

37


• Conditions • pour hypothèses 2 et 3:

Responsable de traitement ultérieur doit présenter l’accusé de réception d’une déclaration complète;

Données codées: « les données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable que par l'intermédiaire d'un code »


38


• pour données sensibles (uniquement?): Informations spécifique avant le codage:

l'identité du responsable du traitement ; les catégories de données à caractère personnel qui

sont traitées ; l'origine des données ; une description précise des fins historiques,

statistiques ou scientifiques du traitement ; les destinataires ou les catégories de destinataires

des données à caractère personnel ; Etc


39


Données non codées: • Conditions

• Information de la personne concernée; • Consentement de la personne concernée

• Sauf: • données non codées:

rendues manifestement publiques par la personne concernée

qui sont en relation étroite avec le caractère public de la personne concernée ou des faits dans lesquels celle-ci est ou a été impliquée; ou


40


• Impossibilité ou efforts disproportionnés et responsable de traitement s'est conformé à la procédure déterminée (déclaration ad hoc - article 21 de l’AR)


41

Licéité du traitement des données (suite)

3. Fondement légitime

Art. 5 : 6 hypothèses légitimes


42

Fondement du traitement (art. 5)

Consentement indubitable de la personne concernée • Libre • Éclairé • Spécifique (forme libre) Nécessaire au contrat ou à la négociation d’un contrat

43

Fondement du traitement (suite)

Nécessaire au respect d’obligations légales Nécessaire sauvegarde de l’intérêt vital Mission d’intérêt public/autorité publique Intérêt légitime du responsable du traitement pour autant que ne prévalent pas l’intérêt ou les droits et libertés de la personne concernée

44

Traitement catégories particulières de données

A. Données « sensibles » (art. 6) : révèlent l’origine raciale ou ethnique, les opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données relatives à vie sexuelle.

B. Données relatives à la santé (art. 7) C. Données judiciaires (art. 8): relatives à suspicions, poursuites, condamnations pénales ou administratives

45

Principe: interdiction de traiter les données A+B

sauf si - consentement par écrit (! Pas pour employeur) - données manifestement publiques - associations à finalité politique, religieuse,... et pas de communication à des tiers - obligation légale (droit du travail) - permis par ou en vertu d’une loi, en vue de l’application de la sécurité sociale ou pour un motif d’intérêt public important … - aux fins de médecine préventive, de diagnostic médicaux, de l’administration de soins, et le traitement est effectué sous la surveillance d’un professionnel des soins de santé


46

Principe: interdiction de traiter les données C

sauf si - sous contrôle autorité publique - si nécessaire exécution loi ou obligations réglementaires - gestion contentieux - avocats


47

Précautions particulières

• désigner les catégories et fonctions des personnes ayant accès aux données

• lors de l’information, mentionner la base légale autorisant le traitement de données sensibles

• si consentement écrit, signaler les motifs du traitement de données sensibles et catégories de personnes ayant accès aux données


48

La qualité des données

Adéquates, pertinentes et non excessives

Exactes et si nécessaire mises à jour

Conservation pendant période limitée

49

Droits de la personne concernée

Droit d’accès (art. 10) : sur demande. • Quoi ?

• confirmation que données sont ou non traitées • Données contenues à son sujet • origine • connaissance de la logique • Droit d’exercice des recours

• Exceptions : • Journalisme, expression littéraire ou artistique si

compromettrait publication

50

- Données relatives à la santé (art. 10 § 2) Choix du patient: accès direct OU par intermédiaire d’un professionnel Possibilité pour le responsable d’exiger un intermédiaire choisi par le patient


Droit d’accès indirect

- Données traitées par la « police » (art. 13) Accès par la Commission de la protection de la vie privée


51

Modalités d’exercice des droits (AR) : - Demande datée et signée sur place, par poste ou autre moyen télécommunication (e-mail) - Réponse dans 45 jours

Droit de rectification : rectification de toute donnée inexacte, ou suppression de donnée incomplète, non pertinente ou conservée pour durée trop longue par rapport à finalité poursuivie.



52


Droit d’opposition (article 12) • Sur demande datée et signée, droit de

s’opposer: • Pour raisons sérieuses et légitimes • Sans justification en cas de traitements à fins

« direct marketing »

53


Décision individuelle automatisée (article 12bis) • Ne pas être soumis à décision produisant effets

juridiques à l’égard d’une personne ou l’affectant de manière significative, prise sur seule fondement d’un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité

• Exceptions : contrat ou disposition légale si garantie de sauvegarde des intérêts de la personne et de son point de vue.

54

Obligation d’informer (article 9) • De quoi?

• Au moins : identité resp. du traitement, finalités, droit de s’opposer au traitement à fins de « direct marketing »

• Information supplémentaire : existence droit d’accès et rectification, destinataires des données, caractère obligatoire ou facultatif de la réponse et conséquences défaut de réponse

Obligations du responsable

55

Obligation d’informer (suite) • Quand?

• Lors de la collecte si collectées auprès de la personne concernée

• Lors de l’enregistrement ou de la communication

• Exceptions : article 9§2 • Impossible ou efforts disproportionnés

(+justification) (! Si contact plus tard) • Application d’une disposition légale


56

Sécurité et confidentialité (art. 16, §§2-3)


• faire diligence pour tenir les données à jour • limiter l’accès du personnel aux seules données nécessaires • mettre le personnel au courant de la législation personnel tenu à obligation de confidentialité


57


Mesures techniques et organisationnelles requises pour protéger les données • En tenant compte de l’état de la technique, • des frais • et de la nature des données à protéger

Sécurité et confidentialité (art. 16, § 4)

58


• Choix du sous-traitant et garanties contractuelles - choix d’un s-t qui offre garanties suffisantes quant à sécurité - contrat doit fixer responsabilité du sous-traitant et indiquer que s-t ne peut agir que sur instructions du responsable

Sécurité et confidentialité (art. 16, § 1er)


59


Déclaration du traitement automatisé auprès de CPVP (ex.: http://www.privacycommission.be/fr)

Traitement ou ensemble de traitements ayant même finalité ou finalités liées

Quand (art. 17 § 1) Contenu (art. 17) Contribution financière (A.R.) Registre public (art. 18)

Arrêté royal prévoit dispenses (art. 51 à 62) mais jamais pour données sensibles.

Déclaration

http://www.privacycommission.be/fr

60

Sanctions et recours

Sanctions pénales (art. 39) Recours : • Plainte CPVP

• Recours judiciaires

Médiation Dénonciation au Procureur du Ro

61

Recours (suite)

Recours judiciaires

• Les recours traditionnels : - en cessation devant le président du

Tribunal de commerce - Tribunal civil - Tribunal pénal - Tribunal du travail

• Le recours particulier de l’article 14: le président du tribunal de 1ère instance siégeant comme en référé pour, et uniquement pour, les droits subjectifs accordés à la personne concernée par la loi de 1992.

62

Merci de votre attention

[email protected] [email protected]

mailto:[email protected]






Chercheuse au CRIDS et avocat chez Crosslaw

Les saisies de matériel et de données informatiques

Bénédicte Losdyck

2 octobre 2015

[email protected]

2

Saisies & Vie privée

! Matériel informatique susceptible de contenir •  des données à caractère personnel •  des données couvertes par le secret professionnel

! Saisir du matériel ou des données informatiques constitue une ingérence dans la vie privée :

ü  « La fouille et la saisie de données électroniques s’analysent en

une ingérence dans le droit au respect de la « vie privée » et de la « correspondance » (CEDH, Sallinen et autres c. Autriche, 27 septembre 2005)

3

Saisies & Vie privée

! Atteinte au droit au respect de la vie privée consacré à l’article 8 CEDH et à l’article 22 de la Constitution Ø Du saisi Ø Du tiers impacté indirectement par la saisie

! Atteinte au principe de l’inviolabilité du domicile

consacré à l’article 15 de la Constitution

4

Saisie & Vie privée

! Droit au respect de la vie privée pas absolu (article 8§2 CEDH)

! Ingérence tolérée si:

•  Elle est prévue par la loi •  Elle poursuit un but légitime •  Elle est nécessaire dans une société démocratique

5

PLAN

! Les différents types de saisies •  Pénales

•  La saisie pénale de données informatiques •  L’extension de recherche dans un autre système informatique

•  Civiles •  La saise mobilière •  La saisie-description •  La saisie ordonnée sur la base de l’article 584,al 3 du Code

judiciaire

! Les garde-fous visant à protéger le saisi •  Lors de l’octroi de la mesure •  Lors de l’exécution de la mesure •  Lorsque la mesure prend fin

6

Les types de saisies

! La saisie de données informatiques •  En matière pénale (art. 39bis CICr) •  MP a le droit de saisir des données et du matériel

informatiques pouvant servir à la manifestation de la vérité (copie, blocage, saisie du support)

! L’extension de la recherche dans un autre système informatique (art. 88ter CICr) •  Exemple: cloud

! Cass, 11 février 2015: « l’exploitation d’un téléphone portable est une mesure découlant de la saisie »

7


! La saisie mobilière • Conservatoire

• Rend indisponibles les biens saisis • But: empêcher le débiteur d’en disposer au

détriment de ses créanciers • Caractère purement conservatoire

• Exécution • Mise sous la main de la justice de biens

meubles en vue de faire procéder à leur vente • But: obtenir le paiement de ce qui est dû

8


! La saisie-description

•  Spécifique à la matière des droits de propriété intellectuelle (PI)

•  But: permet au titulaire d’un droit de PI de rechercher et de rapporter la preuve d’une atteinte à son droit grâce à une expertise

•  Possibilité d’obtenir l’indisponibilité de certains objets (saisie-réelle)

9


! La saisie ordonnée sur la base de l’article 584, al.3 du Code judiciaire

•  Permet au juge d’ordonner en référé toutes mesures nécessaires à la sauvegarde des droits de ceux qui ne peuvent y pourvoir

•  Sur simple requête en cas d’urgence et d’absolue

nécessité

•  En pratique, des saisies informatiques sont fréquemment permises sur cette base

10

« Nous, X, Président du tribunal {…} ; Déclarons la demande recevable et fondée dans la mesure ci-après précisée ; Ordonnons à X de remettre conformément à la présente ordonnance, à l’huissier de justice instrumentant tout le matériel informatique (notamment les ordinateurs, I-pads, DVD, Cd rom, clés USB, serveurs, BlackBerry, et autres téléphones mobiles) dont il est détenteur à son domicile ainsi que tous les écrits relatifs à la requérante et ses affaires dont il est détenteur à son domicile, sous peine d’une astreinte de 1.000 euros par jour de retard ; Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout autre endroit où se trouverait du matériel informatique, sous peine d’astreinte de 1.000 euros par jour de retard ;

11

Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout mot de passe et toutes données utiles de connexion à son adresse e-mail privée et au matériel précité, sous peine d’une astreinte de 1.000 euros par jour de retard ; Autorisons l’huissier de justice instrumentant à saisir tout le matériel informatique et condamnons X à remettre tous ses écrits et affaires présents à son domicile et à tout autre endroit; Autorisons l’huissier instrumentant à conserver les biens saisis en exécution de la présente ordonnance et disons qu’il les remettra à l’expert désigné ; Autorisons l’expert à pénétrer dans le domicile de X afin d’exécuter la présente ordonnance ; Autorisons l’huissier de justice instrumentant à avoir recours à l’assistance de la force publique afin d’assurer l’exécution de la présente ordonnance

12

En pratique

! Constats:

•  Saisies informatiques de plus en plus fréquentes

•  Impact important pour l’individu ou la société qui en fait l’objet

•  Mesures très larges accordées •  Usage détourné des mesures de saisies •  Problème d’indépendance de l’expert désigné

13

Les garde-fous visant à protéger le saisi

! Lors de l’octroi de la mesure ! Lors de l’exécution de la mesure ! Lorsque la mesure prend fin

Et distinction entre les garanties légales et jurisprudentielles

14


! Lors de l’octroi de la mesure

•  Les garanties légales •  Requête motivée •  Juge spécifique • Nécessité de remplir des conditions strictes propres à

chaque type de saisie •  Respect du principe de proportionnalité

15

•  Les garanties émanant de la jurisprudence

• Soupçons raisonnables doivent exister §  En Belgique:

ü Cour d’appel de Mons, 26 avril 2010 ü Cass, 25 novembre 2011

§  En Europe: ü CEDH, André et autres c. France, 24 juillet 2008 ü CEDH, Robathin c. Autriche, 3 juillet 2012 ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015

16

• Mandat/ordonnance doit avoir une portée limitée et être rédigé en termes précis §  En Belgique:

ü Cour d’appel de Liège, 13 novembre 2006

§  En Europe: ü CEDH, Van Rossem c. Belgique, 9 décembre 2004 ü CEDH, Ilya Stefanov c. Bulgarie, 22 mai 2008 ü CEDH, Robathin c. Autriche, 3 juillet 2012 ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015

17


! Lors de l’exécution de la mesure

•  Les garanties légales • Devoir d’information de la personne concernée

•  Choix de la méthode (mise sous scellé ou simple copie?) •  Etablissement d’un inventaire/procès-verbal

•  Respect des limites du mandat ou de l’ordonnance

•  Si documents couverts par le secret professionnel, des garanties spéciales s’appliquent ü Ex: saisie chez un avocat/médecin en présence d’un

membre de l’ordre

18


• Saisie massive et indifférenciée interdite •  En Belgique:

ü Cour d’appel de Liège, 13 novembre 2006 ü Cass, 22 janvier 2015

•  En Europe: ü CEDH, Miailhe c. France, 25 février 1993, §39 ü CEDH, Yudiskaya et autres c. Russie, 12 février 2015 ü CEDH, Vinci Construction et GTM Génie civil c. France,

2 avril 2015

19

• Secret professionnel et protection de la vie privée

•  En Europe:

ü CEDH, Wieser and Bicos c. Autriche, 16 octobre 2007 ü CEDH, André et autres c. France, 24 juillet 2008 ü CEDH, Vinci construction et GTM Génie civil c. France,

2 avril 2015 ü CEDH, Sérvulo et associés c. Portugal, 3 septembre

2015

20


! Lorsque la mesure prend fin

•  Les garanties légales •  Assurer l’intégrité, la préservation et la confidentialité des données (MP, expert) •  Exercice d’un droit de recours effectif •  Restitution/déblocage du matériel ou des données

21


• Durée de conservation du matériel - Restitution ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008 ü CEDH, Sérvulo et associés c. Portugal, 3 septembre

2015

• Répercussion possible sur le travail ou la réputation de la personne concernée ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008

22

Deux arrêts récents de la CEDH

! L’arrêt Vinci construction et GTM Génie civil et l’arrêt Sérvulo et associés:

•  Saisies de matériel et documents électroniques •  Impliquant de la correspondance échangée entre

l’avocat et son client •  Décision de la Cour divergente

•  Vinci construction : Violation article 8 CEDH •  Sérvulo et associés : Non-violation article 8 CEDH

•  Analyse du raisonnement de la Cour et des différences entre les deux arrêts

23

Raisonnement

! Respect du principe de proportionnalité •  La législation et la pratique interne apportent-elles aux

individus des garanties adéquates et effectives contre les abus?

•  En l’espèce, l’ingérence litigieuse était-elle proportionnée au but recherché?

•  Circonstances dans lesquelles le mandat a été émis ü  Éléments de preuve disponibles à l’époque ü Contenu et étendu du mandat

•  Manière dont la perquisition a été menée ü  Présence ou non d’observateurs indépendants?

•  Étendue des répercussions possibles sur le travail et la réputation

•  Existence d’un contrôle efficace des mesures attentatoires à la vie privée?

24

Conclusion

q  Rôle du juge : q n’ordonner que les mesures nécessaires à la

réalisation du but poursuivi q et vérifier qu’il n’existe pas de méthode moins

attentatoire aux droits des personnes concernées

q  Rôle de l’expert: q conserver son indépendance, q circonscrire son expertise (mots clés limités,…) q et préserver la confidentialité et l’intégrité des

informations

25

q  Rôle de l’huissier: q informer le saisi et q dresser les procès-verbaux q en y incluant les éventuelles contestations

q  Rôle du saisi: q classer, q archiver, q supprimer q et répertorier ses documents

26

Merci pour votre attention

[email protected]

[email protected]

La surveillance des travailleurs

K. ROSIER

2 octobre 2015

Université de Namur

2

PLAN

Quelques propos introductifs concernant le droit au respect de la vie privée sur le lieu du travail et la réglementation de la problématique L’utilisation des TIC dans le contrôle/la surveillance le travailleur: • Le cas de l’internet ou de l’e-mail • Le téléphone • Le cas du disque dur ou autre support (cd-rom) • La géolocalisation

Sanctions en cas de non-respect de la règlementation • La problématique de la recevabilité de la preuve • Les autres sanctions

3

INTRODUCTION

Une vie privée au travail – Principes et particularités

4

Introduction

La reconnaissance d’une vie privée au travail (CEDH Niemietz/Allemagne, 16 décembre 1992) : Le droit à la vie privée peut être invoqué par le travailleur dans les locaux professionnels et même lorsque le travailleur utilise les outils de l’employeur (voy. ég. Cour eur. D.H., Arrêt Halford c. Royaume-Uni, 25 juin 1997 ; Cour eur. D.H., arrêt Copland, 3 avril 2007)

Dilution du terrain professionnel : difficultés de tracer une frontière entre vie privée et vie professionnelle Nécessité de rechercher un équilibre entre le pouvoir de surveillance de l’employeur et la vie privée du travailleur

5

Quelques particularités de la vie privée en droit du travail

• Il existe de nombreuses règles spécifiques de

protection de la vie privée. La conjonction de ces nombreuses règles est malaisée.

• En dehors de ces règles, il faut recourir aux principes généraux issus de l’interprétation de l’article 8 CEDH.

• Application horizontale de l’article 8 CEDH.

6

• Règlementation de différentes problématiques par le recours à des conventions collectives de travail du fait de l’autonomie des partenaires sociaux • Exclusion de l’autorité publique • Problématique de la hiérarchie des sources dans le cas

où il faut une loi pour faire une ingérence dans la vie privée

• Problématique de consentement du travailleur

dans un contrat inégalitaire. Questions spécifiques du contrat de travail et du règlement de travail.

7

Contrôle & surveillance des travailleurs

8

Quelques constats préalables

Focalisation de la jurisprudence et de la doctrine sur l’aspect « surveillance » et non «gestion » L’utilisation des NTIC comme outils de travail et outils de contrôle : différents cas de figure Distinction entre le contrôle a priori et a posteriori

9

NTIC et droit respect la vie privée

Droit au respect de la vie privée de l’article 8 CEDH Il ne peut y avoir d’ingérence dans la vie privée d’une personne sauf lorsque celle-ci est prévue par une « loi », pour un objectif prévu à l’article 8 de la CEDH (dont la protection des droits et libertés d’autrui) et que l’ingérence n’est pas disproportionnée

Droit à la protection des données à caractère personnel On ne peut traiter des données relatives à des personnes physiques que dans les conditions fixées par la loi

Secret des communications électroniques Sauf exceptions prévues par la loi, un tiers à une communication électronique ne peut pas prendre connaissance de l’existence de l’information transmise ou des données de communications, ni les stocker, sans l’accord de toutes les personnes concernées par la communication

10

NTIC et droit respect la vie privée

Critère des attentes raisonnables en matière de vie privée CEDH, voy. not. Arrêts Peev, 26 juillet 2007 et Alford, 25 juin 1997) : L’intéressé peut-il raisonnablement s’attendre à voir respecter sa vie privée ? (Cour de cassation, 9 septembre 2008)

Droit au respect de la vie privée n’est pas absolu :

Ingérences possibles : critères de légalité, finalité et proportionnalité

11

Surveillance et droit respect la vie privée

Surveillance et NTIC devant la Cour.eur.D.H. : Arrêt Köpke c. Allemagne du 5 octobre 2010 [Cas d’une vidéosurveillance par détective privé pour établir

des vols commis par une caissière] • Mise en balance du droit au respect de la vie privée du travailleur

v. droit de propriété de l’employeur / intérêt public de la bonne administration de la justice

• Mise en balance peut et doit évoluer dès lors que les techniques de surveillance deviennent plus intrusives

12

Principes de l’article 8 CEDH Légalité Finalité

Proportionnalité Principes en matière de contrôle

Transparence Finalité (légitime) Proportionnalité

13

Contrôle des e-mails et de connexions internet

14

Contrôle a priori

• Marge de manœuvre de l’employeur • L’employeur peut-il interdire tout usage à des fins

privées ou certains actes (téléchargement)? controverse

• L’employeur peut permettre un usage exceptionnel, marginal ou limité à certaines périodes de la journée

• L’employeur peut interdire l’accès à certains sites • L’employeur peut assortir l’usage de la messagerie à

certaines conditions (suppression de la signature de l’entreprise, identification des e-mails privés, usage d’une boîte e-mail privée).

essentiellement une question d’opportunité

15

Comment mettre en place un contrôle a priori? réglementer dans le respect du cadre légal

applicable (cf. C.C.T. n°81) • Comment? Par exemple en insérant un chapitre sur ce

thème dans le contrat de travail, dans le règlement de travail, dans une charte ad hoc.

• Que réglementer? Ce qui est permis / interdit; imposer des modalités d’utilisation.

• Intérêt ? Transparence, éventuelle concertation, avertissement.

16

Contrôle a priori

Par le biais de dispositifs techniques Par exemple: logiciels bloquant l’accès à certains sites

dans le respect des règles applicables concernant les communications électroniques (L. 13 juin 2005 sur les communications électroniques, art. 122).

17

Contrôle a posteriori

Ce n’est pas parce que l’employeur a interdit l’usage de l’outil mis à disposition du travailleur à des fins privées que cela lui confère un libre accès aux données et documents du travailleur !!!

!

18

Contrôle a posteriori

Cadre légal de référence : • Dispositions légales protégeant la vie privée

• Article 8 C.E.D.H. et 22 Constitution • Articles 124 et 125 L. 13 juin 2005 sur les

communications électroniques • Article 314bis C.P. • L. 8 décembre 1992

• Dispositions légales instaurant un pouvoir de contrôle de l’employeur • Articles 16 et 17 de la loi sur le contrat de travail

• Le texte du compromis • C.C.T. n°81

19

Le secret des communications électroniques

Sans le consentement des personnes parties à la communication : • Pas d’interception durant la communication – vise le

contenu de la communication (art. 314bis et 259bis Code pénal)

• Pas de prise de connaissance de :

• L’existence d’une information transmise, • De l’identité des personnes parties à la communication • Des données de communications • Et … pas de stockage de ces informations…

20

Le secret des communications électroniques

Art. 124 de la LCE :

« S'il n'y est pas autorisé par toutes les personnes directement ou indirectement concernées, nul ne peut :

1° prendre intentionnellement connaissance de l'existence d'une information de toute nature transmise par voie de communication électronique et qui ne lui est pas destinée personnellement;

2° identifier intentionnellement les personnes concernées par la transmission de l'information et son contenu;

3° sans préjudice de l'application des articles 122 et 123 prendre connaissance intentionnellement de données en matière de communications électroniques et relatives à une autre personne;

4° modifier, supprimer, révéler, stocker ou faire un usage quelconque de l'information, de l'identification ou des données obtenues intentionnellement ou non »

21

Étendue de la protection

Requiert une « intention » pour les actes visés aux al. 1, 2 et 3 de l’article 124 de la LCE La jurisprudence distingue la prise de connaissance

«fortuite» des «démarches actives» pour prendre connaissance d’une communication

Applicable à toutes les communications privées (><publiques), en ce inclus les communications professionnelles Protection des données de communication et du contenu (voy. Cass., 1er octobre 2009, RG C.08.0064.N)

Pas d’exceptions spécifiques dans le contexte des relations de travail

22

Exceptions

Art. 125 de la LCE: • lorsque la loi permet ou impose l'accomplissement des

actes visés • lorsque les actes visés sont accomplis dans le but exclusif

de vérifier le bon fonctionnement du réseau et d'assurer la bonne exécution d'un service de communications électroniques

• lorsque les actes sont accomplis dans le seul but d'offrir des services à l'utilisateur final consistant à empêcher la réception de communications électroniques non souhaitées (spamming), à condition d'avoir reçu l'autorisation de l'utilisateur final à cet effet.

23

Exceptions

Commentaire de l’article 128, §1er de la LCE:

• Ce qui est permis : l’enregistrement du contenu et des données de communications

• Conditions : • Finalité = comme preuve d'une transaction commerciale ou

d'une autre communication professionnelle • Information préalable de toutes les parties à la

communication à tout le moins sur : Le principe de l’enregistrement, les objectifs précis de ce dernier la durée de stockage de l'enregistrement

• Durée de conservation limitée

24

Conclusions provisoires

• Pas de distinction entre e-mail professionnel

ou privé • Pas de prise de connaissance par un tiers, en

ce inclus «l’employeur » sans le consentement de toutes les parties à la communication distinction entre :

connexions internet: on peut envisager d’obtenir le consentement des travailleurs

e-mails : difficile d’obtenir le consentement de tiers

25

Règles du contrôle définies dans une Convention collective de travail n°81

Champ d’application limité :

• Secteur privé • Uniquement les données de communications et pas

le contenu des communications données de communication électroniques en réseau = les données relatives

aux communications électroniques transitant par réseau, entendues au sens large et indépendamment du support par lequel elles sont transmises ou reçues par un travailleur dans le cadre de la relation de travail.

Distingue e-mails privés et professionnels >< article 124 LCE (C.T. Anvers (sect. Anvers), 15

décembre 2004, Chr.D.S.., 2006, p. 146)

26

Principes clés

Finalité Transparence Proportionnalité

27

Principes clés

finalité (art. 5) finalités définies dans la C.C.T. 1. la prévention de faits illicites ou diffamatoires, de faits

contraires aux bonnes mœurs ou susceptibles de porter atteinte à la dignité d’autrui ;

2. la protection des intérêts économiques, commerciaux et financiers de l’entreprise auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les pratiques contraires ;

3. la sécurité et/ou le bon fonctionnement technique des systèmes informatiques en réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la protection physique des installations de l'entreprise ;

4. le respect de bonne foi des principes et règles d’utilisation des technologies en réseau fixés dans l’entreprise (cf contrôle a priori).

28

Principes clés

proportionnalité (art. 6 et 14) exclut les contrôles permanents ou le contrôle immédiat sur des données individualisées Transparence (art. 7-8 et 15-16) informer les travailleurs au préalable sur les

contrôles dont il peut faire l’objet (finalités, modalités, personnel concerné, identification et prérogatives du personnel de surveillance etc.)

Procédure de la sonnette d’alarme pour la

finalité 4

29

MAIS quid de la légalité ? CCT en >< secret des communications

électroniques Il faut le consentement de toutes les

personnes parties à la communication pour prendre connaissance de celle-ci et des données de communication

30

Conséquences

Conséquence d’un non-respect des règles d’utilisation de l’e-mail et de l’internet • Possibilité de prévoir des sanctions dans le

règlement de travail • Motif grave? Appréciation au cas par cas

31

Etats des lieux

Jurisprudence hétérogène Quelques constats par rapport à la jurisprudence récente : • Prépondérance donnée aux principes de l’article 8 CEDH et

à la CCT n°81 • Distinction selon que la messagerie est accessible à

plusieurs personnes ou non • Distinction selon que le courrier électronique est ou non

professionnel • Distinction selon le caractère fortuit ou non de la prise de

connaissance des données A noter : la CPVP a revu sa position sur le sujet (Recommandation n°08/2012)

32

Contrôle de l’usage du téléphone

33

Contrôle de l’usage du téléphone

Il s’agit d’un type de communication électronique Interdiction d’écouter / d’enregistrer les communications lorsqu’on est

tiers à la communication, sans le consentement de toutes les parties Exception : call centers (article 128, § 2 LCE) Quid des données d’appel ? Voir Gand, 12 mai 2014, RG 2013/AG/269: le

travailleur doit raisonnablement s’attendre à ce que les données de facturation soient contrôlées par l’employeur

Quid d’un enregistrement auquel on est partie? Voy. Arrêt de la Cass. 9 novembre 2008, RG P.08.276.N Pas illicite per se Mais peut constituer une violation de l’article 8 CEDH suivant les

circonstances de la cause Nécessité d’examiner quelles étaient les attentes raisonnables de

l’autre partie

34

Contrôle du contenu du disque dur / d’un CD-Rom

35

Contrôle du contenu du disque dur / d’un CD-Rom

Décisions affirmant le principe de l’application du droit au respect de la vie privée : • Articles 8 de la CEDH et 22 Constitution • Loi du 8 décembre 1992 En infèrent not. l’exigence d’une information préalable

Certaines décisions prennent en considération le fait que le document est ou non identifié comme privé

Pour un cas de prise de connaissance du contenu d’un CD-Rom, voy. CT Liège, 20 septembre 2010, RG 2007/AL/34.907

36

Contrôle par le biais de la géolocalisation

37

Contrôle par le biais de la géolocalisation

Jurisprudence en matière de géolocalisation des véhicules • Application de l’article 8 CEDH (voy. également Cour.

Eur. D.H., affaire Uzun c. Allemagne, 2 septembre 2010, en matière pénale)

• De la loi du 8 décembre 1992 (dans un arrêt de CT Gand, 14 octobre 2011, JT, 2012, p. 190)

Appréciation variable en jurisprudence de la rencontre des exigences de transparence, finalité et proportionnalité

38

Les sanctions de la violation de la vie privée du travailleur

39

Recevabilité de la preuve

• Contexte de la problématique • Admissibilité des preuves dans les litiges

sociaux (article 12 L. du 3 juillet 1978)

• La question de la licéité des preuves

40

Recevabilité de la preuve

Objet de la problématique : Quel sort réserver à une preuve illicitement recueillie? Dédoublement du débat A la question de la savoir quand une preuve est illicite…

Renvoie à question de la violation du droit au respect de la vie privée, du secret des communications électroniques, d’une CCT, de la loi du 8 décembre 1992, etc.

…. S’ajoute celle de savoir si la preuve illicite peut être prise en compte par le juge

41

Evolution de la jurisprudence

Evolution de la jurisprudence de la Cour de cassation Arrêt « Antigone » du 14 octobre 2003 rendu en matière pénale et mettant fin au principe de l’écartement « automatique » de la preuve illicite

Renversement du principe de l’écartement des preuves :

« La circonstance qu'un élément de preuve a été obtenu irrégulièrement a, en règle, uniquement pour conséquence que le juge lorsqu'il forme sa conviction, ne peut prendre cet élément en considération ni directement ni indirectement : - soit lorsque le respect de certaines conditions de forme est prescrit à peine de nullité ; - soit lorsque l'irrégularité commise a entaché la fiabilité de la preuve ; - soit lorsque l'usage de la preuve est contraire au droit à un procès équitable »

42

Jurisprudence « Antigone »

Application en matière civile? Evolution de la question : Opposition des juridictions de fond à l’application en

matière civile, principalement suite à l’arrêt « Manon » du 2 mars 2005

Arrêt de la Cour de cassation du 10 mars 2008 (litige ONEM)

« Validation » de la jurisprudence par la Cour.eur.DH (arrêt « Lee Davies » du 28 juillet 2009 et par la C. constitutionnelle (arrêt 22 décembre 2010))

Application par les juridictions de fond en matière civile mais arrêts refusant cette application : C.T. Bruxelles, 7 février 2013, RG 2012/AB/1115; C.T. Liège (Div. Liège), 6 février 2015, RG 2013/AL/392

43

Incidence sur le droit au respect de la vie privée

Les critères Antigone ne font dans la plupart des cas pas obstacle à l’écartement d’une preuve obtenue en violation du droit au respect de la vie privée

Car : - Il n’y pas de sanction prévue à peine de nullité - Il n’y pas de problème de fiabilité / crédibilité de la

preuve - Il n’y a pas de non-respect du droit à un procès

équitable : not. la violation de l’article 8 CEDH n’implique pas en soi la violation d’un droit au procès équitable mise en balance des droits et intérêts en présence?

44

Appréciation critique

Avantages de la jurisprudence Antigone: • Donne la prépondérance à la manifestation de la

vérité • Dans le contexte de la cybersurveillance,

contrebalance le caractère parfois perçu comme trop rigide ou complexe des contraintes légales en la matière

Aspects critiquables : • Déforce le droit au respect de la vie privée • Pertinence des critères retenus pour écarter les

preuves • Insécurité juridique

45

Autres sanctions

Sanctions civiles (dommages et intérêts pour violation de la vie privée)

Sanctions pénales (L. 8 décembre 1992, L. 13 juin 2005, etc.)

46

Conclusions

Caractère tentaculaire des incidences des nouvelles technologies sur le droit du travail (sur le plan juridique mais aussi technique, sociologique, organisationnel, …) Evolution constante des problématiques Relative inadéquation du droit par rapport aux réalités du terrain en matière de contrôle des e-mails et de l’internet

46

47

Merci pour votre attention!

1

Vous n’avez pas pu participer à la journée d’étude ?

Découvrez le livre Vie privée et données à caractère personnel

http://www.politeia.be/fr-be/book/vie-privee-et-donnees-a-caractere-personnel-codes/MANUEL929M.htm

Séminaire pratique - 19/06 2

SUIVEZ POLITEIA SUR LES RÉSEAUX SOCIAUX

www.facebook.com/EditionsPoliteia

@EdPoliteia

Presentations & Public Speaking

Journée d'étude (02.10) - La justice et la protection des données à caractère personnel