- Le Conseil fédéral s’oppose à une pénalisation spéciale de la publication de données obtenues illégalement (recel de données) ; le droit existant est en principe suffisant.
- La LPD et le CP couvrent déjà la protection des données personnelles particulièrement sensibles ; de nouvelles infractions (p. ex. l’usurpation d’identité) s’adressent à la réutilisation délictueuse.
- L’admissibilité de la publication d’informations obtenues illégalement nécessite une pesée des intérêts au cas par cas entre l’intérêt public et la protection de la personnalité.
Texte soumis
Le Conseil fédéral est invité à montrer dans un rapport comment le protection légale des données personnelles sensibles avant les publications de ces données par les médias sociaux et privés, tout en tenant compte de l’intérêt public légitime d’élucider les violations systématiques de la loi. Dans ce contexte, il convient d’examiner si la publication de données collectées illégalement doit être sanctionnée (à l’instar d’une interdiction du recel de données).
Il convient notamment de vérifier si les Punissabilité de la publication de données personnelles ou d’autres données sensibles autrefois obtenues ou acquises illégalement et quels seraient les avantages et les inconvénients d’une telle réglementation. Une telle réglementation doit permettre aux autorités de poursuite pénale de continuer à travailler, mais elle doit aussi protéger les personnes à protéger contre les jugements préalables du public et, de manière générale, dans leurs droits de la personnalité.
Il s’agit également d’examiner dans quels cas des informations de toute nature obtenues illégalement peuvent être publiées, ou dans quels cas le droit d’accès à ces informations est limité. l’intérêt public par rapport à l’intérêt privé, que les données obtenues illégalement ne doivent pas être publiées prévaut et dans quels cas il serait possible de renoncer à la punissabilité.
Justification
Les données personnelles doivent en principe rester protégées de manière générale, même si elles ont été acquises illégalement dans une phase préliminaire et que leur publication est précédée d’une infraction à la loi. Cela peut être le cas pour un vol physique ou par cyber-attaque Les informations sur la vie privée peuvent être publiées sur un média social ou privé.
Si une entreprise devait systématiquement enfreindre le droit (p. ex. violation de l’interdiction de la corruption ou violation systématique de la législation sur le blanchiment d’argent), il existe un intérêt public à en avoir connaissance de manière générale, mais pas un intérêt public pour les données personnelles acquises illégalement. Ces données peuvent être mises à la disposition des autorités de poursuite pénale afin d’engager une procédure conforme à l’État de droit.
De plus en plus souvent, des informations et des données personnelles sensibles entrent en possession de tiers par des actes illégaux en amont (vol par des collaborateurs ou par des cyberattaques, etc.). Dans ces cas, il faut continuer à garantir qu’une procédure conforme à l’État de droit ait lieu contre les infractions à la loi, mais qu’une condamnation publique préalable puisse être évitée à l’avenir.
Avis du Conseil fédéral du 29.11.2023
L’introduction de la pénalisation de l’utilisation ultérieure de données obtenues ou acquises illégalement a déjà fait l’objet de la proposition de loi déposée le 8 décembre 2022. Motion 22.4325 HurniIl est important de punir le recel de données numériques”. Dans sa prise de position du 15.2.2023 à ce sujet, le Conseil fédéral a relevé que la situation juridique matérielle en vigueur est en principe suffisante est d’appréhender une utilisation ultérieure de données acquises illégalement. Il est également convaincu aujourd’hui que le concept de recel, tel que défini à l’article 160 du code pénal (CP, RS 311.0), se rapporte à des choses et protège le droit de rétablir la situation de possession légale. Ce concept, marqué par le droit des biens, n’est pas transposable tel quel à la logique d’une éventuelle réutilisation de données. Il existe des besoins de protection divergents pour les choses d’une part et pour les données et les informations d’autre part. Le Conseil fédéral a donc déjà répondu par la négative à la question de savoir si la publication de données collectées illégalement doit être spécifiquement sanctionnée (à l’instar d’une interdiction du recel de données).
Le CP ainsi que la loi fédérale sur la protection des données (LPD, RS 235.1) couvrent en outre déjà les constellations dans lesquelles la publication de certaines données (par les médias sociaux ou privés, mais aussi de manière générale) est interdite. Des catégories spécifiques de données importantes sont donc déjà protégées par la loi. Ainsi, tout traitement et donc également la transmission ou la mise à disposition de données personnelles (article 2 LPD) sont régis par la loi. En outre, la collecte non autorisée de données personnelles est également couverte par le droit pénal fondamental à l’article 179novies CP. Toutes les données personnelles sensibles sont protégées, y compris les données personnelles sensibles telles que les données relatives à la santé (art. 5, let. c, ch. 2 LPD). Dans le cadre de la révision de la LPD, une nouvelle infraction contre l’usurpation d’identité et le vol d’une identité correspondante (art. 179decies CP) a été introduite pour le 1.9.2023, qui couvre la réutilisation délictueuse de données. Une punissabilité en vue de la publication et de l’utilisation de données est donc déjà possible aujourd’hui et dépend en premier lieu des données et des intérêts de protection concernés dans un cas concret.Il n’est d’ailleurs pas possible de répondre de manière générale et abstraite à la question de savoir dans quels cas des informations de toute nature obtenues illégalement peuvent être publiées, respectivement dans quels faits l’intérêt public l’emporte sur l’intérêt privé à ce que les données obtenues illégalement ne soient pas publiées. Le droit en vigueur permet d’ores et déjà, dans le cadre d’une procédure spécifique, de procéder à une pesée des intérêts entre l’intérêt public à une publication et un intérêt privé digne de protection de la personne concernée à ce que le secret soit gardé. L’appréciation juridique des intérêts en question dépend dans chaque cas de manière déterminante de l’examen individuel. En outre, des dispositions légales spéciales ou cantonales peuvent être pertinentes pour la pesée des intérêts, ou par exemple des obligations légales de garder le secret ou de garder le secret, comme le secret professionnel (art. 321 CP, art. 321bis CP), le secret des postes et des télécommunications (art. 321ter CP), le secret d’affaires et de fabrication (art. 162 CP) ou le secret bancaire (art. 47 de la loi sur les banques, RS 952.0). Dans l’ensemble, la question de l’admissibilité d’une publication doit donc être traitée en fonction des circonstances spécifiques et par les autorités compétentes.
Compte tenu de la situation juridique existante, le Conseil fédéral ne voit pas de plus-value importante dans un rapport sur les questions de la criminalisation de l’utilisation de données obtenues illégalement et de l’admissibilité d’une publication pour des raisons d’intérêt supérieur.. Il continue de suivre attentivement les développements internationaux dans ce domaine, notamment dans le cadre des négociations en cours avec la Suisse concernant une convention de l’ONU sur la cybercriminalité.