a. Les atteintes à la sphère privée et à l’autodétermination informationnelle
- La naissance et le développement de l’informatique, sa diffusion progressive et son intégration dans le travail de la police et des autorités judiciaires ont soulevé des problèmes – notamment sur la collecte et la sécurité des données – et suscité quelques débats, notamment, sur l’ingérence aux droits fondamentaux.
- Les facilités et la rapidité du processus de détection ou de confirmation via les bases de données couplées avec la nécessité de recourir à moins de ressources humaines sur un même dossier ont immanquablement développé les recherches et traitements informatisés par la police. Ces dernières années, le nombre et la nature des bases de données gérées et exploitées par les autorités pénales s’étant accrus[1], les atteintes à la vie privée sont devenues plus fréquentes et d’une intensité plus importante dès lors que les données recueillies s’étendent à tous les aspects de la vie publique, privée et aux informations personnelles[2].
i. Quelles menaces pour la vie privée et les libertés fondamentales?
- Le traitement des informations pertinentes pour une enquête pénale et pour l’administration de la justice existe depuis longtemps. D’abord effectués manuellement, l’enregistrement et le traitement des données se sont informatisés. Les possibilités de stockage ont augmenté, la vitesse de traitement s’est accrue, l’architecture des bases de données s’est améliorée et l’utilisation a été facilitée au fur et à mesure de l’évolution dans le monde informatique.
- La caractéristique principale d’une base de données est de recueillir et d’enregistrer des informations généralement personnelles. Pour rappel, grâce aux traitements informatisés, il est possible de trier, de fusionner, d’effectuer des regroupements avec des informations d’une autre base de données, de sélectionner, de mettre à jour, etc. les données enregistrées dans un système[3]. Toutes ces possibilités engendrent l’accumulation des informations. En effet, avant, le traitement manuel nécessitait de ne conserver que certaines données sans quoi le travail était impossible ou gargantuesque; aujourd’hui, si nous regroupons la totalité des données collectées dans une unique base de données, nous ne pourrions que constater qu’il est possible de nous suivre et de contrôler tous nos faits et gestes.
- Le simple citoyen peine parfois à se rendre compte quelles autorités, entreprises ou personnes privées détiennent des informations personnelles, mais aussi quelles sont ses données personnelles qui sont enregistrées, traitées, voire regroupées. Ainsi, l’accroissement des environnements informationnels crée le risque de perdre peu à peu la maîtrise des données qui nous concernent et de voir sa vie privée violée de manière inadmissible.
- La Cour européenne des droits de l’Homme[4] et le Tribunal fédéral[5] ont à plusieurs reprises reconnu que l’enregistrement et le traitement d’informations personnelles dans une base de données créent une ingérence au droit à l’autodétermination informationnelle (art. 8 § 1 CEDH et 13 al. 2 Cst). Il va sans dire que le regroupement des données permettant de créer des profils de la personnalité (art. 3 let. d LPD et art. 4 let. c LIPAD/GE) engendre un risque plus élevé pour le respect des garanties des droits personnels.
- Lors de l’analyse de la preuve dactyloscopique et celle de la preuve génétique, nous avons abordé la nature et la gravité des ingérences aux droits fondamentaux consécutives à l’emploi des bases de données AFIS et CODIS[6]. Les informations concernant l’atteinte aux droits fondamentaux par l’utilisation de ces deux bases de données sont généralisables à toutes les bases de données exploitées par une autorité pénale.
- Ainsi, plus le nombre de bases de données et de recoupements entre elles augmentent, plus il y a de risque d’une ingérence disproportionnée à la vie privée, au droit à l’autodétermination informationnelle et plus le risque de violation de la présomption d’innocence est important.
ii. Comment limiter des ingérences inacceptables et les craintes suscitées par l’exploitation des bases de données?
- L’évaluation de la justification de l’ingérence causée par le traitement informatisé des bases de données AFIS et CODIS fournit un premier élément de réponse[7].
- Toute exploitation d’une base de données par une autorité pénale doit reposer sur une disposition légale, être justifiée par un intérêt public prépondérant et respecter le principe de proportionnalité.
- La limitation à un certain cercle d’individus ou à certaines circonstances, la limitation de la conservation et la destruction des données sont des points essentiels pour reconnaître l’atteinte à l’autodétermination comme proportionnée[8].
- Trois autres points peuvent limiter les craintes suscitées par l’exploitation des bases de données et le risque d’ingérences inacceptables: la mise en place d’une surveillance drastique et complète dans la gestion des fichiers, l’obligation du respect de la transparence et l’harmonisation des dispositions liées à la constitution et à l’exploitation des données personnelles[9].
- Grâce à ces éléments, les particuliers peuvent mieux appréhender le traitement des données personnelles qui les concernent et mieux comprendre la procédure applicable à la gestion des bases de données.
- La mise en place d’une surveillance doit permettre de contrôler les données qui sont enregistrées, traitées et conservées, de découvrir si des informations inutiles devant être détruites ou ne respectant pas le principe de finalité sont recueillies et conservées, et si les conditions légales pour l’exploitation et la conservation des données sont respectées.
- Le préposé fédéral à la protection des données personnelles et à la transparence (art. 27 LPD) et les services cantonaux compétents – le préposé à la protection des données à Genève en ce qui concerne les bases de données cantonales (art. 56 LIPAD/GE) – sont chargés de vérifier le respect des normes en vigueur.
- Néanmoins, vu l’ampleur de leurs tâches, il ne leur est pas possible d’avoir un œil sur toutes les données intégrées et conservées. C’est pourquoi, la surveillance n’est qu’un garde-fou qui n’empêche pas en soi les craintes de l’opinion publique sur la gestion des fichiers.
- Le respect du principe de transparence contient deux aspects. D’une part, il s’agit d’informer le public et, d’autre part, de leur octroyer un droit d’accès[10].
- Concernant l’information, il s’agit de porter à la connaissance de la population la création d’une base de données et les informations qu’elle peut contenir. En droit fédéral et en droit cantonal genevois, un registre, respectivement un catalogue, est tenu par le préposé (art. 11a et 14 LPD et 43 LIPAD/GE)[11]. En outre, l’organe fédéral a le devoir d’informer les personnes concernées par toute collecte de données la concernant (art. 11a et 18a LPD et 18 LIPAD/GE)[12].
- Il faut différencier l’exercice du droit d’accès en dehors d’une procédure pénale et le droit d’accès dans le cadre d’une telle procédure.
- L’ordonnance RIPOL, l’Ordonnance IPAS, la Loi sur les profils d’ADN et l’Ordonnance sur les profils d’ADN ne règlent pas expressément le droit d’accès aux données. En l’absence de dispositions spéciales, le droit d’accès prévu aux art. 8 et 9 LPD, soit un droit d’accès direct[13], est applicable. D’ailleurs, la LSIP y renvoie expressément (art. 7 LSIP).
- Ainsi, toute personne peut demander au maître du fichier – la Fedpol – si des données la concernant sont traitées dans les systèmes automatisés RIPOL, IPAS ou CODIS.
- Le système JANUS a une réglementation particulière. L’accès direct est octroyé en ce qui concerne les saisies dans le système d’appui aux enquêtes de la police judiciaire (art. 2 al. 2, 3 al. 2 et 25 let. c O-JANUS cum 7 al. 4 et 10 LSIP).
- En revanche, l’accès est limité en ce qui concerne les données saisies dans le système informatisé des Offices centraux de police (art. 3 al. 1 et 3 et 25 let. a et b O-JANUS), exception faite des données transmises dans le cadre de la coopération avec d’autres Etats Schengen (art. 3 al. 4 et 25 let. b O-JANUS) et des données cantonales (art. 3 al. 5 et 25 let. d O-JANUS).
- Quant aux systèmes AFIS, il ne contient aucune disposition relative aux droits d’accès. Cette absence s’explique par le fait qu’aucune donnée nominale n’est intégrée dans cette base de données[14].
- La Loi fédérale sur la protection des données et la loi cantonale genevoise sur l’information du public, l’accès aux données et la protection des données personnelles ne s’appliquent pas aux procédures pénales pendantes (art. 2 al. 2 let. c LPD et art. 3 al. 3 let. b LIPAD).
- Dès lors, seul celui qui fait valoir un intérêt à la procédure – soit celui qui participe à la procédure pénale – peut bénéficier du droit de consulter le dossier (art. 101 cum 107 CPP).
- Ainsi, une personne qui ne participe pas à la procédure doit attendre sa clôture définitive pour pouvoir bénéficier du droit d’accès sur les données recueillies qui la concernent. Ce cas de figure est plutôt rare, les éléments du dossier de procédure concernent généralement une partie. Néanmoins, il peut se présenter. Dès lors, nous pourrions nous interroger si l’inapplicabilité générale de la LPD en cas de procédure pendante ne contrevient pas aux art. 8 § 1 CEDH et 13 al. 2 Cst.
- En accord avec une partie de la doctrine[15], il nous semble préférable d’instaurer un droit d’accès même durant une procédure pénale pendante pour les non-participants, étant précisé qu’il serait possible de le limiter ou le différer en appliquant par analogie l’art. 9 LPD.
- La LPD – pour les systèmes informatisés fédéraux – et la LIPAD/GE – pour les systèmes automatisés cantonaux genevois – soumettent quelques exigences d’ordre général. Pour le surplus, la procédure diffère pour chaque base de données, dès lors qu’elles sont réglementées par des ordonnances spécifiques.
- L’harmonisation du droit offre une meilleure sécurité juridique. Certes, certaines dispositions doivent rester spécifiques aux diverses bases de données: leur champ d’application, leur contenu, les compétences pour gérer, avoir accès, enregistrer ou traiter des données. En revanche, il ne nous paraît pas souhaitable, notamment, que le droit d’accès des particuliers diffère d’une base de données à l’autre.
- Le droit d’accès est un droit primordial des particuliers dans le respect de leur vie privée et dans l’exercice de leur droit à l’autodétermination informationnelle[16]. Il doit permettre à chacun de contrôler les autorités et de les obliger à transmettre les informations collectées à l’insu de la personne, éventuellement à corriger ou effacer des données.
- C’est pourquoi, dans l’idéal, les art. 8 et 9 LPD et leurs corollaires au niveau cantonal, les art. 24 et 26 LIPAD/GE, devraient être appliqués[17]. Ainsi, les particuliers pourraient exercer leurs droits avec une meilleure aisance, compléter le contrôle des autorités effectué par le préposé fédéral et les préposés cantonaux, et, ainsi, amoindrir leur crainte du « Big Brother ».
b. L’utilité des bases de données
- L’automatisation et la création de bases de données comprenant des données personnelles menacent certes le respect à la vie privée ainsi que toutes les libertés personnelles, mais, en contrepartie, l’influence des ordinateurs sur la société a eu un bienfait quant à la facilitation de l’enregistrement, du traitement, de l’analyse, etc. des informations.
- La prévention et la répression des infractions commandent que les autorités pénales puissent agir rapidement et efficacement. En disposant de renseignements détaillés, valables et actuels, il est possible de cibler les soupçons sur une ou plusieurs personnes, de confondre un auteur d’infraction ou de lier deux affaires entres elles et de bénéficier notamment de plus d’informations, voire d’indices.
- De manière générale en procédure pénale, la surveillance, la recherche d’indice ou de preuve et leur analyse ne sont utiles que si le but recherché – prouver un fait, identifier ou confondre l’auteur de l’infraction – peut être atteint. Pour ce faire, la récolte des informations susceptibles de prouver un fait allégué doit se poursuivre avec le traitement et l’analyse de ladite information.
- La croissance constante du volume de données recueillies à montrer les limites du classement manuel. La technologie du traitement automatisé de données offre la possibilité de conserver une quantité presque illimitée de données, de rechercher des informations rapidement et d’effectuer des liens qui étaient jusqu’alors impossibles ou extrêmement longs[18].
- Toutes les techniques ou sciences présentées dans notre étude peuvent faire l’objet de fiches informatisées et être intégrées à une base de données. Ainsi, en enregistrant les indices dactyloscopiques, les prélèvements ADN et les données de localisation, en traitant les données de facturation, les images de vidéosurveillance, etc. et en couplant toutes les informations recueillies – moments et lieux de commission des infractions, modes opératoires, éléments pertinents, etc. –, l’autorité pénale peut développer ou gérer des hypothèses de travail.
- A partir des faits constatés, les informations obtenues peuvent par exemple permettre d’affirmer que deux scènes de crimes sont liées entre elles, parce que la présence d’un même individu est constatable ou simplement parce que le mode opératoire est similaire.
Néanmoins, les bases de données ne sont pas et ne seront jamais des « créatrices » de preuve[19]. Elles ne font que confirmer une hypothèse issue du travail d’enquête et du raisonnement des enquêteurs, ou, si aucune hypothèse n’est préalablement formulée, elles peuvent mettre en évidence une voie possible de raisonnement en suggérant de s’intéresser
[1] Cornu, p. 257 ; DSG-Belser, p. 40. Supra Partie II, Chapitre 3, III, B, 2, n° 2208 ss. [2] Cornu, P. 257; Paoletti, p. 54; Ribaux, p. 148; Vitalis, p. 137-139. [3] DSG-Waldmann, Oeschger, p. 842; Vitalis, p. 55. [4] CourEDH, Affaire Leander c. Suède, arrêt du 26 mars 1987, § 48; ComEDH, Affaire Herbecq et l'association ligue des droit de l'Homme c. Belgique, arrêt du 14 janvier 1998, 32200/96 et 32201/96, p. 92; CourEDH, Affaire Amann c. Suisse, arrêt du 16 février 2000, 27798/95, § 65; CourEDH, Affaire Rotaru c. Roumanie, arrêt du 4 mai 2000, 28341/95, § 43-44; CourEDH, Affaire Khelili c. Suisse, arrêt du 18 octobre 2011, 16188/07, § 55-56; CourEDH, Affaire M.M c. Royaume-Uni, arrêt du 13 novembre 2012, 24029/07, § 187-188. [5] ATF 120 Ia 147, 149 = JdT 1996 IV 61, 61; ATF 124 I 80, 81-82 = JdT 2000 IV 24, 25-26; ATF 128 II 259, 269 = JdT 2003 I 411, 420 = SJ 2002 I 531, 531-532; ATF 133 I 77, 80-81; ATF 137 I 167, 172-173. [6] Supra Partie II, Chapitre 2, I, B, 1, b, ii, n° 579 ss; Supra Partie II, Chapitre 2, I, C, 3, n° 739 ss; Supra Partie II, Chapitre 2, II, B, 1, a, ii et iii, n° 850 ss et 853 ss; Supra Partie II, Chapitre 2, II, C, 2, a, ii, n° 1040 ss; Supra Partie II, Chapitre 2, II, C, 2, c, n° 1060 ss. [7] Supra Partie II, Chapitre 2, I, B, 1, b, ii, n° 579 ss; Supra Partie II, Chapitre 2, I, C, 3, n° 739 ss; Supra Partie II, Chapitre 2, II, B, 1, a, ii et iii, n° 850 ss et 853 ss; Supra Partie II, Chapitre 2, II, C, 2, a, ii, n° 1040 ss; Supra Partie II, Chapitre 2, II, C, 2, c, n° 1060 ss. [8] TF 1C_363/2014 du 13 novembre 2014, c. 2 = SJ 2015 I 128, 129-130. [9] Bondallaz, protection des personnes, p. 440, Métille, Thèse, p. 295-300; Message, CPP, p. 1138; Vitalis, p. 144. [10] DSG-Epiney, p. 544; Meier P., p. 275. [11] DSG-Epiney, Fasnacht, p. 544; Meier P., p. 347; Rosenthal, Jöhri, art. 7a N 11. [12] DSG-Epiney, Fasnacht, p. 608; DSG-Waldmann, Bickel, p. 691; Rosenthal, Jöhri, art. 4 N 51. [13] A ce sujet: DSG-Epiney, Fasnacht, p. 612-613; Meier P., p. 370-372. [14] Supra Partie II, Chapitre 2, I, B, 1, b, ii, a), n° 582 ss; Supra Partie II, Chapitre 2, I, C, 3, b, n° 747 ss. [15] BSK-DSG-Maurer-Lambrou, Kunz, art. 2 N 27; Rosenthal, Jöhri, art. 2 N 31-32. [16] BSK-DSG-Gramigna, Maurer-Lambrou, art. 8 N 1 ; Meier P., p. 361. [17] A ce sujet, voir: DSG-Waldmann, Oeschger, p. 865 ; Métille, Thèse, p. 305-308. [18] Cornu, p. 258; Métille, Thèse, p. 74; Ribaux, p. 136-137; Rossy, p. 73. [19] Ribaux, p. 142.