Protection des données en Suisse

Protection des données en Suisse

Le cadre juridique suisse

Tout accès non autorisé à un système informatique expose son auteur à des poursuites civiles et pénales.

Art. 143 bis, Code Pénal Suisse
« Celui qui, sans dessein d’enrichissement, se sera introduit sans droit, au moyen dʼun dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part, sera, sur plainte, puni dʼune peine privative de liberté de trois ans au plus ou dʼune peine pécuniaire ».

 La Suisse et sa protection des données
© Fotolia
Ce texte s’applique dès que l’auteur de l’accès est conscient d’avoir accédé à un système non autorisé. L’intention de nuire, la volonté d’y accéder ne sont pas nécessaires. En d’autres termes, l’accès fortuit à un système par inadvertance tombe sous le coup de ces dispositions dès l’instant où il persiste sans droit. Toutefois, selon la Cour d’appel de Paris (30 octobre 2002), l’accès à un réseau non protégé au moyen d’un simple navigateur n’est pas répréhensible. En Suisse, le problème est réglé dans la loi puisque l’art. 143 bis s’applique pour autant que le système attaqué soit « spécialement protégé » contre tout accès non autorisé.

De faits, un réseau doit être sécurisé, ne serait-ce que par une clé WEP (Wired Equivalent Privacy) Wikipedia.org pour faire valoir toutes prétentions légale (en tout cas en France et en Suisse).
Une clé WEP est une protection insuffisante car elle peut être facilement cassée. Mais c’est une protection puisqu’elle impose l’utilisation d’outils logiciels spécialement destinés à la casser, ce qui rend de fait tout accès par ce moyen non autorisé et illégal.
Attention :

La non-protection d’un système informatique pose un autre problème : la protection des données, qui découle du droit au respect de la vie privée fait l’objet de la

Loi Fédérale sur la Protection des Données (LFPD).
Art. 1
But 

La présente loi vise à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données.
Art. 3 Définitions On entend par :

a. données personnelles (données), toutes les informations qui se rapportent à une personne identifiée ou identifiable;

b. personne concernée, la personne physique ou morale au sujet de laquelle des données sont traitées;

c. données sensibles, les données personnelles sur :

1. les opinions ou activités religieuses, philosophiques, politiques ou syndicales,

2. la santé, la sphère intime ou l’appartenance à une race,

3. des mesures d’aide sociale,

4. des poursuites ou sanctions pénales et administratives;

d. profil de la personnalité, un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique;

e. traitement, toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données;

f. communication, le fait de rendre des données personnelles accessibles, par exemple en autorisant leur consultation, en les transmettant ou en les diffusant;

g. fichier, tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée;

h. organe fédéral, l’autorité ou le service fédéral ainsi que la personne en tant qu’elle est chargée d’une tâche de la Confédération;

i. maître du fichier, la personne privée ou l’organe fédéral qui décide du but et du contenu du fichier;

j. loi au sens formel :

1. lois fédérales

2. résolutions d’organisations internationales contraignantes pour la Suisse et traités de droit international approuvés par l’Assemblée fédérale et comportant des règles de droit.
Art. 4
Principes

1 Tout traitement de données doit être licite.

2 Leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.

3 Les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.

4 La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.

5 Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.
Art. 12 Atteintes à la personnalité
1 Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.

2 Personne n’est en droit notamment de :

a. traiter des données personnelles en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1;

b. traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs;

c. communiquer à des tiers des données sensibles ou des profils de la personnalité sans motifs justificatifs.

3 En règle générale, il n’y a pas atteinte à la personnalité lorsque la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement.

Sources :
www.admin.ch consulté en juin 2010;
http://fr.wikipedia.org/wiki/Wired_Equivalent_Privacy consulté en juin 2010.