L’échange de données est-il permis ?

Dans la lutte contre la cybercriminalité, les équipes de sécurité échangent souvent des données. Cette pratique est-elle licite ?

Texte: Floriane Zollinger-Löw, publié le 21.04.2015

Résumé : Lorsque des données doivent être échangées pour des raisons de sécurité, la question de la légalité se pose rapidement. Quelques éléments à cet égard : 1. Les données qu’échangent les équipes d’intervention en cas d’urgence informatique (Computer Emergency Response Teams, CERT) ne sont en règle générale pas qualifiées de données à caractère personnel ou ont été rendues accessibles. 2. Les données personnelles peuvent être communiquées à des tiers à l’échelle nationale et internationale lorsque certaines conditions sont remplies. 3. Il n’existe pas que des dispositions juridiques limitant le traitement des données, mais également des dispositions imposant des traitements de données pour des raisons de sécurité. Il s’agit notamment de l’obligation faite aux dirigeants de garantir une sécurité informatique adéquate et de celle faite aux employeurs de protéger la personnalité de leurs employés.  

Où sont réglementés les échanges de données ?

Il existe au niveau fédéral des dispositions relatives à l’échange de données et à la protection des données, principalement dans la loi fédérale sur la protection des données (LPD, http://www.admin.ch/opc/fr/classified-compilation/19920153/index.html), ainsi que dans les ordonnances correspondantes (en particulier dans l’ordonnance relative à la loi fédérale sur la protection des données [OLPD], http://www.admin.ch/opc/fr/classified-compilation/19930159/index.html). Au niveau cantonal, lesdites dispositions se trouvent en premier lieu dans la législation cantonale sur la protection des données. Le Code des obligations contient des règles relatives au maniement des données d’employés et des documents professionnels. Nombre de dispositions inscrites dans d’autres lois régissent le maniement de données. Enfin, les éventuelles conventions contractuelles ainsi que le secret professionnel et de fonction viennent restreindre l’échange de données.

La question de savoir si les règles de la protection des données s’appliquent à la transmission de données dépend de la qualification ou non des données en question comme données personnelles.

Qualification des données concernées

Selon l’art. 3 let. a LPD, on entend par données personnelles toutes les informations qui se rapportent à une personne identifiée ou identifiable. Les équipes CERT souhaitent transmettre des données nommées " indicateurs de compromission ". Il s’agit principalement de domaines et d’URL qui propagent des maliciels ainsi que des adresses IP de systèmes compromis ou piratés. En ce qui concerne les URL et les domaines, ceux-ci valent en règle générale comme données à caractère personnel mais que la personne concernée a rendues accessibles. Le titulaire d’un nom de domaine accepte ainsi, lors de l’enregistrement du nom de domaine, que ses données personnelles soient rendues accessibles dans la banque de données WHOIS pour noms de domaine.

En ce qui concerne les adresses IP, celles-ci ne constituent en règle générale pas des données personnelles dans le contexte de la lutte contre les maliciels (voir arguments en bas).

Il s’ensuit que le transfert de la plupart des données concernées par le travail des équipes CERT ne doit pas être considéré comme problématique sous l’angle de la protection des données. Même si dans un cas concret les données transmises devaient être considérées comme données personnelles, leur transfert est admissible sous certaines conditions. La nature de ces conditions dépend de savoir si le pays de destination dispose ou non d’un niveau adéquat de protection des données personnelles.

Pays présentant un niveau de protection des données adéquat

Si le destinataire des données se trouve dans un pays qui assure un niveau de protection des données adéquat, ou si les données sont transmises à l‘intérieur de la Suisse, alors l’échange de données personnelles non sensibles est licite du point de vue de la protection des données pour autant que les principes généraux relatifs au traitement des données (avant tout les principes de licéité, de proportionnalité, de finalité, de reconnaissabilité et de la sécurité des données) soient respectés. Cela signifie, notamment, que les transmissions de données doivent être reconnaissables pour les personnes concernées. Le consentement des intéressés n’est pas nécessaire.

Les pays assurant un niveau de protection des données adéquat sont, d’après la liste du Préposé fédéral à la protection des données et à la transparence (consultable sous http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html, consultée pour la dernière fois le 30.03.2015), outre la Suisse, pratiquement tous les pays membres de l’UE.

Pays présentant un niveau de protection des données insuffisant

La transmission des donnéesvers des pays ne présentant pas un niveau de protection des données adéquat est licite lorsque la protection est assurée d’une autre manière. Cela peut être le cas lorsqu’elle est assurée par un accord de protection des données séparé ou par une clause relative à la protection des données dans un traité. La LPD ne prescrit ni le contenu exact ni la forme de l’accord. L’essentiel est qu’une protection adéquate des données soit garantie à l’étranger. Une alternative peut consister à obtenir un consentement dans chaque cas particulier. Les États-Unis, la Chine et la Russie font par exemple partie des pays ne disposant pas d'un niveau de protection des données suffisant. Les sociétés américaines disposent de ce fait de la possibilité de se certifier en vertu du " Safe Harbor Framework " (http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/index.html?lang=fr). Il s’agit d’un accord entre la Suisse et les États-Unis qui est considéré comme assurant un niveau suffisant de protection des données. En outre, il existe dans la communauté de sécurité internationale des documents qui régissent le traitement de données et limitent l’utilisation  de celles-ci. Un exemple est le  " Traffic Light Protocol " (https://www.us-cert.gov/tlp). Le respect de ces règles apporte une contribution supplémentaire à un traitement des données conforme aux principes de la protection des données.

En ce qui concerne les adresses IP, celles-ci ne constituent en règle générale pas des données personnelles dans le contexte de la lutte contre les maliciels.

Existe-t-il une obligation de transmettre des données ?

Il convient de noter qu'il n'existe pas que des dispositions juridiques limitant le traitement des données, mais également des dispositions qui imposent au contraire le traitement des données à des fins de sécurité. Il relève notamment des tâches inaliénables de tout dirigeant de garantir un niveau de sécurité des données adéquat et la sécurité informatique en général. Si des données sensibles d'entreprises sont manipulées ou volées parce que la direction s'est abstenue de prendre des mesures adéquates pour prévenir, détecter et réprimer les incidents relevant de la sécurité, ces derniers peuvent entraîner la responsabilité des dirigeants.

Enfin, en vertu de l’art. 7 al. 1 LPD, les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées.

Il faut également tenir compte du devoir d'assistance de l'employeur (art. 328 al. 1 CO), qui prévoit que la personnalité du travailleur doit être protégée. Si, dans le cadre d'une attaque de cybercriminels, des données sensibles de travailleurs sont volées ou rendues publiques ou si, suite à des attaques de cybercriminels, des soupçons pèsent indûment sur des collaborateurs particuliers, alors l'atmosphère de travail et, selon la gravité de l'incident, l'intégrité psychique des collaborateurs concernés peuvent être compromises.

Enfin, en vertu de l'art. 7 al. 1 LPD, les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Relèvent des mesures de protection techniques envisageables toutes les mesures de sécurité informatique classiques telles que des restrictions d'accès et le cryptage des données, mais aussi la protection contre les maliciels ainsi que des mesures de protection contre les pertes de données.

Conclusion

Pour résumer, nous pouvons retenir que l'échange de données personnelles à des fins de sécurité est licite du point de vue de la protection des données, sous réserve du respect de certaines conditions. Notons d'autre part qu'il n'existe pas que des dispositions limitant le traitement des données, mais également des dispositions imposant le traitement de données dans le but de renforcer la sécurité des données et, de ce fait, la sphère privée des individus.


 

Les adresses IP constituent-elles des données personnelles?

Les adresses IP sont uniquement considérées comme des données personnelles lorsque le titulaire des données a, premièrement, la possibilité juridique et technique d'attribuer l'adresse IP à une personne déterminée et qu'il y a, deuxièmement, lieu de s'attendre à ce qu'il se charge selon toute vraisemblance de cette identification (ATF 136 II 508 E. 3.2). Les équipes CERT ne sont cependant pas intéressées par l'identité des personnes concernées par des cyberattaques. Elles veulent uniquement que leurs clients remédient à cette perturbation. À cette fin, un membre de CERT voudra rarement faire l'effort d'attribuer les informations reçues à une personne déterminée. Seul le client de l'équipe CERT, qui en reçoit l'information, est intéressé à attribuer cette dernière à un système déterminé dans le but de remédier à l'incident survenu dans son réseau. Mais l'équipe CERT a, en règle générale, pour mission de surveiller le trafic du réseau de ses clients. C'est pourquoi le client, dans ses rapports avec l'équipe CERT mandatée, n'est pas considéré juridiquement comme un " tiers ", raison pour laquelle des donnée peuvent lui être transmises sans devoir informer les personnes concernées de ce processus.

Celui qui traite les données resp. le destinataire d'une adresse IP ne peut en principe l'attribuer à une personne physique que lorsqu'il dispose d'informations complémentaires.

Cependant, comme mentionné ci-dessus, les membres des équipes CERT ne sont pas intéressés à attribuer eux-mêmes les adresses IP à un système déterminé. Même si cet intérêt existait, l'attribution serait dans la plupart des cas impossible pour des raisons techniques. Si l'on saisit une adresse IP dans la banque de données publique WHOIS pour adresses IP, en règle générale seul le titulaire du domaine d'adresse IP (le propriétaire du réseau) apparaît, lequel reçoit de l'autorité régionale un bloc d'adresses IP à transmettre, et non pas les personnes physiques (resp. un système individuel) auxquelles l'adresse IP a été attribuée par le propriétaire du réseau. Celui qui traite les données resp. le destinataire d'une adresse IP ne peut en principe l'attribuer à une personne physique que lorsqu'il dispose d'informations complémentaires. Par exemple, s'il a reçu un email de la part de la personne concernée. Ou si la personne concernée a, lors de la création d'un compte ou de son inscription à un service en ligne, communiqué d'autres informations au destinataire. Toutefois, même dans ces cas, une attribution est uniquement possible si, lors de la communication des données, l'adresse IP de l'expéditeur et l'heure de la communication (" timestamp ") sont simultanément enregistrées. En règle générale, les équipes de CERT ne disposent pas de telles données supplémentaires.

Pour cette raison, l'identification concerne essentiellement les propriétaires de réseau, donc des personnes morales.

Dans ce contexte, les adresses IP ne sont à qualifier de données personnelles que dans un nombre très restreint de cas. Comme mentionné ci-dessus, en règle générale seuls les propriétaires de réseaux figurent dans la banque de données WHOIS pour adresses IP, et non pas le titulaire final individuel. Pour cette raison, l’identification concerne essentiellement les propriétaires de réseau, donc des personnes morales. On peut partir du principe que ceux-ci – comme les titulaires de noms de domaine – sont conscients de la possibilité d’identification en s’enregistrant auprès de l’autorité régionale et que les données peuvent ainsi être considérées comme rendues accessibles au sens de l’art. 12 al. 3 LPD.

L'auteur
Floriane   Zollinger-Löw

Floriane Zollinger-Löw

Depuis juillet 2014, Floriane Zollinger-Löw travaille chez SWITCH: au début en tant que conseillère juridique, et actuellement en tant que cheffe d’équipe juridique et secrétaire générale. Elle a étudié le droit à l’Université de Zurich et obtenu son brevet d’avocate en Suisse. Avant de rejoindre SWITCH, elle a travaillé au sein d’un cabinet d’avocats spécialisé en droit commercial à Zurich et auprès du Tribunal de commerce du canton d’Argovie.

E-mail
Autres articles