Sécurité et Internet | Avril 2004


Courrier électronique et sécurité des données: quelles protections juridiques?

L'e-mail est devenu un élément incontournable de notre communication. Le courrier électronique présente pourtant des points faibles du point de vue de la sécurité des données. Il n'est pas à l'abri des interceptions, piratages, spams ou virus. Quelles sont les protections juridiques prévues par la législation suisse?

Problèmes de sécurité

Le courrier électronique est largement utilisé pour envoyer des messages et documents tant privés que professionnels. Les e-mails présentent toutefois certains problèmes de sécurité. Les utilisateurs peuvent par exemple être confrontés aux problèmes suivants :

  • messages interceptés, lus, modifiés ou transférés par des internautes autres que leur auteur et leur destinataire ;
  • données personnelles (par exemple adresse e-mail) utilisées sans l’accord de leur titulaire;
  • boîte aux lettres électronique inondée de spams (messages publicitaires non sollicités) ou bombardée avec un nombre astronomique de messages afin d’en bloquer l’accès (e-bombing ou mail bomb) ;
  • ordinateur infecté par des virus transportés dans des pièces jointes attachées à des e-mails.
  • Protections techniques

    Les moyens de protéger ses données sont avant tout d’ordre technique. L’utilisation d’anti-spams, d’anti-virus et de pare-feu (firewall) permet de réduire ces risques.

    Pour les messages confidentiels, le cryptage du contenu et des pièces jointes constitue la mesure la plus efficace. Elle garantit que seules les personnes auxquelles le message est destiné puissent le lire et que toute manipulation en cours de route soit exclue. Le cryptage garantit en outre l'intégrité des données reçues. La moindre modification intentionnelle ou accidentelle du message crypté conduit à l'impossibilité de son décryptage (pour les possibilités de cryptage voir http://www.edsb.ch/f/themen/sicherheit/tipps/kap4.htm).

    Une signature électronique ajoutée au message sortant permet en outre au destinataire de vérifier l'authenticité de l'expéditeur (voir http://www.ofcom.ch/fr/telekommunikation/internet/digsig/index.html).

    Protections juridiques

    Secret des télécommunications

    Le courrier électronique est soumis au secret des télécommunications. Ce dernier garantit la confidentialité de la transmission et de l’acheminement d’informations. Il interdit à toute personne qui est chargée d’assurer un service de télécommunication de prendre connaissance du contenu des communications et de donner à des tiers des renseignements sur les communications des usagers (art. 43 et 49 de la loi sur les télécommunications).

    Sont également punissables les personnes qui ont reçu des informations non publiques qui ne leur étaient pas destinées et qui les ont utilisées ou communiquées à des tiers (art. 50 de la loi sur les télécommunications). Il en va de même pour les personnes qui accèdent de manière indue à un système informatique, soustraient des données transmises électroniquement ou décodent frauduleusement des services de télécommunication cryptés (art. 143 et suivants ainsi que 150 et 150 bis du code pénal).

    Surveillance du courrier électronique par les autorités pénales

    La surveillance des télécommunications est un instrument efficace de lutte contre la criminalité. Elle porte cependant une atteinte sérieuse au secret des télécommunications. Elle doit par conséquent se limiter aux délits graves et nécessite l’autorisation d’une autorité judiciaire (loi fédérale sur la surveillance de la correspondance par poste et télécommunication). Cette surveillance vise le contenu des messages ainsi que les données indiquant quand et avec quelles personnes ou quels raccordements l’individu surveillé est en liaison par télécommunication. Les fournisseurs d’accès à internet doivent conserver les données permettant d'identifier les usagers et les données relatives au trafic et à la facturation durant six mois.

    Surveillance du courrier électronique sur le lieu de travail

    L'employeur doit informer ses employés des conditions d'utilisation d’internet au lieu de travail ainsi que des mesures de surveillance. Si l'usage du web et de la messagerie électronique est autorisé et que les conditions d’utilisation ont été communiquées par écrit aux collaborateurs, l'employeur est en droit de contrôler si cette réglementation est respectée.

    Les contrôles personnels ne sont autorisés que si un abus a été constaté lors d'un contrôle anonyme. Les contrôles personnels à titre préventif ne sont par contre pas admissibles. L'employeur n'est pas non plus en droit de lire les messages électroniques privés de ses employés (art. 328 et 328b du code des obligations).

    Il doit informer le personnel lorsqu’il constate un abus et avertir qu’il prendra des sanctions si le cas se reproduit. Il existe cependant des cas où des sanctions immédiates peuvent être prises, par exemple dans les cas impliquant un acte délictueux comme la pornographie enfantine ou le racisme.

    Spam

    Le spam est l’envoi massif d’e-mails publicitaires non-sollicités. Les spammeurs récoltent les adresses e-mails soit au moyen de robots scannant les pages web pour y relever des adresses, soit en achetant des fichiers d’adresses. Chaque fois qu’un internaute donne son adresse sur internet (par exemple dans un formulaire d’enregistrement pour s’inscrire à un service, pour recevoir une newsletter, pour participer à un groupe de discussion, pour participer à un concours, etc), cette adresse risque d’être revendue à des fins de marketing ou à des spammeurs.

    Selon la législation actuelle, le spam peut dans certains cas violer la loi sur la protection des données ou la loi sur la concurrence déloyale. Pour régler plus clairement le spamming, un projet de revision de la loi sur les télécommunications et de la loi sur la concurrence déloyale prévoit d’introduire le système de l’«opt-in». Selon ce projet, les messages publicitaires de masse seront interdits, sauf si le destinataire y a expressément donné son accord ou s’il entretient déjà des relations commerciales avec l’expéditeur. Les fournisseurs de service de télécommunication seront tenus de mettrent en place de mesures de lutte appropriées contre les spams.

    Le système de l’ « opt-in » est également prévu par la législation de l’Union européenne. La réglementation des Etats-Unis prévoit par contre le système de l’ «opt-out» qui permet l’envoi de spams aussi longtemps que la personne qui les reçoit ne s’y oppose pas.

    Protection des données

    L’adresse e-mail est une donnée personnelle au sens de la loi fédérale sur la protection des données. Cette législation permet à toute personne de s’opposer au traitement, c’est-à-dire à la collecte, l’utilisation et la communication de ses données par des tiers. Sur demande de la personne concernée, l’autorité ou l’entreprise qui utilise ses données est tenue de lui communiquer la totalité des données personnelles qu’elle traite à son sujet. Si la personne le désire, elle est également tenue de supprimer ces données de son fichier.

    Dans le cas où il n’est pas donné suite à ces demandes, les personnes concernées peuvent saisir le Préposé fédéral à la protection des données.

    Conclusions

    Les utilisateurs de courriers électroniques qui s’estiment lésés peuvent faire valoir leurs droits en justice par des actions civiles ou pénales. La législation suisse ne s’applique toutefois qu’aux personnes ou entreprises qui ont agit sur territoire suisse. Un spammeur établit aux Etats-Unis ne pourra par exemple pas être poursuivi en Suisse.

    En pratique, l’effectivité de ces protections juridiques est donc fortement limitée par l’absence de frontières nationales du monde de l’Internet, ainsi que par la rapide évolution des réseaux de communication et des technologies.

    Les protections les plus efficaces restent donc d’ordre technique.



    Réalisé par Véronique Gigon


    dossier préparé par:


    Véronique Gigon, Thomas Kropf, Michel Laurin, Pierre-Alain Schnegg