Dernières actualités : données personnelles

BfDI (autorité allemande)

1 octobre 2024

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Procureur général de Californie

20 juin 2024

Le procureur général Bonta annonce un règlement à l’amiable contre Adventist concernant la divulgation non autorisée de renseignements sur les patients aux forces de l’ordre

SACRAMENTO – Le procureur général de Californie, Rob Bonta, a annoncé aujourd’hui un accord avec Adventist Health Hanford (Adventist) qui résout les violations de la loi sur la concurrence déloyale, de la loi sur la confidentialité des informations médicales (CMIA) et de la règle de confidentialité de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) liées aux divulgations non autorisées aux forces de l’ordre des informations médicales de deux patientes, Adora Perez et Chelsea Becker. Dans les deux cas, les femmes enceintes se sont rendues à l’hôpital Adventist pour obtenir une assistance médicale et y ont accouché d’un enfant mort-né. Le personnel de l’hôpital Adventist a fourni aux forces de l’ordre des informations médicales non autorisées, y compris des informations de santé protégées (PHI). À la suite de ces divulgations illégales, les deux patientes ont été poursuivies pour meurtre et incarcérées. L’accord conclu aujourd’hui prévoit des sanctions civiles d’un montant de 10 000 dollars et des mesures d’injonction qui obligent Adventist à protéger les données de santé des patients contre toute communication et exploitation illicites.

« Aucune femme ne devrait être pénalisée pour la perte de sa grossesse« , a déclaré le procureur général Bonta. « Comme nous l’avons dit à plusieurs reprises, l’emprisonnement injustifié des deux femmes en raison de la divulgation non autorisée de données de santé aux forces de l’ordre était illégal. C’est pourquoi le règlement conclu aujourd’hui garantit que les informations de santé personnelles des patients d’Adventist sont traitées avec le plus grand soin et dans le respect de la loi, ce qui rétablira et renforcera la confiance des patients« .

Disponible (en anglais) sur: oag.ca.gov
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Conseil d’Etat

11 juin 2024

Le Conseil d’Etat saisit le Conseil constitutionnel d’une QPC concernant le « dossier médical partagé » (DMP)

« Par un mémoire et un mémoire en réplique, enregistrés les 21 mars et 24 mai 2024 au secrétariat du contentieux du Conseil d’État, le Conseil national de l’ordre des médecins demande au Conseil d’État, en application de l’article 23-5 de l’ordonnance n° 58-1067 du 7 novembre 1958 et à l’appui de sa requête tendant à l’annulation pour excès de pouvoir de l’arrêté du 26 octobre 2023 du ministre de la santé et de la prévention fixant les règles de gestion des droits d’accès au dossier médical partagé des professionnels mentionnés à l’article L. 1111-15 et au III de l’article L. 1111-17 du code de la santé publique, de renvoyer au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution du III de l’article L. 1111-17 de ce code. »

Nous ne disposons pas du détail des moyens qui ont été soulevés mais cette QPC semble vouloir remettre en cause la possibilité pour « tout professionnel participant à la prise en charge d’une personne », en ce compris ceux ne faisant pas partie de l’équipe de soins du patient, d’accéder à ses données de santé (sous réserve de l’obtention de son consentement).

Disponible sur: conseil-etat.fr

Cour européenne des droits de l’Homme

7 juin 2024

Secret professionnel des avocats : l’extraction massive et l’exploitation des données personnelles (même celles effacées) du téléphone portable d’une avocate est disproportionnée.

Le 6 juin 2024, la Cour Européenne des Droits de l’Homme (CEDH) a rendu sa décision dans l’affaire « BERSHEDA ET RYBOLOVLEV c. MONACO », affaire à propos d’une avocate inculpée pour avoir enregistré une conversation privée réalisé dans le but de rassembler des éléments de preuve et qu’elle a envoyé à la Sureté Publique pour qu’il soit ajouté au dossier. La personne visée a alors déposé plainte, dénonçant le fait que la conversation avait été enregistrée à son insu, afin d’être utilisée contre elle dans le cadre de l’information principale. L’avocate a ainsi été auditionnée et a remis son téléphone portable quelques temps plus tard. Néanmoins, sa fouille n’a pas été limitée à l’enregistrement concerné et a concerné l’appareil dans son intégralité : tous les messages, emails, appels ont été extraits.

Dans cette affaire, la Cour, qui a été saisie par l’avocate, a estimé que « la nécessaire protection du secret professionnel, et la portée du consentement donné par la requérante à une expertise limitée à un enregistrement d’une dizaine de minutes, auraient dû, à tout le moins, conduire le juge d’instruction à prendre des mesures garantissant une protection des données de la requérante au nom et en vertu de sa qualité d’avocate. Il aurait ainsi assuré une conduite de la procédure pénale et de l’expertise respectueuse d’une mise en balance de la protection du secret professionnel et des nécessités de l’enquête. Tel n’a cependant pas été le cas en l’espèce« .

Elle ajoute que « les juridictions internes ont ignoré le risque d’atteinte au secret professionnel de la requérante, tout en écartant expressément et sans justification les dispositions légales relatives aux perquisitions et aux interceptions de correspondance, ainsi que les garanties y afférentes, en particulier les articles 99-1 et 106-8 du CPP relatif à l’information du Bâtonnier (paragraphe 45 ci-dessus). Le juge d’instruction, conforté dans son analyse par les juridictions ayant statué sur les recours de la requérante, a considéré inapplicables les régimes de protection relatifs aux saisies, perquisitions, et interceptions téléphoniques, en raison de la remise sans contrainte du téléphone et du fait que les données récupérées et exploitées étaient « stockées » sur cet appareil et n’avaient pas été captées au moment même où les conversations s’étaient tenues. Une approche mettant en balance la protection des données téléphoniques de l’avocate et les nécessités de l’enquête aurait dû conduire à un redressement du cadre et des contours des investigations. »

Conclusion: « la Cour estime dès lors que les saisines de la chambre du conseil de la cour d’appel et de la Cour de révision par la requérante étaient certes, sur le principe, constitutives de recours adéquats et effectifs, mais n’ont pas permis, dans la pratique, dans les circonstances de l’espèce, un redressement approprié des mesures ordonnées, hors du cadre de sa saisine, par le juge d’instruction. La requérante n’a ainsi bénéficié d’aucune des garanties qu’appelait le respect du secret professionnel attaché à sa qualité d’avocate dans la procédure par laquelle l’expertise de son téléphone portable a été ordonnée et mise en œuvre (voir, mutatis mutandis, Bykov, précité, § 78). Dès lors, la la Cour estime que l’ingérence dans l’exercice par la requérante de son droit au respect de sa correspondance et de sa vie privée n’était pas proportionnée aux buts légitimes poursuivis et que, dès lors, elle n’était pas « nécessaire dans une société démocratique« .

Disponible (en anglais) sur: hudoc.echr.coe.int
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Global News

6 mars 2024

La police a besoin de mandats pour obtenir les adresses IP des Canadiens

Dans le cadre d’une enquête menée en 2017 par la police de Calgary sur des achats en ligne frauduleux auprès d’un magasin de spiritueux et au cours de laquelle la police avait demandé au magasin la fourniture des adresses IP sans mandat, la Cour suprême du Canada a statué vendredi que la police doit obtenir un mandat avant de demander l’adresse de protocole Internet d’un Canadien, ce qui constitue une victoire importante pour les défenseurs de la vie privée. La Cour suprême a affirmé que les Canadiens ont des droits à la vie privée protégés par la Charte lorsqu’il s’agit pour les policiers de demander des informations sur leurs activités en ligne.

« La vie privée est essentielle à la dignité, à l’autonomie et à l’épanouissement de l’individu. Sa protection est une condition préalable à l’épanouissement d’une démocratie libre et saine », peut-on lire dans la décision majoritaire. L’Internet exige que les utilisateurs révèlent des informations sur leurs abonnés à leur fournisseur d’accès pour participer à cette nouvelle place publique, et les Canadiens ne sont pas obligés de devenir des reclus numériques pour maintenir un semblant de vie privée dans leur vie ».

Disponible (en anglais) sur: globalnews.ca
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour de cassation

28 février 2024

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse, « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne. » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.