Dernières actualités : données personnelles

BfDI (autorité allemande)

En Allemagne, la Cour constitutionnelle fédérale se prononce sur certains traitements de la police criminelle – en sa défaveur

Dans un arrêt publié ce jour, la Cour constitutionnelle fédérale allemande a estime que la loi attributive des pouvoirs à la police criminelle fédérale (BKA) en matière de lutte contre le terrorisme et le crime organisée doit être modifiée, dans la mesure où certaines de ses compétences légales en matière de collecte et de stockage de données sont en partie inconstitutionnelles. Plus précisément, les compétences en question ont été jugées « non compatibles avec le droit fondamental à l’autodétermination en matière d’information ». De manière concrète, le tribunal a notamment critiqué la possibilité de surveiller secrètement les personnes en contact avec des suspects.

En réaction, l’autorité allemande a salué la décision. Le BfDI, M. le professeur Specht-Riemenschneider, a souligné l’importance de la décision prise aujourd’hui par la Cour constitutionnelle fédérale concernant les règles selon lesquelles l’Office fédéral de la police criminelle ne peut traiter ultérieurement des données à caractère personnel dans son système d’information que sous certaines conditions. Selon lui, « l’arrêt contient des déclarations décisives pour le réseau d’information de la police. Il reste garanti que la police soit en mesure d’agir, mais aucune donnée ne peut non plus être enregistrée dans le vide si aucun comportement fautif ne peut être reproché aux personnes. C’est ce que confirme la pratique de contrôle et de conseil de mon autorité jusqu’à présent. »

La BfDI voit en outre un signe pour le législateur : le cercle des personnes ciblées dans le soi-disant paquet de sécurité est trop large. Le législateur peut maintenant réajuster l’association d’informations. L’autorité en profite pour ajouter qu’il serait judicieux d’élaborer maintenant ensemble des solutions conformes à la protection des données.

Disponible (en allemand) sur: bfdi.bund.de
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La Quadrature du Net

Veesion et surveillance en supermarchés : vraie illégalité, faux algorithmes ?

Le vendredi 21 juin, le Conseil d’État a rendu une ordonnance de référé passée presque inaperçue concernant Veesion, la start-up française de surveillance algorithmique des « vols » en supermarchés. Bien qu’il s’agisse d’une procédure toujours en cours (l’affaire doit encore être jugée au fond), la justice administrative a conforté ce que nous soulignons depuis 3 ans : l’illégalité du logiciel conçu par la start-up de surveillance. Concrètement, il s’agit d’installer sur les caméras des supermarchés un algorithme repérant des gestes considérés comme suspects pour détecter les « mauvaises intentions de possibles voleurs à l’étalage ». L’objectif est purement financier : promettre à ses clients (des grandes ou petites surfaces) une réduction de « plus de 60% des pertes liées au vol à l’étalage » et de sauver « 1 à 3% du chiffre d’affaires » qui leur serait subtilisé.

Selon l’association, la récente ordonnance du Conseil d’Etat vient révéler que la CNIL a engagé une procédure contre Veesion en raison de l’illégalité de son logiciel. La CNIL a notamment souhaité en alerter l’ensemble de ses clients en obligeant à afficher dans les magasins concernés une information sur une telle infraction à la loi. Veesion a essayé de faire suspendre en urgence cette procédure et le Conseil d’Etat a rejeté la requête le 21 juin dernier.

Disponible sur: laquadrature.net
Ce résumé est susceptible d’avoir été réalisé de manière automatisée.

Cour européenne des droits de l’Homme

Secret professionnel des avocats : l’extraction massive et l’exploitation des données personnelles (même celles effacées) du téléphone portable d’une avocate est disproportionnée.

Le 6 juin 2024, la Cour Européenne des Droits de l’Homme (CEDH) a rendu sa décision dans l’affaire « BERSHEDA ET RYBOLOVLEV c. MONACO », affaire à propos d’une avocate inculpée pour avoir enregistré une conversation privée réalisé dans le but de rassembler des éléments de preuve et qu’elle a envoyé à la Sureté Publique pour qu’il soit ajouté au dossier. La personne visée a alors déposé plainte, dénonçant le fait que la conversation avait été enregistrée à son insu, afin d’être utilisée contre elle dans le cadre de l’information principale. L’avocate a ainsi été auditionnée et a remis son téléphone portable quelques temps plus tard. Néanmoins, sa fouille n’a pas été limitée à l’enregistrement concerné et a concerné l’appareil dans son intégralité : tous les messages, emails, appels ont été extraits. 

Dans cette affaire, la Cour, qui a été saisie par l’avocate, a estimé que  « la nécessaire protection du secret professionnel, et la portée du consentement donné par la requérante à une expertise limitée à un enregistrement d’une dizaine de minutes, auraient dû, à tout le moins, conduire le juge d’instruction à prendre des mesures garantissant une protection des données de la requérante au nom et en vertu de sa qualité d’avocate. Il aurait ainsi assuré une conduite de la procédure pénale et de l’expertise respectueuse d’une mise en balance de la protection du secret professionnel et des nécessités de l’enquête. Tel n’a cependant pas été le cas en l’espèce« .

Elle ajoute que « les juridictions internes ont ignoré le risque d’atteinte au secret professionnel de la requérante, tout en écartant expressément et sans justification les dispositions légales relatives aux perquisitions et aux interceptions de correspondance, ainsi que les garanties y afférentes, en particulier les articles 99-1 et 106-8 du CPP relatif à l’information du Bâtonnier (paragraphe 45 ci-dessus). Le juge d’instruction, conforté dans son analyse par les juridictions ayant statué sur les recours de la requérante, a considéré inapplicables les régimes de protection relatifs aux saisies, perquisitions, et interceptions téléphoniques, en raison de la remise sans contrainte du téléphone et du fait que les données récupérées et exploitées étaient « stockées » sur cet appareil et n’avaient pas été captées au moment même où les conversations s’étaient tenues. Une approche mettant en balance la protection des données téléphoniques de l’avocate et les nécessités de l’enquête aurait dû conduire à un redressement du cadre et des contours des investigations. »

Conclusion: « la Cour estime dès lors que les saisines de la chambre du conseil de la cour d’appel et de la Cour de révision par la requérante étaient certes, sur le principe, constitutives de recours adéquats et effectifs, mais n’ont pas permis, dans la pratique, dans les circonstances de l’espèce, un redressement approprié des mesures ordonnées, hors du cadre de sa saisine, par le juge d’instruction. La requérante n’a ainsi bénéficié d’aucune des garanties qu’appelait le respect du secret professionnel attaché à sa qualité d’avocate dans la procédure par laquelle l’expertise de son téléphone portable a été ordonnée et mise en œuvre (voir, mutatis mutandisBykov, précité, § 78). Dès lors, la la Cour estime que l’ingérence dans l’exercice par la requérante de son droit au respect de sa correspondance et de sa vie privée n’était pas proportionnée aux buts légitimes poursuivis et que, dès lors, elle n’était pas « nécessaire dans une société démocratique« .

Disponible (en anglais) sur: hudoc.echr.coe.int
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Journal Officiel de l’UE

Le nouveau règlement sur la recherche automatisée et l’échange de données pour la coopération policière est publié au Journal officiel.

Cette nouvelle législation a pour objectif d’améliorer le cadre existant (« Prüm I ») qui permet d’ores et déjà aux services répressifs de consulter les bases de données nationales d’autres États membres en ce qui concerne : l’ADN, les fichiers des empreintes digitales ou encore les fichiers relatifs à l’immatriculation des véhicules. Les règles de ce nouveau règlement élargiront les catégories de données (majoritairement à caractère personnel) pour lesquelles des échanges automatisés seront automatisé : le partage des recherches d’images faciales et d’antécédents de police peuvent désormais être partagés.
De plus, si la législation nationale l’autorise, il sera également possible d’effectuer des recherches dans tous les fichiers concernés afin de retrouver des personnes disparues ou d’identifier des restes humains.
Enfin, Europol est également autorisé à consulter les bases de données nationales afin de recouper les informations qu’il aura reçues de pays tiers.

Disponible (en anglais) sur: eur-lex.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Cour de cassation

Arrêt: La géolocalisation en temps réel des véhicules et des téléphones portables, au cours d’une enquête pénale.

Selon la Cour de cassation dans un arrêt de la chambre criminelle rendu hier (n°23-81.061) , au cours d’une enquête pénale, la géolocalisation en temps réel d’un téléphone portable est une mesure d’investigation qui doit faire l’objet d’un contrôle préalable par un juge ou par une entité administrative indépendante. Cette exigence ne pèse pas sur la géolocalisation d’un véhicule, qui peut être ordonnée, pour une durée limitée, par le procureur de la République.

Selon le communiqué de presse,  « en matière de géolocalisation en temps réel, la CJUE a défini ses exigences sur la base d’une directive qui porte uniquement sur les services de communication électronique accessibles au public. Or, la géolocalisation d’un véhicule ne mobilise pas ces services. La Cour de cassation en déduit qu’une telle mesure de géolocalisation en temps réel d’un véhicule n’a pas à faire l’objet d’un contrôle préalable par un juge ou une entité administrative indépendante. Elle peut être autorisée directement par un procureur de la République, pour une durée limitée, conformément aux règles du droit français. Par conséquent, la décision de la cour d’appel est confirmée en ce qu’elle rejetait la demande d’annulation des mesures de géolocalisation des véhicules. »

En revanche, « la géolocalisation d’un téléphone portable implique l’accès à des données de localisation via les opérateurs de téléphonie mobile, c’est-à-dire des services de communication électronique accessibles au public. Les règles qui l’encadrent doivent donc respecter le droit de l’Union européenne. Le code de procédure pénale autorise le procureur de la République à ordonner la géolocalisation d’un téléphone et permet aux enquêteurs d’accéder en temps réel aux données de localisation de l’appareil, sans prévoir de contrôle préalable de ces mesures par une juridiction ou une entité administrative indépendante. La Cour de cassation constate que cette règle de droit français est contraire au droit de l’Union européenne.  » Précision non anodine: l’irrégularité n’entraine pas l’annulation automatique de la mesure de géolocalisation de téléphone, la personne mise en examen doit pour cela avoir subi un préjudice (les critères d’établissement de ce préjudice étant définis dans l’arrêt).

Disponible sur: courdecassation.fr La décision complète est également disponible.

Retour en haut