Si la loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel a plus de 20 ans, l’on constate qu’elle est soit sous-utilisée soit méconnue des acteurs de la justice. La raison invoquée est souvent son caractère abscons.
Pour répondre à cette critique récurrente, nous proposons de présenter les grands principes que cette législation met en place et d’offrir une grille de lecture qui en facilitera l’analyse.
2. Présentation générale de la
législation relative à la
protection des données à
caractère personnel
Prof. Cécile de Terwangne, Professeure à l’UNamur
Jean-Marc Van Gyseghem, Directeur d’Unité de
recherches au Crids et Avocat au Barreau de Bruxelles
Namur - 2.10.2015
3. 2
Notion de vie privée : propos
introductifs
VP n’est pas exhaustive : elle inclut ce qui relève de
l’intime, de la personnalité, de la vie familiale, de la
santé,…
VP est évolutive
VP est plus large que celle d' « intimité » : elle
existe également dans le milieu professionnel
VP englobe le droit pour l’individu de nouer et
développer des relations avec ses semblables
VP englobe la maitrise des informations qui se
rapportent à soi
4. 3
Vie privée / protection des données
But de la législation de protection des données:
l’auto-détermination informationnelle
= contrôle par chacun de ses informations à
caractère personnel
Le droit à l’auto-détermination informationnelle est
dérivé mais pas assimilé au droit à la vie privée:
- art. 7 et 8 Charte européenne des D.F.
5. 4
Environnement européen
Le droit belge en matière de protection de la
vie privée et de protection des données à
caractère personnel doit être analysé au
regard du droit international:
• Libertés fondamentales dont l’article 8 CEDH
• Convention 108 du Conseil de l’Europe
• Directive 95/46 du Parlement européen
(engagées dans un processus de modernisation)
Politeia - Namur, 2.10.2015
6. 5
Équilibre entre
- droit des « ficheurs » d’utiliser des données
personnelles
- droit des « fichés » de contrôler ces utilisations
Protection des donnée à
caractère personnel : objectif
Loi du 8 décembre 1992 relative à la protection
de la vie privée à l’égard des traitements de
données à caractère personnel
Politeia - Namur, 2.10.2015
7. 6
Notions de base
Donnée à caractère personnel
art. 1er, § 1er
Toute information
Personne
physique
Identifiée
Identifiable
Politeia - Namur, 2.10.2015
8. 7
Personne physique identifiable:
Art. 1er, § 1er de la loi: « est réputée identifiable une personne
qui peut être identifiée, directement ou indirectement, notamment
par référence à un numéro d’identification ou à un ou plusieurs
éléments spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale. »
Exposé des motifs: « prendre en compte l’ensemble des moyens
susceptibles d’être raisonnablement mis en œuvre par le responsable
du traitement ou par toute autre personne, pour identifier les sujets des
données. »
In abstracto
Notions de base
Politeia - Namur, 2.10.2015
10. 9
Notions de base (suite)
Responsable du traitement (art. 1er § 4)
- critère: celui qui détermine les finalités et les moyens
- personne physique ou morale, association de fait ou admin.
Sous-traitant (art. 1er § 5)
- doit être de qualité (art. 16, § 1er, 1°)
Politeia - Namur, 2.10.2015
11. 10
• Fichiers (art. 1er § 3)
La loi s’applique aux:
• Traitements automatisés en tout
ou en partie (art. 3 § 1er)
Champ d’application de la loi
Politeia - Namur, 2.10.2015
12. 11
Champ d’application de la loi
Exclusion totale :
Traitements liés à des activités
exclusivement personnelles ou domestiques
(art. 3 § 2)
Politeia - Namur, 2.10.2015
13. 12
Champ d’application de la loi
Exclusions partielles :
Traitements de données effectués
à des fins de sécurité publique
Politeia - Namur, 2.10.2015
14. 13
Champ d’application de la loi
Exclusions partielles :
Trait. effectués à des fins de
journalisme ou d’expression
littéraire et artistique
C.J.C.E., 16 décembre 2008, C-73/07,
Tietosuojavaltuutettu c. Satakunnan
Markkinapörssi oy et Satamedia oy
Politeia - Namur, 2.10.2015
15. 14
Traitement de données à des fins de
journalisme = ?
C.J.C.E., arrêt du 16 décembre 2008,
(Tietosuojavaltuutettu c. Satakunnan
markkinapörssi oy et Satamedia oy):
activités ‘aux seules fins de journalisme’ =
activités qui ont pour seule finalité la
divulgation au public d’informations,
d’opinions ou d’idées
16. 15
Champ d’application de la loi
Exclusions partielles :
Trait. effectués à des fins de police administrative
Commission bancaire, financière et des Assurances (CBFA)
[FMSA (Financial Services and Markets Authority)]
AR du 29 avril 2009 portant exécution de l'article 3, § 5, 3°, de
la loi du 8 décembre 1992 en ce qui concerne la CBFA
Politeia - Namur, 2.10.2015
17. 16
Traitements gérés par le Service public fédéral
Finances durant la période dans laquelle la
personne concernée est l'objet d'un contrôle ou
d'une enquête ou d'actes préparatoires à ceux-ci
effectués par le Service public fédéral Finances
dans le cadre de l'exécution de ses missions
légales
(loi du 3 aout 2012 portant dispositions relatives
aux traitements de données à caractère
personnel réalisés par le Service public fédéral
Finances dans le cadre de ses missions, ajoute
un §7 à l’article 3 de la loi vie privée)
Champ d’application de la loi
Exclusions partielles (art. 10) :
18. 17
Champ d’application
territorial
- Lieu d’établissement fixe du responsable
- Recours à des moyens situés sur le territoire
belge, dans le but de traiter des données
personnelles
Exercice effectif et réel d’une activité au moyen
d’une installation stable
Sauf le transit
Politeia - Namur, 2.10.2015
19. 18
Enonciation du droit à
la protection
« Lors du traitement de données à caractère
personnel la concernant, toute personne
physique a droit à la protection de ses
libertés et droits fondamentaux,
notamment à la protection de sa vie
privée » (art. 2)
21. 20
Licéité du traitement des
données
1. Données traitées loyalement et licitement
(art. 4, 1°)
Transparence Respect des lois
Politeia - Namur, 2.10.2015
22. 21
Licéité du traitement des
données
Finalités
de la collecteLégitimes
Déterminées
et explicites
Utilisations
compatibles
2. Principe de finalité (art. 4, 2°):
Précises
Pas secrètes
Le but ne peut induire
une atteinte disproportionnée
aux intérêts des personnes
- Prévisions raisonnables
des intéressés
- Dispositions légalesPoliteia - Namur, 2.10.2015
23. 22
Du principe de finalité
découle:
Ce que l’on peut faire : ce qui est
compatible avec la finalité annoncée
Les données que l’on peut traiter :
seulement les données pertinentes au vu
de la finalité poursuivie
La durée de conservation des données :
tant que c’est nécessaire pour réaliser
l’objectif
24. 23
Utilisations pas compatibles
Cas particulier :
Traitement ultérieur
pour finalités historiques, statistiques
ou scientifiques
Politeia - Namur, 2.10.2015
25. 24
Conséquences de
l’incompatibilité
D’après la loi : Incompatibilité de la finalité
secondaire entraîne blocage des données : elles
ne peuvent être communiquées en vue de
traitement à fins historiques, statistiques ou
scientifiques sauf si nouveau traitement
annonçant finalité statistique dès le départ
Régime de l’arrêté royal : débloque données.
Permet traitement à fins statistiques sans devoir
tout recommencer mais respect régime de
l’arrêté royal.
26. 25
Finalités statistiques
Recommandation R(97)18 Conseil de
l ’Europe : « toute opération de collecte
et de traitement des données à caractère
personnel nécessaires aux enquêtes
statistiques ou à la production de résultat
statistique »
Exposé des motifs : « la statistique a
pour objet l’analyse des phénomènes de
masse…elle permet de tirer une
affirmation générale d’une série
d’observations systématiques »
• vise donc données générales mais aussi
données individuelles
• vise statistique publique et privée
27. 26
Finalités scientifiques
Exposé des motifs rec. R(97)18:
recherche scientifique vise à établir des
permanences, des lois de comportement
ou des schémas de causalité qui
transcendent tous les individus qu’ils
concernent
28. 27
Traitement ultérieur
Ne vise donc pas traitement qui poursuit
dès le départ une finalité statistique,
scientifique ou historique
29. 28
Finalités historiques
Rapport au Roi de l’AR du 13 février
2001: Traitements visant à analyser un
événement passé ou à permettre cette
analyse
30. 29
Arrêté royal du 13.02.2001
Définitions:
• Données anonymes: « les données qui ne
peuvent être mises en relation avec une
personne identifiée ou identifiable et qui ne
sont donc pas des données à caractère
personnel »
• Données codées: « les données à caractère
personnel qui ne peuvent être mises en
relation avec une personne identifiée ou
identifiable que par l'intermédiaire d'un code »
Politeia - Namur, 2.10.2015
31. 30
Arrêté royal du 13.02.2001
Principes:
Politeia - Namur, 2.10.2015
Données anonymes
Données codées
Données non codées
32. 31
Arrêté royal du 13.02.2001
• Interdiction d’entreprendre des actions de
conversion de:
• données anonymes en données à caractère
personnel
• données codées en données à caractère
personnel non codées.
Politeia - Namur, 2.10.2015
33. 32
Arrêté royal du 13.02.2001
Données codées:
• Hypothèse 1a: pour le compte ou par le
responsable de traitement initial
Politeia - Namur, 2.10.2015
Responsable de traitement
34. 33
Arrêté royal du 13.02.2001
Données codées:
• Hypothèse 1b:
Politeia - Namur, 2.10.2015
Organisme intermédiaire
Sous-traitant
Responsable de traitement
35. 34
Arrêté royal du 13.02.2001
Données codées:
• Hypothèse 2a:
Politeia - Namur, 2.10.2015
Traitement initial
Traitement ultérieur
Responsable de
traitement initial Tiers
36. 35
Arrêté royal du 13.02.2001
Données codées:
• Hypothèse 2b:
Politeia - Namur, 2.10.2015
Sous-traitant
Traitement initial Traitement ultérieur
Responsable de
traitement initial Tiers
37. 36
Arrêté royal du 13.02.2001
Données codées:
• Hypothèse 3:
Politeia - Namur, 2.10.2015
Responsable de
traitement
Traitement initial
Traitement ultérieur
Responsable de
traitement initial
Tiers
38. 37
Arrêté royal du 13.02.2001
• Conditions
• pour hypothèses 2 et 3:
Responsable de traitement ultérieur doit
présenter l’accusé de réception d’une déclaration
complète;
Données codées: « les données à caractère
personnel qui ne peuvent être mises en relation
avec une personne identifiée ou identifiable que
par l'intermédiaire d'un code »
Politeia - Namur, 2.10.2015
39. 38
Arrêté royal du 13.02.2001
• pour données sensibles (uniquement?):
Informations spécifique avant le codage:
l'identité du responsable du traitement ;
les catégories de données à caractère personnel qui
sont traitées ;
l'origine des données ;
une description précise des fins historiques,
statistiques ou scientifiques du traitement ;
les destinataires ou les catégories de destinataires
des données à caractère personnel ;
Etc
Politeia - Namur, 2.10.2015
40. 39
Arrêté royal du 13.02.2001
Données non codées:
• Conditions
• Information de la personne concernée;
• Consentement de la personne concernée
• Sauf:
• données non codées:
rendues manifestement publiques par la
personne concernée
qui sont en relation étroite avec le caractère
public de la personne concernée ou des faits dans
lesquels celle-ci est ou a été impliquée; ou
Politeia - Namur, 2.10.2015
41. 40
Arrêté royal du 13.02.2001
• Impossibilité ou efforts disproportionnés et
responsable de traitement s'est conformé à la
procédure déterminée (déclaration ad hoc -
article 21 de l’AR)
Politeia - Namur, 2.10.2015
43. 42
Fondement du traitement
(art. 5)
Consentement indubitable de la personne
concernée
• Libre
• Éclairé
• Spécifique
(forme libre)
Nécessaire au contrat ou à la négociation
d’un contrat
44. 43
Fondement du traitement
(suite)
Nécessaire au respect d’obligations légales
Nécessaire sauvegarde de l’intérêt vital
Mission d’intérêt public/autorité publique
Intérêt légitime du responsable du
traitement pour autant que ne prévalent
pas l’intérêt ou les droits et libertés de la
personne concernée
45. 44
Traitement catégories
particulières de données
A. Données « sensibles » (art. 6) :
révèlent l’origine raciale ou ethnique, les
opinions politiques, convictions religieuses ou
philosophiques, appartenance syndicale,
données relatives à vie sexuelle.
B. Données relatives à la santé (art.
7)
C. Données judiciaires (art. 8):
relatives à suspicions, poursuites,
condamnations pénales ou administratives
46. 45
Principe: interdiction de traiter les données A+B
sauf si
- consentement par écrit (! Pas pour employeur)
- données manifestement publiques
- associations à finalité politique, religieuse,... et pas de communication
à des tiers
- obligation légale (droit du travail)
- permis par ou en vertu d’une loi, en vue de l’application de la
sécurité sociale ou pour un motif d’intérêt public important …
- aux fins de médecine préventive, de diagnostic médicaux, de
l’administration de soins, et le traitement est effectué sous
la surveillance d’un professionnel des soins de santé
Politeia - Namur, 2.10.2015
47. 46
Principe: interdiction de traiter les données C
sauf si
- sous contrôle autorité publique
- si nécessaire exécution loi ou
obligations réglementaires
- gestion contentieux
- avocats
48. 47
Précautions particulières
• désigner les catégories et fonctions des personnes ayant accès
aux données
• lors de l’information, mentionner la base légale autorisant le
traitement de données sensibles
• si consentement écrit, signaler les motifs du traitement de données
sensibles et catégories de personnes ayant accès aux données
49. 48
La qualité des données
Adéquates, pertinentes et non excessives
Exactes et si nécessaire mises à jour
Conservation pendant période limitée
50. 49
Droits de la personne
concernée
Droit d’accès (art. 10) : sur demande.
• Quoi ?
• confirmation que données sont ou non traitées
• Données contenues à son sujet
• origine
• connaissance de la logique
• Droit d’exercice des recours
• Exceptions :
• Journalisme, expression littéraire ou artistique si
compromettrait publication
51. 50
- Données relatives à la santé (art. 10 § 2)
Choix du patient: accès direct OU par intermédiaire d’un professionnel
Possibilité pour le responsable d’exiger un intermédiaire choisi par le
patient
Droits de la personne concernée
Droit d’accès indirect
- Données traitées par la « police » (art. 13)
Accès par la Commission de la protection de la vie privée
Politeia - Namur, 2.10.2015
52. 51
Modalités d’exercice des droits (AR) :
- Demande datée et signée sur place, par poste ou autre moyen
télécommunication (e-mail)
- Réponse dans 45 jours
Droit de rectification:
rectification de toute donnée inexacte,
ou suppression de donnée incomplète, non pertinente ou
conservée pour durée trop longue par rapport à finalité poursuivie.
Droits de la personne
concernée
Politeia - Namur, 2.10.2015
53. 52
Droits de la personne
concernée
Droit d’opposition (article 12)
• Sur demande datée et signée, droit de
s’opposer:
• Pour raisons sérieuses et légitimes
• Sans justification en cas de traitements à fins
« direct marketing »
54. 53
Droits de la personne
concernée
Décision individuelle automatisée (article
12bis)
• Ne pas être soumis à décision produisant effets
juridiques à l’égard d’une personne ou
l’affectant de manière significative, prise sur
seule fondement d’un traitement automatisé
de données destiné à évaluer certains aspects
de sa personnalité
• Exceptions : contrat ou disposition légale si
garantie de sauvegarde des intérêts de la
personne et de son point de vue.
55. 54
Obligation d’informer (article 9)
• De quoi?
• Au moins : identité resp. du traitement,
finalités, droit de s’opposer au traitement à fins
de « direct marketing »
• Information supplémentaire : existence droit
d’accès et rectification, destinataires des
données, caractère obligatoire ou facultatif de la
réponse et conséquences défaut de réponse
Obligations du responsable
56. 55
Obligation d’informer (suite)
• Quand?
• Lors de la collecte si collectées auprès de la personne
concernée
• Lors de l’enregistrement ou de la communication
• Exceptions : article 9§2
• Impossible ou efforts disproportionnés
(+justification) (! Si contact plus tard)
• Application d’une disposition légale
Obligations du responsable
57. 56
Sécurité et confidentialité (art. 16, §§2-3)
Obligations du responsable
• faire diligence pour tenir les données à jour
• limiter l’accès du personnel aux seules données
nécessaires
• mettre le personnel au courant de la législation
personnel tenu à obligation de confidentialité
Politeia - Namur, 2.10.2015
58. 57
Obligations du responsable
Mesures techniques et
organisationnelles requises pour
protéger les données
• En tenant compte de l’état de la technique,
• des frais
• et de la nature des données à protéger
Sécurité et confidentialité (art. 16, § 4)
59. 58
Obligations du responsable
• Choix du sous-traitant et garanties contractuelles
- choix d’un s-t qui offre garanties suffisantes quant à
sécurité
- contrat doit fixer responsabilité du sous-traitant et
indiquer que s-t ne peut agir que sur instructions du
responsable
Sécurité et confidentialité (art. 16, § 1er)
Politeia - Namur, 2.10.2015
60. 59
Obligations du responsable
Déclaration du traitement automatisé
auprès de CPVP (ex.: http://www.privacycommission.be/fr)
Traitement ou ensemble de traitements
ayant même finalité ou finalités liées
Quand (art. 17 § 1)
Contenu (art. 17)
Contribution financière (A.R.)
Registre public (art. 18)
Arrêté royal prévoit dispenses (art. 51 à
62) mais jamais pour données sensibles.
Déclaration
61. 60
Sanctions et recours
Sanctions pénales (art. 39)
Recours :
• Plainte CPVP
• Recours judiciaires
Médiation
Dénonciation au Procureur du Ro
62. 61
Recours (suite)
Recours judiciaires
• Les recours traditionnels :
- en cessation devant le président du
Tribunal de commerce
- Tribunal civil
- Tribunal pénal
- Tribunal du travail
• Le recours particulier de l’article 14: le président
du tribunal de 1ère instance siégeant comme en
référé pour, et uniquement pour, les droits
subjectifs accordés à la personne concernée par
la loi de 1992.
63. 62
Merci de votre attention
jean-marc.vangyseghem@unamur.be
cecile.deterwangne@unamur.be
64. Chercheuse au CRIDS et avocat chez Crosslaw
Les saisies de matériel et
de données informatiques
Bénédicte Losdyck
2 octobre 2015
Benedicte.losdyck@unamur.be
65. 2
Saisies & Vie privée
! Matériel informatique susceptible de contenir
• des données à caractère personnel
• des données couvertes par le secret professionnel
! Saisir du matériel ou des données informatiques
constitue une ingérence dans la vie privée :
ü « La fouille et la saisie de données électroniques s’analysent en
une ingérence dans le droit au respect de la « vie privée » et de la
« correspondance » (CEDH, Sallinen et autres c. Autriche, 27
septembre 2005)
66. 3
Saisies & Vie privée
! Atteinte au droit au respect de la vie privée
consacré à l’article 8 CEDH et à l’article 22 de la
Constitution
Ø Du saisi
Ø Du tiers impacté indirectement par la saisie
! Atteinte au principe de l’inviolabilité du domicile
consacré à l’article 15 de la Constitution
67. 4
Saisie & Vie privée
! Droit au respect de la vie privée pas absolu (article 8§2
CEDH)
! Ingérence tolérée si:
• Elle est prévue par la loi
• Elle poursuit un but légitime
• Elle est nécessaire dans une société démocratique
68. 5
PLAN
! Les différents types de saisies
• Pénales
• La saisie pénale de données informatiques
• L’extension de recherche dans un autre système informatique
• Civiles
• La saise mobilière
• La saisie-description
• La saisie ordonnée sur la base de l’article 584,al 3 du Code
judiciaire
! Les garde-fous visant à protéger le saisi
• Lors de l’octroi de la mesure
• Lors de l’exécution de la mesure
• Lorsque la mesure prend fin
69. 6
Les types de saisies
! La saisie de données informatiques
• En matière pénale (art. 39bis CICr)
• MP a le droit de saisir des données et du matériel
informatiques pouvant servir à la manifestation de la
vérité (copie, blocage, saisie du support)
! L’extension de la recherche dans un autre système
informatique (art. 88ter CICr)
• Exemple: cloud
! Cass, 11 février 2015: « l’exploitation d’un
téléphone portable est une mesure découlant
de la saisie »
70. 7
Les types de saisies
! La saisie mobilière
• Conservatoire
• Rend indisponibles les biens saisis
• But: empêcher le débiteur d’en disposer au
détriment de ses créanciers
• Caractère purement conservatoire
• Exécution
• Mise sous la main de la justice de biens
meubles en vue de faire procéder à leur vente
• But: obtenir le paiement de ce qui est dû
71. 8
Les types de saisies
! La saisie-description
• Spécifique à la matière des droits de propriété
intellectuelle (PI)
• But: permet au titulaire d’un droit de PI de
rechercher et de rapporter la preuve d’une
atteinte à son droit grâce à une expertise
• Possibilité d’obtenir l’indisponibilité de certains
objets (saisie-réelle)
72. 9
Les types de saisies
! La saisie ordonnée sur la base de l’article 584, al.3
du Code judiciaire
• Permet au juge d’ordonner en référé toutes mesures
nécessaires à la sauvegarde des droits de ceux qui ne
peuvent y pourvoir
• Sur simple requête en cas d’urgence et d’absolue
nécessité
• En pratique, des saisies informatiques sont
fréquemment permises sur cette base
73. 10
« Nous, X, Président du tribunal {…} ;
Déclarons la demande recevable et fondée dans la mesure ci-après
précisée ;
Ordonnons à X de remettre conformément à la présente ordonnance, à
l’huissier de justice instrumentant tout le matériel informatique
(notamment les ordinateurs, I-pads, DVD, Cd rom, clés USB, serveurs,
BlackBerry, et autres téléphones mobiles) dont il est détenteur à son
domicile ainsi que tous les écrits relatifs à la requérante et ses affaires
dont il est détenteur à son domicile, sous peine d’une astreinte de 1.000
euros par jour de retard ;
Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout autre
endroit où se trouverait du matériel informatique, sous peine d’astreinte de
1.000 euros par jour de retard ;
74. 11
Ordonnons à X d’indiquer à l’huissier de justice instrumentant tout mot de
passe et toutes données utiles de connexion à son adresse e-mail privée
et au matériel précité, sous peine d’une astreinte de 1.000 euros par jour de
retard ;
Autorisons l’huissier de justice instrumentant à saisir tout le matériel
informatique et condamnons X à remettre tous ses écrits et affaires présents à
son domicile et à tout autre endroit;
Autorisons l’huissier instrumentant à conserver les biens saisis en exécution
de la présente ordonnance et disons qu’il les remettra à l’expert désigné ;
Autorisons l’expert à pénétrer dans le domicile de X afin d’exécuter la présente
ordonnance ;
Autorisons l’huissier de justice instrumentant à avoir recours à l’assistance de la
force publique afin d’assurer l’exécution de la présente ordonnance
75. 12
En pratique
! Constats:
• Saisies informatiques de plus en plus fréquentes
• Impact important pour l’individu ou la société qui en
fait l’objet
• Mesures très larges accordées
• Usage détourné des mesures de saisies
• Problème d’indépendance de l’expert désigné
76. 13
Les garde-fous visant à
protéger le saisi
! Lors de l’octroi de la mesure
! Lors de l’exécution de la mesure
! Lorsque la mesure prend fin
Et distinction entre les garanties légales et jurisprudentielles
77. 14
Les garde-fous visant à
protéger le saisi
! Lors de l’octroi de la mesure
• Les garanties légales
• Requête motivée
• Juge spécifique
• Nécessité de remplir des conditions strictes propres à
chaque type de saisie
• Respect du principe de proportionnalité
78. 15
• Les garanties émanant de la jurisprudence
• Soupçons raisonnables doivent exister
§ En Belgique:
ü Cour d’appel de Mons, 26 avril 2010
ü Cass, 25 novembre 2011
§ En Europe:
ü CEDH, André et autres c. France, 24 juillet 2008
ü CEDH, Robathin c. Autriche, 3 juillet 2012
ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015
79. 16
• Mandat/ordonnance doit avoir une portée limitée et
être rédigé en termes précis
§ En Belgique:
ü Cour d’appel de Liège, 13 novembre 2006
§ En Europe:
ü CEDH, Van Rossem c. Belgique, 9 décembre 2004
ü CEDH, Ilya Stefanov c. Bulgarie, 22 mai 2008
ü CEDH, Robathin c. Autriche, 3 juillet 2012
ü CEDH, Yuditskaya et autres c. Russie, 12 février 2015
80. 17
Les garde-fous visant à
protéger le saisi
! Lors de l’exécution de la mesure
• Les garanties légales
• Devoir d’information de la personne concernée
• Choix de la méthode (mise sous scellé ou simple copie?)
• Etablissement d’un inventaire/procès-verbal
• Respect des limites du mandat ou de l’ordonnance
• Si documents couverts par le secret professionnel, des
garanties spéciales s’appliquent
ü Ex: saisie chez un avocat/médecin en présence d’un
membre de l’ordre
81. 18
• Les garanties émanant de la jurisprudence
• Saisie massive et indifférenciée interdite
• En Belgique:
ü Cour d’appel de Liège, 13 novembre 2006
ü Cass, 22 janvier 2015
• En Europe:
ü CEDH, Miailhe c. France, 25 février 1993, §39
ü CEDH, Yudiskaya et autres c. Russie, 12 février 2015
ü CEDH, Vinci Construction et GTM Génie civil c. France,
2 avril 2015
82. 19
• Secret professionnel et protection de la vie privée
• En Europe:
ü CEDH, Wieser and Bicos c. Autriche, 16 octobre 2007
ü CEDH, André et autres c. France, 24 juillet 2008
ü CEDH, Vinci construction et GTM Génie civil c. France,
2 avril 2015
ü CEDH, Sérvulo et associés c. Portugal, 3 septembre
2015
83. 20
Les garde-fous visant à
protéger le saisi
! Lorsque la mesure prend fin
• Les garanties légales
• Assurer l’intégrité, la préservation et la
confidentialité des données (MP, expert)
• Exercice d’un droit de recours effectif
• Restitution/déblocage du matériel ou
des données
84. 21
• Les garanties émanant de la jurisprudence
• Durée de conservation du matériel - Restitution
ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008
ü CEDH, Sérvulo et associés c. Portugal, 3 septembre
2015
• Répercussion possible sur le travail ou la réputation
de la personne concernée
ü CEDH, Iliya Stefanov c. Bulgarie, 22 mai 2008
85. 22
Deux arrêts récents de la
CEDH
! L’arrêt Vinci construction et GTM Génie civil et
l’arrêt Sérvulo et associés:
• Saisies de matériel et documents électroniques
• Impliquant de la correspondance échangée entre
l’avocat et son client
• Décision de la Cour divergente
• Vinci construction : Violation article 8 CEDH
• Sérvulo et associés : Non-violation article 8 CEDH
• Analyse du raisonnement de la Cour et des différences
entre les deux arrêts
86. 23
Raisonnement
! Respect du principe de proportionnalité
• La législation et la pratique interne apportent-elles aux
individus des garanties adéquates et effectives contre les
abus?
• En l’espèce, l’ingérence litigieuse était-elle proportionnée
au but recherché?
• Circonstances dans lesquelles le mandat a été émis
ü Éléments de preuve disponibles à l’époque
ü Contenu et étendu du mandat
• Manière dont la perquisition a été menée
ü Présence ou non d’observateurs indépendants?
• Étendue des répercussions possibles sur le travail et la
réputation
• Existence d’un contrôle efficace des mesures attentatoires à
la vie privée?
87. 24
Conclusion
q Rôle du juge :
q n’ordonner que les mesures nécessaires à la
réalisation du but poursuivi
q et vérifier qu’il n’existe pas de méthode moins
attentatoire aux droits des personnes concernées
q Rôle de l’expert:
q conserver son indépendance,
q circonscrire son expertise (mots clés limités,…)
q et préserver la confidentialité et l’intégrité des
informations
88. 25
q Rôle de l’huissier:
q informer le saisi et
q dresser les procès-verbaux
q en y incluant les éventuelles contestations
q Rôle du saisi:
q classer,
q archiver,
q supprimer
q et répertorier ses documents
91. 2
PLAN
Quelques propos introductifs concernant le droit au respect de
la vie privée sur le lieu du travail et la réglementation de la
problématique
L’utilisation des TIC dans le contrôle/la surveillance le
travailleur:
• Le cas de l’internet ou de l’e-mail
• Le téléphone
• Le cas du disque dur ou autre support (cd-rom)
• La géolocalisation
Sanctions en cas de non-respect de la règlementation
• La problématique de la recevabilité de la preuve
• Les autres sanctions
93. 4
Introduction
La reconnaissance d’une vie privée au travail (CEDH
Niemietz/Allemagne, 16 décembre 1992) : Le droit à la vie
privée peut être invoqué par le travailleur dans les locaux
professionnels et même lorsque le travailleur utilise les outils
de l’employeur
(voy. ég. Cour eur. D.H., Arrêt Halford c. Royaume-Uni, 25 juin 1997 ; Cour
eur. D.H., arrêt Copland, 3 avril 2007)
Dilution du terrain professionnel : difficultés de tracer une
frontière entre vie privée et vie professionnelle
Nécessité de rechercher un équilibre entre le pouvoir de
surveillance de l’employeur et la vie privée du travailleur
94. 5
Quelques particularités de la vie privée en droit
du travail
• Il existe de nombreuses règles spécifiques de
protection de la vie privée. La conjonction de ces
nombreuses règles est malaisée.
• En dehors de ces règles, il faut recourir aux principes
généraux issus de l’interprétation de l’article 8
CEDH.
• Application horizontale de l’article 8 CEDH.
95. 6
• Règlementation de différentes problématiques par le
recours à des conventions collectives de travail
du fait de l’autonomie des partenaires sociaux
• Exclusion de l’autorité publique
• Problématique de la hiérarchie des sources dans le cas
où il faut une loi pour faire une ingérence dans la vie
privée
• Problématique de consentement du travailleur
dans un contrat inégalitaire. Questions spécifiques du
contrat de travail et du règlement de travail.
97. 8
Quelques constats préalables
Focalisation de la jurisprudence et de la
doctrine sur l’aspect « surveillance » et non
«gestion »
L’utilisation des NTIC comme outils de travail
et outils de contrôle : différents cas de
figure
Distinction entre le contrôle a priori et a
posteriori
98. 9
NTIC
et droit respect la vie privée
Droit au respect de la vie privée de l’article 8 CEDH
Il ne peut y avoir d’ingérence dans la vie privée d’une personne sauf
lorsque celle-ci est prévue par une « loi », pour un objectif prévu à l’article 8
de la CEDH (dont la protection des droits et libertés d’autrui) et que
l’ingérence n’est pas disproportionnée
Droit à la protection des données à caractère
personnel
On ne peut traiter des données relatives à des personnes physiques que
dans les conditions fixées par la loi
Secret des communications électroniques
Sauf exceptions prévues par la loi, un tiers à une communication
électronique ne peut pas prendre connaissance de l’existence de l’information
transmise ou des données de communications, ni les stocker, sans l’accord
de toutes les personnes concernées par la communication
99. 10
NTIC
et droit respect la vie privée
Critère des attentes raisonnables en matière de
vie privée
CEDH, voy. not. Arrêts Peev, 26 juillet 2007 et Alford, 25 juin
1997) : L’intéressé peut-il raisonnablement s’attendre à voir
respecter sa vie privée ? (Cour de cassation, 9 septembre
2008)
Droit au respect de la vie privée n’est pas absolu :
Ingérences possibles : critères de légalité, finalité et
proportionnalité
100. 11
Surveillance
et droit respect la vie privée
Surveillance et NTIC devant la Cour.eur.D.H. :
Arrêt Köpke c. Allemagne du 5 octobre 2010
[Cas d’une vidéosurveillance par détective privé pour établir
des vols commis par une caissière]
• Mise en balance du droit au respect de la vie privée du travailleur
v. droit de propriété de l’employeur / intérêt public de la bonne
administration de la justice
• Mise en balance peut et doit évoluer dès lors que les techniques
de surveillance deviennent plus intrusives
101. 12
Principes de l’article 8 CEDH
Légalité
Finalité
Proportionnalité
Principes en matière de contrôle
Transparence
Finalité (légitime)
Proportionnalité
103. 14
Contrôle a priori
• Marge de manœuvre de l’employeur
• L’employeur peut-il interdire tout usage à des fins
privées ou certains actes (téléchargement)?
controverse
• L’employeur peut permettre un usage exceptionnel,
marginal ou limité à certaines périodes de la journée
• L’employeur peut interdire l’accès à certains sites
• L’employeur peut assortir l’usage de la messagerie à
certaines conditions (suppression de la signature de
l’entreprise, identification des e-mails privés, usage
d’une boîte e-mail privée).
essentiellement une question d’opportunité
104. 15
Comment mettre en place un contrôle a
priori?
réglementer dans le respect du cadre légal
applicable (cf. C.C.T. n°81)
• Comment? Par exemple en insérant un chapitre sur ce
thème dans le contrat de travail, dans le règlement de
travail, dans une charte ad hoc.
• Que réglementer? Ce qui est permis / interdit; imposer
des modalités d’utilisation.
• Intérêt ? Transparence, éventuelle concertation,
avertissement.
105. 16
Contrôle a priori
Par le biais de dispositifs techniques
Par exemple: logiciels bloquant l’accès à certains sites
dans le respect des règles applicables concernant les
communications électroniques (L. 13 juin 2005 sur les
communications électroniques, art. 122).
106. 17
Contrôle a posteriori
Ce n’est pas parce que l’employeur a
interdit l’usage de l’outil mis à
disposition du travailleur à des fins
privées que cela lui confère un libre
accès aux données et documents du
travailleur !!!
!
107. 18
Contrôle a posteriori
Cadre légal de référence :
• Dispositions légales protégeant la vie privée
• Article 8 C.E.D.H. et 22 Constitution
• Articles 124 et 125 L. 13 juin 2005 sur les
communications électroniques
• Article 314bis C.P.
• L. 8 décembre 1992
• Dispositions légales instaurant un pouvoir de
contrôle de l’employeur
• Articles 16 et 17 de la loi sur le contrat de travail
• Le texte du compromis
• C.C.T. n°81
108. 19
Le secret des communications
électroniques
Sans le consentement des personnes parties à la
communication :
• Pas d’interception durant la communication – vise le
contenu de la communication (art. 314bis et 259bis
Code pénal)
• Pas de prise de connaissance de :
• L’existence d’une information transmise,
• De l’identité des personnes parties à la communication
• Des données de communications
• Et … pas de stockage de ces informations…
109. 20
Le secret des communications
électroniques
Art. 124 de la LCE :
« S'il n'y est pas autorisé par toutes les personnes directement ou
indirectement concernées, nul ne peut :
1° prendre intentionnellement connaissance de l'existence
d'une information de toute nature transmise par voie de
communication électronique et qui ne lui est pas destinée
personnellement;
2° identifier intentionnellement les personnes concernées par la
transmission de l'information et son contenu;
3° sans préjudice de l'application des articles 122 et 123 prendre
connaissance intentionnellement de données en matière de
communications électroniques et relatives à une autre
personne;
4° modifier, supprimer, révéler, stocker ou faire un usage
quelconque de l'information, de l'identification ou des données
obtenues intentionnellement ou non »
110. 21
Étendue de la protection
Requiert une « intention » pour les actes visés
aux al. 1, 2 et 3 de l’article 124 de la LCE
La jurisprudence distingue la prise de connaissance
«fortuite» des «démarches actives» pour prendre
connaissance d’une communication
Applicable à toutes les communications privées
(><publiques), en ce inclus les communications
professionnelles
Protection des données de communication et du
contenu (voy. Cass., 1er octobre 2009, RG C.08.0064.N)
Pas d’exceptions spécifiques dans le contexte des
relations de travail
111. 22
Exceptions
Art. 125 de la LCE:
• lorsque la loi permet ou impose l'accomplissement des
actes visés
• lorsque les actes visés sont accomplis dans le but exclusif
de vérifier le bon fonctionnement du réseau et d'assurer la
bonne exécution d'un service de communications
électroniques
• lorsque les actes sont accomplis dans le seul but d'offrir
des services à l'utilisateur final consistant à empêcher la
réception de communications électroniques non souhaitées
(spamming), à condition d'avoir reçu l'autorisation de
l'utilisateur final à cet effet.
112. 23
Exceptions
Commentaire de l’article 128, §1er de la LCE:
• Ce qui est permis : l’enregistrement du contenu et des
données de communications
• Conditions :
• Finalité = comme preuve d'une transaction commerciale ou
d'une autre communication professionnelle
• Information préalable de toutes les parties à la
communication à tout le moins sur :
Le principe de l’enregistrement,
les objectifs précis de ce dernier
la durée de stockage de l'enregistrement
• Durée de conservation limitée
113. 24
Conclusions provisoires
• Pas de distinction entre e-mail professionnel
ou privé
• Pas de prise de connaissance par un tiers, en
ce inclus «l’employeur » sans le consentement
de toutes les parties à la communication
distinction entre :
connexions internet: on peut envisager d’obtenir
le consentement des travailleurs
e-mails : difficile d’obtenir le consentement de
tiers
114. 25
Règles du contrôle définies dans une
Convention collective de travail n°81
Champ d’application limité :
• Secteur privé
• Uniquement les données de communications et pas
le contenu des communications
données de communication électroniques en réseau = les données relatives
aux communications électroniques transitant par réseau, entendues au sens
large et indépendamment du support par lequel elles sont transmises ou
reçues par un travailleur dans le cadre de la relation de travail.
Distingue e-mails privés et professionnels
>< article 124 LCE (C.T. Anvers (sect. Anvers), 15
décembre 2004, Chr.D.S.., 2006, p. 146)
116. 27
Principes clés
finalité (art. 5) finalités définies dans
la C.C.T.
1. la prévention de faits illicites ou diffamatoires, de faits
contraires aux bonnes mœurs ou susceptibles de porter
atteinte à la dignité d’autrui ;
2. la protection des intérêts économiques, commerciaux et
financiers de l’entreprise auxquels est attaché un
caractère de confidentialité ainsi que la lutte contre les
pratiques contraires ;
3. la sécurité et/ou le bon fonctionnement technique des
systèmes informatiques en réseau de l’entreprise, en ce
compris le contrôle des coûts y afférents, ainsi que la
protection physique des installations de l'entreprise ;
4. le respect de bonne foi des principes et règles
d’utilisation des technologies en réseau fixés dans
l’entreprise (cf contrôle a priori).
117. 28
Principes clés
proportionnalité (art. 6 et 14) exclut
les contrôles permanents ou le contrôle
immédiat sur des données individualisées
Transparence (art. 7-8 et 15-16)
informer les travailleurs au préalable sur les
contrôles dont il peut faire l’objet (finalités,
modalités, personnel concerné, identification et
prérogatives du personnel de surveillance etc.)
Procédure de la sonnette d’alarme pour la
finalité 4
118. 29
MAIS quid de la légalité ?
CCT en >< secret des communications
électroniques
Il faut le consentement de toutes les
personnes parties à la communication pour
prendre connaissance de celle-ci et des
données de communication
119. 30
Conséquences
Conséquence d’un non-respect des règles
d’utilisation de l’e-mail et de l’internet
• Possibilité de prévoir des sanctions dans le
règlement de travail
• Motif grave? Appréciation au cas par cas
120. 31
Etats des lieux
Jurisprudence hétérogène
Quelques constats par rapport à la jurisprudence
récente :
• Prépondérance donnée aux principes de l’article 8 CEDH et
à la CCT n°81
• Distinction selon que la messagerie est accessible à
plusieurs personnes ou non
• Distinction selon que le courrier électronique est ou non
professionnel
• Distinction selon le caractère fortuit ou non de la prise de
connaissance des données
A noter : la CPVP a revu sa position sur le sujet
(Recommandation n°08/2012)
122. 33
Contrôle de l’usage du
téléphone
Il s’agit d’un type de communication électronique
Interdiction d’écouter / d’enregistrer les communications lorsqu’on est
tiers à la communication, sans le consentement de toutes les parties
Exception : call centers (article 128, § 2 LCE)
Quid des données d’appel ? Voir Gand, 12 mai 2014, RG 2013/AG/269: le
travailleur doit raisonnablement s’attendre à ce que les données de facturation soient
contrôlées par l’employeur
Quid d’un enregistrement auquel on est partie?
Voy. Arrêt de la Cass. 9 novembre 2008, RG P.08.276.N
Pas illicite per se
Mais peut constituer une violation de l’article 8 CEDH suivant les
circonstances de la cause
Nécessité d’examiner quelles étaient les attentes raisonnables de
l’autre partie
124. 35
Contrôle du contenu du
disque dur / d’un CD-Rom
Décisions affirmant le principe de l’application du
droit au respect de la vie privée :
• Articles 8 de la CEDH et 22 Constitution
• Loi du 8 décembre 1992
En infèrent not. l’exigence d’une information préalable
Certaines décisions prennent en considération le fait
que le document est ou non identifié comme privé
Pour un cas de prise de connaissance du contenu
d’un CD-Rom, voy. CT Liège, 20 septembre 2010, RG
2007/AL/34.907
126. 37
Contrôle par le biais de la
géolocalisation
Jurisprudence en matière de géolocalisation des
véhicules
• Application de l’article 8 CEDH (voy. également Cour.
Eur. D.H., affaire Uzun c. Allemagne, 2 septembre 2010, en
matière pénale)
• De la loi du 8 décembre 1992 (dans un arrêt de CT
Gand, 14 octobre 2011, JT, 2012, p. 190)
Appréciation variable en jurisprudence de la
rencontre des exigences de transparence, finalité et
proportionnalité
128. 39
Recevabilité de la preuve
• Contexte de la problématique
• Admissibilité des preuves dans les litiges
sociaux (article 12 L. du 3 juillet 1978)
• La question de la licéité des preuves
129. 40
Recevabilité de la preuve
Objet de la problématique :
Quel sort réserver à une preuve illicitement recueillie?
Dédoublement du débat
A la question de la savoir quand une preuve est illicite…
Renvoie à question de la violation du droit au respect de la
vie privée, du secret des communications électroniques,
d’une CCT, de la loi du 8 décembre 1992, etc.
…. S’ajoute celle de savoir si la preuve illicite peut être
prise en compte par le juge
130. 41
Evolution de la jurisprudence
Evolution de la jurisprudence de la Cour de
cassation Arrêt « Antigone » du 14 octobre 2003 rendu en
matière pénale et mettant fin au principe de l’écartement
« automatique » de la preuve illicite
Renversement du principe de l’écartement des
preuves :
« La circonstance qu'un élément de preuve a été obtenu irrégulièrement a, en
règle, uniquement pour conséquence que le juge lorsqu'il forme sa conviction, ne
peut prendre cet élément en considération ni directement ni indirectement :
- soit lorsque le respect de certaines conditions de forme est prescrit à peine de
nullité ;
- soit lorsque l'irrégularité commise a entaché la fiabilité de la preuve ;
- soit lorsque l'usage de la preuve est contraire au droit à un procès équitable »
131. 42
Jurisprudence « Antigone »
Application en matière civile?
Evolution de la question :
Opposition des juridictions de fond à l’application en
matière civile, principalement suite à l’arrêt « Manon » du 2
mars 2005
Arrêt de la Cour de cassation du 10 mars 2008 (litige
ONEM)
« Validation » de la jurisprudence par la Cour.eur.DH (arrêt
« Lee Davies » du 28 juillet 2009 et par la C.
constitutionnelle (arrêt 22 décembre 2010))
Application par les juridictions de fond en matière civile
mais arrêts refusant cette application : C.T. Bruxelles, 7 février
2013, RG 2012/AB/1115; C.T. Liège (Div. Liège), 6 février 2015, RG
2013/AL/392
132. 43
Incidence sur le droit au
respect de la vie privée
Les critères Antigone ne font dans la plupart des cas
pas obstacle à l’écartement d’une preuve obtenue
en violation du droit au respect de la vie privée
Car :
- Il n’y pas de sanction prévue à peine de nullité
- Il n’y pas de problème de fiabilité / crédibilité de la
preuve
- Il n’y a pas de non-respect du droit à un procès
équitable : not. la violation de l’article 8 CEDH
n’implique pas en soi la violation d’un droit au
procès équitable mise en balance des droits et
intérêts en présence?
133. 44
Appréciation critique
Avantages de la jurisprudence Antigone:
• Donne la prépondérance à la manifestation de la
vérité
• Dans le contexte de la cybersurveillance,
contrebalance le caractère parfois perçu comme trop
rigide ou complexe des contraintes légales en la
matière
Aspects critiquables :
• Déforce le droit au respect de la vie privée
• Pertinence des critères retenus pour écarter les
preuves
• Insécurité juridique
134. 45
Autres sanctions
Sanctions civiles (dommages et intérêts pour
violation de la vie privée)
Sanctions pénales (L. 8 décembre 1992, L. 13 juin
2005, etc.)
135. 46
Conclusions
Caractère tentaculaire des incidences des
nouvelles technologies sur le droit du
travail (sur le plan juridique mais aussi
technique, sociologique, organisationnel,
…)
Evolution constante des problématiques
Relative inadéquation du droit par rapport
aux réalités du terrain en matière de
contrôle des e-mails et de l’internet
46