Transmission de données par téléphone : identification du requérant ?

Publié le 20 avril 2023 par Me Philippe Ehrenström
Photo de Isaac Mitchell sur Pexels.com

Le responsable du traitement est la Nederlandse Sociale Verzekeringsbank (SVB), une institution gouvernementale néerlandaise responsable de différentes formes de sécurité sociale et de prestations. Les citoyens peuvent s’adresser au responsable du traitement par l’intermédiaire d’un service d’assistance téléphonique pour poser des questions sur les assurances de sécurité sociale. Selon la SVB, ses 1 500 employés reçoivent environ 20 000 appels téléphoniques par semaine à ce sujet.

Le 1er novembre 2019, l’autorité néerlandaise de protection des données (APD ; Autoriteit Persoonsgegevens) a reçu une plainte d’une personne concernée, laquelle affirmait qu’un membre de sa famille, lors d’un appel téléphonique, avait pu recevoir du responsable du traitement des données à caractère personnel la concernant, sans son consentement.

Le service d’enquête de l’APD a constaté que de nombreuses catégories de données à caractère personnel étaient enregistrées dans les systèmes du SVB, telles que le nom, l’adresse, l’adresse postale, la nationalité et l’état civil, mais aussi des données pénales, qui indiquaient quelles personnes avaient été condamnées pour un délit ou étaient soupçonnées de fraude. Le service d’enquête a constaté que tous les 1 500 employés du SVB avaient accès aux dossiers et aux données à caractère personnel des personnes concernées.

À la demande de l’APD, qui souhaitait savoir comment la politique actuelle concernant les questions de vérification d’identité avait vu le jour, la SVB a fourni à l’APD des documents datant de 2006 et 2007 montrant qu’il reconnaissait le risque qu’un tiers puisse demander les données à caractère personnel d’une personne concernée. Par la suite, le responsable du traitement a décidé d’introduire des questions de vérification afin de confirmer l’identité de l’appelant. Il ressort d’un autre document que des préoccupations ont été exprimées en 2007 au sujet de ces questions de vérification. Le service d’enquête a constaté qu’aucun changement de politique n’avait été introduit depuis 2006 et qu’aucune autre évaluation n’avait été effectuée.

Le service d’enquête de l’APD a également constaté que la SVB  avait mis en place deux politiques internes différentes à l’intention de ses employés afin d’identifier les personnes concernées par téléphone. Toutefois, ces politiques comportaient des différences quant à la manière dont les personnes concernées devaient être identifiées, ce qui a semé la confusion parmi les employés. En bref, il n’était pas clair quelles questions – et combien de questions – devaient être posées au téléphone pour vérifier l’identité de la personne concernée. Il n’était pas non plus clair quelles questions supplémentaires devaient être posées en cas de doute sur l’identité de la personne concernée.

Le service d’enquête de l’APD a conclu que le responsable du traitement n’avait aucun moyen de garantir que les politiques de vérification de l’identité étaient suffisantes pour vérifier effectivement l’identité de la personne concernée. Il a également constaté que les employés n’agissaient pas toujours conformément aux politiques et que la vérification de l’identité était souvent laissée à l’appréciation et à l’interprétation de l’employé en question.

L’APD, dans une décision du 19 janvier 2023 (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_sociale_verzekeringsbank.pdf) a examiné la question sous l’angle du « niveau de sécurité adapté au risque » au sens de l’art. 32 par. 1 et 2 RGPD, lesquels prévoient :

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, (…).

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

L’APD a estimé que le responsable du traitement n’avait pas procédé à une évaluation correcte des risques liés à ses opérations de traitement, compte tenu du fait que les documents de 2006 et 2007 dataient déjà de 14 ans au moment où l’enquête a été menée à son terme. En outre, le responsable du traitement n’a pas réévalué les risques du traitement une seule fois au cours de ces 14 années et n’a pas correctement identifié les risques en jeu. Par exemple, l’APD note qu’aucune attention n’a été accordée au fait que les 1 500 employés avaient tous accès à l’ensemble des données à caractère personnel et qu’un tel accès à grande échelle constituait déjà en lui-même un risque.

L’APD a déterminé que le risque constitué par la fourniture des données à caractère personnel par téléphone était élevé, compte tenu de l’ampleur du traitement, de la nature des données à caractère personnel en question, du nombre d’employés pouvant accéder aux données et de la fréquence à laquelle les personnes concernées contacteraient le responsable du traitement.

L’APD a également conclu que les mesures prises par le responsable du traitement étaient insuffisantes pour atténuer ce risque élevé. Deux aspects ont été jugés insuffisants : la vérification de l’identité par téléphone et le manque de sensibilisation aux responsabilités en matière de sécurité au sein de l’organisation du responsable du traitement.

En conclusion, l’APD a considéré que les mesures de sécurité prises par SVB n’étaient pas appropriées au regard des risques de sécurité, et ce en violation de l’art. 32 par. 1 et 2 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , | Laisser un commentaire

Une adresse email professionnelle est-elle une donnée personnelle?

Publié le 14 avril 2023 par Me Philippe Ehrenström
Photo de Tnarg sur Pexels.com

La personne concernée était un ancien employé du responsable du traitement, une organisation qui soutenait les personnes adultes handicapées.

Pour son travail, il a utilisé une adresse email professionnelle pendant environ 8 ans, parfois aussi pour des courriers électroniques privés. Cette adresse email ne contenait aucun identifiant direct se rapportant à la personne concernée.

Le 15 septembre 2020, la personne concernée a été licenciée. Le responsable du traitement a révoqué l’accès de la personne concernée à l’adresse email  en modifiant le mot de passe et en supprimant le compte d’utilisateur. Le 25 mai 2021, la personne concernée a déposé une demande d’accès auprès du responsable du traitement. Elle a demandé les données à caractère personnel contenues dans la boîte aux lettres électronique et les documents de son dossier d’emploi. Il souhaitait également obtenir des informations sur ce qu’il était advenu de son adresse  électronique après son licenciement.

Le 22 février 2022, la personne concernée a déposé une plainte contre le responsable du traitement auprès de l’autorité de protection belge (APD ; Gegevensbeschermingsautoriteit). Au cours de la procédure, il est apparu clairement qu’après le 4 janvier 2018, l’adresse électronique était également utilisée par d’autres employés du responsable du traitement. Avant cette date, la personne concernée était la seule à utiliser cette adresse électronique et elle avait envoyé des courriels en les signant de son nom personnel.

L’APD, dans une décision 40/2023 du 03.04.2023, a notamment dû évaluer si l’adresse électronique elle-même constituait une donnée à caractère personnel au sens de l’art. 4 (1) RGPD. Étant donné qu’il s’agissait d’une adresse électronique professionnelle (et non personnelle), elle ne contenait aucun identifiant, tel un nom, qui rendrait la personne concernée directement identifiable. L’adresse  était liée au service, et non à une personne. Par conséquent, l’APD a estimé qu’il était nécessaire de déterminer si il existait des identifiants indirects. Il a souligné qu’il était nécessaire de faire une distinction entre la situation antérieure au 4 janvier 2018 et la situation postérieur eà cette date.

En effet, avant le 4 janvier 2018, l’adresse électronique constituait une donnée à caractère personnel. La personne concernée a affirmé qu’elle avait été la seule personne à utiliser cet e-mail, et le responsable du traitement n’a pas été en mesure de prouver le contraire. Compte tenu du fait que la personne concernée était la seule à utiliser l’e-mail et qu’elle signait ses e-mails en utilisant son nom personnel, il était possible pour les destinataires d’identifier la personne concernée comme l’administrateur de l’e-mail au fil du temps. Toutefois, après le 4 janvier 2018, l’adresse électronique n’était plus une donnée à caractère personnel, puisque le responsable du traitement a pu prouver que l’adresse électronique était utilisée par plusieurs employés après le 4 janvier 2018. Par conséquent, l’adresse email n’était une donnée à caractère personnel que jusqu’au 4 janvier 2018.

(Décision : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-40-2023.pdf; présentation complète : https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-40-2023.pdf)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , | Laisser un commentaire

Système de reconnaissance faciale pour des examens online

Publié le 13 avril 2023 par Me Philippe Ehrenström
Photo de Greg Contreras sur Pexels.com

L’Universitat Oberta de Catalunya (responsable du traitement) a adopté un système de reconnaissance faciale pour vérifier l’identité des étudiants avant qu’ils ne passent des examens en ligne. Le système capturait l’image du visage des étudiants pour la comparer aux photos figurant sur leur carte d’identité et leur permettre ainsi de passer l’examen. Les étudiants qui refusaient de le faire étaient considérés comme « absents ».

L’un des étudiants (personne concernée) a déposé une plainte auprès de l’autorité de protection des données catalane (APD ; Autoridad Catalana de Protección de Datos), qui a ouvert une enquête.

A cours de la procédure, l’APD a établi qu’un total de 31 501 étudiants avaient dû utiliser la technologie de reconnaissance faciale pour être autorisés à passer les examens.

L’APD, dans une décision PS 41/2022 (https://gdprhub.eu/index.php?title=APDCAT_(Catalonia)_-_PS_41/2022&mtc=today), commence par rappeler que l’article 4(14) RGPD  définit les données biométriques comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Il s’agit d’une catégorie spéciale de données au sens de l’art. 9 par. 1 RGPD et, en tant que telle, elle ne peut être traitée à des fins d’identification ou d’authentification que dans des situations exceptionnelles.

Toutefois, dans le cas d’espèce, le responsable du traitement n’a justifié d’aucune des exceptions prévues à l’art. 9 par. 2 RGPD. En outre, aucune alternative réelle n’ayant été proposée aux étudiants, tout consentement obtenu de leur part à l’usage de la reconnaissance faciale n’était pas valable.

Tout en reconnaissant que la technologie de reconnaissance faciale pouvait être un moyen efficace de prévenir la fraude académique, l’APD a déclaré qu’il existait d’autres mesures moins intrusives et tout aussi efficaces pour prévenir la fraude. Pour cette raison, sa mise en œuvre a été jugée disproportionnée.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , | 2 commentaires

L’Italie (dé)bloque ChatGPT?

Publié le 13 avril 2023 par Me Philippe Ehrenström
Photo de Kindel Media sur Pexels.com

Le Garante per la protezione dei dati personali (Garante) vient de publier (12.04.2023) un communiqué sur ChatGPT, ensuite de sa décision du 30.03.2023 (https://droitdutravailensuisse.com/2023/03/31/litalie-bloque-chatgpt-2/). Traduction libre :

« OpenAI aura jusqu’au 30 avril pour se conformer aux exigences imposées par le Garante per la protezione dei dati personali (Garante pour la protection des données personnelles) en matière d’information, de droits des personnes concernées, utilisateurs et non-utilisateurs, et de base juridique du traitement des données personnelles pour la formation d’algorithmes avec les données des utilisateurs. Ce n’est qu’à ce moment-là, puisque les raisons d’urgence n’existeront plus, que l’Autorité suspendra la restriction provisoire au traitement des données des utilisateurs italiens prise à l’encontre de la société américaine, et que ChatGPT pourra à nouveau être accessible depuis l’Italie.

Sur la base de la mesure prise aujourd’hui par l’Autorité, la société devra donc adopter une série de mesures concrètes d’ici la fin du mois d’avril.

Information

OpenAI devra préparer et mettre à disposition sur son site web une notice transparente expliquant les méthodes et la logique du traitement des données nécessaires au fonctionnement de ChatGPT ainsi que les droits des utilisateurs et des non-utilisateurs. L’avis doit être facilement accessible et placé à un endroit où il peut être lu avant de procéder à toute inscription au service.

Pour les utilisateurs qui se connectent depuis l’Italie, la notice doit être présentée avant la fin de l’inscription et, toujours avant la fin de l’inscription, il doit leur être demandé de déclarer qu’ils sont majeurs.

Les utilisateurs déjà enregistrés devront se voir présenter la notice d’information lors de leur premier accès à la suite de la réactivation du service et, à cette occasion, devront être invités à passer une barrière d’âge excluant, sur la base de leur âge déclaré, les utilisateurs mineurs.

Base juridique

En ce qui concerne la base juridique du traitement des données personnelles des utilisateurs pour l’entraînement des algorithmes, le Garant de la protection de la vie privée a ordonné à OpenAI d’éliminer toute référence à l’exécution d’un contrat et d’indiquer, à la place, sur la base du principe de responsabilité, le consentement ou l’intérêt légitime comme condition préalable à l’utilisation de ces données, sans préjudice de l’exercice de ses pouvoirs de vérification et d’investigation postérieurement à ce choix.

Exercice des droits

D’autres exigences concernent la mise à disposition d’outils utiles pour permettre aux personnes concernées, y compris les non-utilisateurs, de demander la rectification des données à caractère personnel les concernant générées de manière inexacte par le service ou leur suppression, si la rectification n’est pas techniquement possible.

OpenAI devra également permettre aux non-utilisateurs intéressés d’exercer, de manière simple et accessible, leur droit d’opposition au traitement de leurs données personnelles utilisées pour faire fonctionner les algorithmes, et reconnaître un droit similaire aux utilisateurs, si elle identifie l’intérêt légitime comme base légale du traitement.

Protection des mineurs

S’agissant de la vérification de l’âge des mineurs, outre la mise en œuvre immédiate d’un système de demande d’âge aux fins d’inscription au service, l’Autorité a enjoint à OpenAI de lui soumettre avant le 31 mai un plan d’action prévoyant, au plus tard le 30 septembre 2023, la mise en œuvre d’un système de vérification de l’âge, capable d’exclure l’accès aux utilisateurs de moins de 13 ans et aux mineurs pour lesquels l’autorisation parentale fait défaut.

Campagne d’information

En accord avec le Garant, OpenAI doit enfin promouvoir, avant le 15 mai, une campagne d’information à la radio, à la télévision, dans les journaux et sur le web pour informer les gens de l’utilisation de leurs données personnelles à des fins de formation d’algorithmes.

L’Autorité continuera d’enquêter sur les violations de la réglementation en vigueur qui pourraient avoir été commises par la société et se réserve le droit d’adopter toutes les mesures supplémentaires ou différentes qui pourraient être nécessaires à la conclusion de l’enquête formelle qui est toujours en cours.

Rome, le 12 avril 2023 »

Source : https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9874751

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , , , | Laisser un commentaire

Credit Suisse: l’urgence contre la transparence?

Publié le 11 avril 2023 par Me Philippe Ehrenström
Photo de Connor Danylenko sur Pexels.com

A teneur de l’art. 6 al. 1 de l’Ordonnance du 16 mars 2023 sur les prêts d’aide supplémentaires sous forme de liquidités et l’octroi par la Confédération de garanties du risque de défaillance pour les prêts d’aide sous forme de liquidités de la Banque nationale suisse à des banques d’importance systémique (Échange d’informations et traitement des données), le DFF, la FINMA et la Banque nationale échangent les informations non rendues publiques qui sont nécessaires notamment à l’octroi, à l’administration, à la surveillance et au traitement des prêts d’aide sous forme de liquidités et des garanties du risque de défaillance.[i]  Les autorités visées à l’al. 1 ainsi que le Contrôle fédéral des finances et les tiers chargés de l’exécution de la présente ordonnance peuvent traiter, apparier et se communiquer mutuellement des données personnelles et autres informations, dans la mesure où cela est nécessaire l’exécution de la présente ordonnance, c’est-à-dire à l’octroi, à l’administration, à la surveillance et au traitement des prêts d’aide sous forme de liquidités et des sûretés, ou encore à la surveillance des marchés. L’al. 3 ajoute que « L’accès à ces informations et à ces données en vertu de la loi du 17 décembre 2004 sur la transparence est exclu. »

Selon le commentaire de l’ordonnance (p.12)[ii], « Il est impératif de garantir une transparence aussi élevée que possible à propos de la mise à disposition de prêts d’aide sous forme de liquidités assortis d’une garantie du risque de défaillance de la Confédération. En même temps, les informations et données des SIB [i.e. systemically important banks en bon Français fédéral…] concernées sont sans aucun doute très sensibles. Elles contiennent des secrets d’affaires ou de fabrication au sens de la loi du 17 décembre 2004 sur la transparence (LTrans). Compte tenu de la sensibilité avérée de ces données et informations et à des fins de clarté juridique, l’ordonnance limite le champ d’application matériel de la LTrans. L’al. 3 constitue donc une disposition spéciale au sens de l’art. 4, let. a, LTrans [on rappellera que l’art. 4 let. a LTrans réserve les dispositions spéciales d’autres lois fédérales].En revanche, il ne limite en rien l’échange d’informations et de données entre les autorités compétentes visées à l’art. 1. »

L’art. 6 al. 3, toujours selon le Conseil fédéral, « (…) vise à garantir que les unités administratives chargées de l’exécution de l’ordonnance reçoivent rapidement toutes les informations pertinentes de la part de la SIB concernée. Si cette dernière [i.e. la SIB en cause] doit craindre en permanence que les unités administratives doivent autoriser l’accès aux informations et documents mis à disposition, il peut arriver que les informations requises ne soient pas fournies ou ne soient fournies qu’en partie ou avec beaucoup de retard. Une réglementation au contenu sensiblement similaire figure à l’art. 14 de la loi fédérale du 20 décembre 1957 sur les chemins de fer et à l’art. 20 de la loi fédérale du 30 septembre 2022 sur des aides financières subsidiaires destinées au sauvetage des entreprises du secteur de l’électricité d’importance systémique [donc, encore une fois, deux lois fédérales.] Il est toutefois indéniable que la transparence concernant l’action de l’État est importante et nécessaire. Le présent article n’empêche pas cette transparence, qui est assurée d’une autre manière, par la publication appropriée des principaux résultats, indicateurs et conditions cadres. Le public disposera ainsi des informations pertinentes au moyen desquelles il pourra évaluer les aides financières et qu’il pourra consulter dans le respect des règles de confidentialité correspondantes, sans qu’il soit possible de tirer des conclusions sur les affaires internes de la SIB concernée. »

Sans doute faut-il notamment entendre par « publication appropriée » l’ « analyse approfondie » demandée par le Conseil fédéral le 29 mars 2023 et qui se penchera sur les évènements tout en procédant à « (…) une évaluation complète de la réglementation too big to fail. Par conséquent, le Département fédéral des finances procédera à l’examen détaillé des circonstances qui ont conduit à l’adoption d’un train de mesures spécial et évaluera la réglementation en question avec l’aide de spécialistes externes. Les conclusions de ces analyses seront présentées au Parlement dans un délai d’un an dans le prochain rapport du Conseil fédéral sur les banques d’importance systémique visé à l’art. 52 de la loi sur les banques. Ce rapport tiendra également lieu de réponse aux postulats des parlementaires. Si le Parlement demande lui aussi des analyses, le Conseil fédéral en tiendra compte[iii]. » La décision concernant le contenu et l’étendue des informations à communiquer seront donc largement – si ce n’est exclusivement – laissé à la seule appréciation du Conseil fédéral et de son administration. [Qui est le numéro 2 ? Vous le saurez en temps utile…. Une pensée pour Patrick McGoohan]

Comme l’explique le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans un communiqué du 6 avril 2023[iv], cette manière de procéder soulève des questions juridiques importantes (et suscite un certain malaise chez le lecteur moyen…). Le PFPDT souligne d’abord que le CF estime que l’art. 6 al. 3 de l’Ordonnance vise à garantir que les unités administratives chargées de son exécution reçoivent rapidement toutes les informations pertinentes de la part des institutions financières concernées, alors que cela « devrait aller de soi dans un État de droit ».

Le PFPDT ajoute qu’ « Après la phase de la pandémie marquée par des décisions relevant du droit de nécessité et après la mise en place du mécanisme de sauvetage des entreprises du secteur de l’électricité, le Conseil fédéral, en édictant l’ordonnance du 16 mars 2023 mentionnée plus haut, recourt une nouvelle fois en peu de temps au droit de nécessité pour soustraire à la loi sur la transparence des activités qu’il avait confiées à son administration au moyen du même droit de nécessité. Dans ces deux cas, les activités de l’administration soustraites à la loi sur la transparence peuvent entraîner la mobilisation de recettes fiscales qui se chiffrent en milliards de francs. La démarche du Conseil fédéral soulève des questions juridiques de fond. Selon les informations actuellement à disposition du PFPDT, le fait que le recours au droit de nécessité constitutionnel soit nécessaire pour soutenir le secteur de l’électricité ou le secteur financier ne permet pas de justifier, dans aucun des cas mentionnés, la nécessité d’exclure également, par la voie du droit de nécessité, le droit des citoyens de pouvoir comprendre l’action de l’administration se fondant sur le droit de nécessité. »

Et encore : « S’il n’est pas indispensable de limiter, au moyen du droit de nécessité, les droits dont disposent les citoyens en vertu de la loi sur la transparence, on peut se demander d’où le Conseil fédéral tire le droit d’exclure l’application de cette loi fédérale par voie d’ordonnance. Étant donné que la validité du droit de nécessité est limitée à six mois, l’administration fédérale aurait eu la possibilité, dans les deux cas, si la loi sur la transparence était restée applicable, de limiter l’accès aux documents officiels en vertu de ladite loi en invoquant la protection d’intérêts publics et privés, ou du moins de le différer jusqu’à ce que l’Assemblée fédérale puisse, dans le cadre de la procédure législative ordinaire, se prononcer sur l’exclusion du principe de la transparence de l’administration pour, au besoin, l’inscrire dans la loi formelle. »

On ne saurait mieux dire.

J’avais écrit, il y a quelques jours, un conte de Pâques sur les habits neufs de l’Etat de droit en me basant sur l’art. 28e al. 1bis O-Ukraine.[v] En voilà un autre exemple, où l’ordonnance corrige le droit, et où le droit de nécessité masque la nécessité elle-même.

[i] L’ordonnance n’étant apparemment pas encore publiée au RO, le texte consulté l’a été ici : https://www.newsd.admin.ch/newsd/message/attachments/76277.pdf

[ii] https://www.newsd.admin.ch/newsd/message/attachments/76272.pdf

[iii] https://www.efd.admin.ch/efd/fr/home/le-dff/nsb-news_list.msg-id-94030.html

[iv] PFPDT, Nombre croissant d’exceptions à la LTrans prévues par des lois spéciales et droit de nécessité, 6 avtil 2023 ;  https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#583953756

[v] https://droitdutravailensuisse.com/2023/04/07/les-habits-neufs-de-letat-de-droit/

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans transparence | Tagué , , , | Laisser un commentaire

Les habits neufs de l’Etat de droit

Publié le 7 avril 2023 par Me Philippe Ehrenström
Photo de Stephan Mu00fcller sur Pexels.com

« Il y a bien des années, vivait un empereur qui raffolait tellement de beaux habits neufs qu’il dépensait tout son argent pour être bien habillé. (…) Un jour vinrent deux escrocs, ils se firent passer pour tisserands et dirent qu’ils s’entendaient à tisser l’étoffe la plus extraordinaire que l’on pût imaginer. Non seulement les couleurs et le dessin en étaient d’une beauté peu commune, mais les habits taillés dans cette étoffe avaient la merveilleuse propriété d’être invisible pour quiconque n’était bon à rien dans son emploi ou encore était d’une bêtise inadmissible[i]. »

* * *

L’Etat de droit caractérise une société dans laquelle chacun est soumis au respect du droit. Il est considéré comme le signe distinctif des régimes démocratiques, et est souvent opposé à des nations ou à des régimes que l’on réprouve pour différentes raisons.

En droit suisse, l’art. 5 Cst énumère les principes de l’activité de l’État telle que régie par le droit, soit les principes de légalité (al. 1), d’intérêt public et de proportionnalité (al. 2), de bonne foi (al. 3) et de primauté du droit international (al. 4). D’autres composants de l’État de droit découlent d’autres dispositions constitutionnelles, en particulier le principe de la séparation des pouvoirs (Tit. 5), l’indépendance des autorités judiciaires (art. 191c Cst), les garanties de procédure (art. 29 ss Cst.) – dont le droit d’être entendu et le droit d’accès à un juge (29 al. 2 et 29a Cst.)

Cela étant dit, on considère aussi qu’à l’Etat de droit formel (formeller Rechtsstaat) s’ajoute l’Etat de droit substantiel (materialer Rechtsstaat), qui recouvre la garantie des droits fondamentaux avec tout ce qu’elle comporte comme obligations et engagements au plan à la fois institutionnel et normatif. La matière ne se limite donc pas à l’art. 5 Cst. et aux dispositions évoquées ci-dessus.

Nul ne contestera en tout cas que le droit d’accès au juge soit un élément essentiel de l’Etat de droit tel que nous le comprenons en Suisse.

Et en pratique ?

Il est intéressant ici de se pencher sur l’ Ordonnance du 4 mars 2022 instituant des mesures en lien avec la situation en Ukraine[ii] (O-Ukraine), laquelle a fait l’objet récemment de développements très intéressant par Sandrine Giroud, Grégoire Mangeat et Berem Brun.[iii]

L’O-Ukraine contient notamment des mesures financières, dont le gel d’avoirs et de ressources économiques (art. 15 O-Ukraine), la déclaration obligatoire concernant ceux-ci (art. 16 O-Ukraine), des mesures relatives à différents biens ou territoires, des restrictions de voyage, etc.

Depuis le 23.11.2022, l’art. 28e al. 1bis O-Ukraine fait aujourd’hui interdiction aux prestataires suisses de «fournir, directement ou indirectement […] des services de conseil juridique […] au gouvernement de la Fédération de Russie ou à des personnes morales, des entreprises ou des entités établies dans ce pays».

Les « services » en cause ne sont d’abord pas définis, mais – comme il s’agit de reprendre les sanctions de l’UE – celle-ci a eu l’occasion de préciser qu’ils couvrent tous les conseils en matière gracieuse, y compris les transactions commerciales impliquant une application ou une interprétation du droit, la participation à des opérations commerciales, à des négociations et à d’autres transactions avec des tiers, avec des clients ou pour le compte de ceux-ci, et la préparation, l’exécution et la vérification des documents juridiques, mais non la représentation, les conseils, la préparation de documents ou la vérification des documents dans le cadre des services de représentation en justice, à savoir dans des affaires ou des procédures devant des organes administratifs, des cours ou d’autres tribunaux officiels, ou dans des procédures d’arbitrage et de médiation.[iv]

Comme le relèvent Sandrine Giroud, Grégoire Mangeat et Berem Brun, « (…) l’art. 28e O-Ukraine crée une distinction entre représentation en justice et conseil juridique, alors que ces activités sont toutes deux «typiques» des avocats. Distinguer et interdire le conseil est juridiquement problématique, car c’est exclure, sans base légale, un élément fondamental de la mission des avocats. Cette distinction est également problématique en pratique du point de vue de la prévisibilité et de la sécurité du droit. En effet, il n’est pas aisé, voire impossible, de déterminer où s’arrête le conseil juridique et où commence la représentation en justice ».[v] Les notions utilisées sont d’ailleurs aussi peu claires que possibles : services «nécessaires» à «l’exercice des droits de la défense» (let. a) ou «pour garantir l’accès aux procédures» (let. c) ?

Il est dès lors juste de souligner que la légalité et la proportionnalité des restrictions prévues par l’art. 28e al. 1bis O-Ukraine apparaissent très contestables, notamment sous l’angle de l’art. 36 Cst., car elles violent l’essence même des droits fondamentaux et ne reposent que sur une ordonnance. On ne voit pas très bien non plus comment la restriction d’accès au juge en Suisse serait à même d’influencer le comportement de la Russie en Ukraine.[vi]

Curieusement, le Conseil fédéral considère néanmoins que l’interdiction de fournir des services juridiques telle que prévue par l’art. 28e O-Ukraine « (…) assure néanmoins l’accès à la justice suisse et le respect intégral de l’état de droit. Telle était la condition imposée par le Conseil fédéral pour la reprise de ces nouvelles restrictions ».[vii]

Comment expliquer cette curieuse appréciation ?

Cette discrépance entre l’explication et le contenu réel de l’art. 28 e al. 1bis O-Ukraine pourrait relever à première vue d’un divorce entre les mots et la réalité des choses. L’exécutif pense ceci, mais il fait cela, ou autre chose, il est un peu en dehors de ce qu’il dit (ou beaucoup), ses propos sont marqués du sceau de la contradictions, etc.

Mais pour expliquer cela, il n’y a en fait que deux hypothèses, et deux hypothèses seulement :

La 1ère est celle de la maladresse, du conseiller trop pressé, de la traduction rapide et brouillonne de nouvelles sanctions européennes avec gains de fonction (car les précédentes étaient peu efficaces, pour le moins). L’exécutif aurait alors (re)pris le train des sanctions en marche avec la subtilité d’un labrador lancé après une balle en caoutchouc sur un parquet ciré, et adopté ce fameux art. 28e al. 1bis dans la foulée.

La 2e est celle qu’a développé Eric Werner, notamment dans La démocratie comme réalité.[viii] En fait, l’exécutif n’est pas idiot, il sait pertinemment que l’art. 28e al. 1bis O-Ukraine viole le droit d’accès au juge et l’Etat de droit – dont il chante les louanges par ailleurs (quand ça lui chante). Dans ce cadre, l’art. 28e al. 1 bis O-Ukraine traduit sa compréhension de l’Etat de droit aujourd’hui, dans ce contexte, et contre ces destinataires-là. Il nous dit, en substance, l’Etat de droit, en ce jour et en cette heure, concernant cet objet particulier, c’est cela – et il faudra bien vous en contenter. Il n’y aucune erreur d’appréciation, de précipitations – les mots correspondent bien à la réalité des choses, quitte à redéfinir les premiers. Demain, ce sera ailleurs, autrement, et contre d’autres destinataires – vous verrez bien !

* * *

« Jamais les habits de l’empereur n’avaient obtenu un tel succès.

Mais voyons, il n’a rien sur lui dit un petit enfant. Seigneur Dieu, écoutez la voix de cet innocent dit son père. Et l’on se chuchota de l’un à l’autre ce que disait cet enfant.

Mais voyons il n’a rien sur lui cria finalement tout le peuple. L’empereur frissonna car il lui semblait bien qu’ils avaient raison, mais il se dit quelque chose comme « Il faut que je défile jusqu’au bout. » Et les chambellans allèrent, portant la traîne qui n’existait pas.[ix] »

[i] Hans Christian Andersen, Œuvres, t. I, trad. Régis Boyer, Paris, Gallimard, Bibliothèque de la Pléiade, 1992, p.88

[ii] RS 946.231.176.72 – https://www.fedlex.admin.ch/eli/cc/2022/151/fr, déjà modifiée près de 25 fois depuis son entrée en vigueur !

[iii] GIROUD/MANGEAT/BRUN, L’Etat de droit et les avocats à l’épreuve des sanctions contre la Russie, Anwaltsrevue|Revue de l’avocat 2/2023 pp. 63–68 ; accessible en libre accès ici : https://anwaltsrevue.recht.ch/de/artikel/02arv0223the/letat-de-droit-et-les-avocats-lepreuve-des-sanctions-contre-la-russie#footnote-25-marker)

[iv] Règlement (UE) 2022/1904 du Conseil du 6.10.2022 modifiant le règlement (UE) no 833/2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine, JO L 259 I/3, 6.10.2022, considérant 19, p. 3

[v] GIROUD/MANGEAT/BRUN, op.cit. p. 67

[vi] GIROUD/MANGEAT/BRUN, op.cit. p. 68

[vii] SECO, Communiqué de presse du 23.11.2022 ; https://www.seco.admin.ch/seco/fr/home/seco/nsb-news/medienmitteilungen-2022.msg-id-91875.html).

[viii] Eric Werner, La démocratie comme réalité, Antipresse, 1er mai 2022, pp. 10-13

[ix] Hans Christian Andersen, op. cit, p. 92

* * *

Et Joyeuses Pâques quand même !

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Divers | Tagué , , , , | Laisser un commentaire

Credit Suisse : suppression et réduction des rémunérations variables

Publié le 5 avril 2023 par Me Philippe Ehrenström
Photo de Tima Miroshnichenko sur Pexels.com

Résumé : Lors de sa séance du 5 avril 2023, le Conseil fédéral a chargé le Département fédéral des finances (DFF) soit de supprimer, soit de réduire de 50 % ou de 25 % toutes les rémunérations variables que Credit Suisse doit encore verser aux membres de ses trois échelons de conduite les plus élevés. En outre, l’établissement devra examiner s’il est possible d’exiger la restitution des rémunérations variables qu’il a déjà versées et rendre compte des conclusions de ces examens au DFF et à l’Autorité fédérale de surveillance des marchés financiers (FINMA). Quant à UBS, elle sera tenue de prévoir dans son système de rémunération non seulement des critères comme la prise de conscience des risques, mais également un critère relatif à la réalisation efficace, c’est-à-dire générant le plus grand bénéfice possible, des actifs de Credit Suisse qui entrent dans le champ d’application de la garantie de l’État contre les pertes.

Communiqué de presse du 05.04.2023 : Le 19 mars 2023, le Conseil fédéral a adopté un train de mesures visant à soutenir l’acquisition de Credit Suisse par UBS. Ce train de mesures comprend également les garanties octroyées par la Confédération à la Banque nationale suisse pour les prêts d’aide sous forme de liquidités (100 milliards de francs) que cette dernière a fournis à Credit Suisse et la garantie de second rang accordée à UBS pour couvrir les éventuelles pertes liées à la vente de certaines positions actives de Credit Suisse (9 milliards de francs). L’art. 10a de la loi sur les banques prévoit que le Conseil fédéral ordonne des mesures en matière de rémunération s’il accorde à une banque d’importance systémique une aide financière directe ou indirecte puisée dans les moyens de la Confédération (voir aussi communiqué du 19 mars 2023). Après avoir suspendu provisoirement le 21 mars 2023 les rémunérations variables différées, le Conseil fédéral a maintenant arrêté des mesures définitives.

Toutes les rémunérations variables du plus haut échelon de conduite (executive board) de Credit Suisse dues jusqu’à la fin de 2022 seront supprimées, tandis que celles du premier échelon de conduite subordonné à l’executive board seront réduites de 50 % et celles du deuxième échelon de conduite subordonné à l’executive board, de 25 %. Ces mesures permettent de prendre dûment en considération la responsabilité des cadres du plus haut niveau dans la situation actuelle de Credit Suisse. Elles s’appliqueront à quelque 1000 collaborateurs, qu’elles priveront d’un montant total d’environ 50 à 60 millions de francs. À l’heure actuelle, les rémunérations variables que Credit Suisse doit verser à l’ensemble de ses quelque 49 000 collaborateurs de manière différée s’élèvent au total à 635 millions de francs (montant correspondant à un cours de l’action de 0,76 franc); lors de son attribution aux collaborateurs, la part de rémunération variable était chiffrée à 2,76 milliards de francs. En d’autres termes, l’ensemble des collaborateurs a déjà subi une perte s’élevant à plus de 2 milliards de francs au total en raison de l’évolution négative du cours des actions de Credit Suisse. En 2023, toutes les rémunérations variables dues aux membres des trois échelons de conduite les plus élevés de Credit Suisse jusqu’à l’acquisition effective de ce dernier par UBS seront également supprimées ou réduites. En outre, Credit Suisse devra examiner les possibilités d’exiger la restitution des rémunérations variables déjà versées et rendre compte des conclusions de ces examens au DFF et à la FINMA.

UBS aura l’obligation de prévoir dans son système de rémunération, pour les personnes chargées de la réalisation des actifs de Credit Suisse qui entrent dans le champ d’application de la garantie fédérale, un critère les incitant à réaliser ces actifs de manière à ce que cette opération génère le plus grand bénéfice possible et que la garantie de l’État contre les pertes ne doive pas être utilisée. En outre, UBS restera tenue d’intégrer dans son système de rémunération des critères comme la prise de conscience des risques et le respect de règles de conduite.

Le DFF accordera à Credit Suisse et à UBS le droit d’être entendus avant de leur notifier les décisions correspondantes. La mise en oeuvre des mesures par les banques sera contrôlée par la FINMA.

(Source : https://www.efd.admin.ch/efd/fr/home/le-dff/nsb-news_list.msg-id-94150.html)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Salaire | Tagué , , , | Laisser un commentaire

Credit Suisse : suspension du versement des rémunérations variables (2) ?

Publié le 5 avril 2023 par Me Philippe Ehrenström
Photo de John Guccione http://www.advergroup.com sur Pexels.com

J’ai déjà parlé ici de la suspension des rémunérations variables ordonnées par le Conseil fédéral ensuite de la reprise de CS par UBS dans un communiqué du 21.03.2023 (https://droitdutravailensuisse.com/2023/03/22/credit-suisse-suspension-du-versement-des-remunerations-variables/). J’y soulignais le caractère particulièrement confus de cette communication.

Les Questions-Réponses mises sur le site du DFF le 31.03.2023 ne contribuent pas à éclairer l’obscur (cf. https://www.efd.admin.ch/efd/fr/home/place-financiere/acquisition-credit-suisse-ubs.html#-397656449). Qu’on en juge :

« Quelles sont les conséquences de l’aide de l’État sur les dividendes et les bonus?

(…) Se fondant en outre sur l’art. 10a de la loi sur les banques, le Conseil fédéral ordonne des mesures en matière de rémunérations. Le versement de rémunérations variables sera aussi totalement ou partiellement interdit. »

Et un peu plus loin :

« Le 21 mars 2023, le DFF a signifié par voie de décision à Credit Suisse que celui-ci devait suspendre le versement de certaines rémunérations variables à ses collaborateurs. Qu’est-ce que cela signifie?

Le Conseil fédéral avait déjà annoncé le 19 mars 2023 son intention d’ordonner des mesures en matière de rémunération conformément à l’art. 10a de la loi sur les banques. Les rémunérations variables dont le versement est différé et exécuté par exemple sous forme de droits à des actions ne peuvent plus être payées pour l’instant. Les bonus en espèces déjà approuvés et versés immédiatement restent quant à eux autorisés. Le Conseil fédéral a en outre chargé le DFF de lui soumettre d’autres mesures concernant les rémunérations variables pour les exercices antérieurs à 2022 et les exercices suivants.

Combien de collaborateurs sont concernés par cette décision et quel est le montant des rémunérations suspendues?

Le DFF ne dispose d’aucun chiffre à cet égard. En principe, plus une personne occupe une position élevée dans la hiérarchie, plus son salaire inclut des rémunérations variables dont le versement est différé. Des données générales sur le système de rémunération de Credit Suisse figurent dans le rapport que l’établissement a publié à ce sujet en 2022. »

En d’autres termes, le DFF ne sait pas ce qu’il fait (suspendre, interdire), ne sait pas combien d’employés sont concernés et n’a aucune idée des montants que cela représente. 

Par ailleurs je me réjouis de tester l’art. 10a LB au regard des dispositions du droit fiscal et du droit du travail en matière de rémunérations. Quid d’une rémunération variable dont le principe et la modalité ont été fixés, mais l’exécution décalée dans le temps ? Elle aura été déclarée et imposée en année X, puis « effacée » par le CF en année x+1 ou x + 2 ? Peut-on invoquer des motifs de révision ? Quid du fait que le salaire variable, une fois acquis, ne peut être retiré au travailleur ? Est-ce une manière de « Truckverbot » ? Voilà quelques une des questions que poseront ces baroques « suspensions »…

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Salaire | Tagué , , , , , | Laisser un commentaire

Remettre en question une transaction judiciaire?

Publié le 4 avril 2023 par Me Philippe Ehrenström
Photo de Lucia Barreiros Silva sur Pexels.com

D’après l’art. 208 al. 1 CPC, la transaction judiciaire passée durant la procédure de conciliation est consignée au procès-verbal et signée par les parties. En vertu de l’art. 208 al. 2 CPC, elle a les effets d’une décision entrée en force: elle a force exécutoire (art. 80 al. 2 ch. 1 LP) et est revêtue de l’autorité de la chose jugée. 

La transaction judiciaire elle-même, en tant qu’acte juridique des parties, met fin au procès. Le juge se borne à en prendre acte; il ne rend pas de décision judiciaire, même si, formellement, il raye la cause du rôle (art. 241 al. 3 CPC). Toutefois, l’invalidité de la transaction judiciaire ne peut être invoquée que par la voie de la révision (art. 328 al. 1 let. c CPC).

Une précision ou un changement de jurisprudence postérieur à la conclusion d’une transaction judiciaire ne constitue pas un motif de révision de ladite transaction (art. 328 al. 1 let. a CPC a contrario

Une transaction judiciaire a pour objet et pour but, moyennant des concessions réciproques, de mettre définitivement fin au litige et aux incertitudes existantes. Les règles sur les vices du consentement sont applicables aux transactions judiciaires, pour autant qu’elles ne soient pas contraires à leur nature particulière. Une invalidation pour cause d’erreur essentielle est exclue lorsque l’erreur porte sur un point incertain qui a fait l’objet de la transaction et que les parties ont souhaité définitivement régler (caput controversum). Par une transaction, les parties peuvent en principe renoncer à leurs prétentions de droit impératif (en droit du travail, cf. ATF 136 III 467 consid. 4.5). 

 La cour cantonale a considéré que les locataires ne pouvaient pas se prévaloir d’une erreur de droit, car l’ignorance d’une règle de droit ou d’une loi ne peut en principe pas donner lieu à une invalidation pour erreur, ce d’autant plus qu’ils étaient assistés d’un avocat. En outre, elle a jugé qu’en transigeant, les locataires avaient renoncé à ce que le tribunal instruisît la validité de la hausse de loyer et la question d’un éventuel rendement excessif. Elle a ajouté que le cas d’espèce différait de celui de l’arrêt 4A_530/2019 précité. Partant, elle a jugé que c’était à bon droit que le tribunal avait considéré que les conditions d’une révision n’étaient pas réalisées et qu’il avait déclaré la requête irrecevable. 

 En substance, les recourants invoquent que l’autorité précédente aurait dû relever que la transaction judiciaire litigieuse était nulle et qu’elle a erré en retenant qu’ils avaient renoncé à leurs droits absolument impératifs découlant des art. 269 ss CO. 

Ils se fondent par ailleurs sur l’arrêt 4A_530/2019 précité pour invoquer la nullité de l’avis de majoration du 7 mai 2018 qui, selon eux, emporterait également nullité de l’augmentation du loyer et révision de la transaction judiciaire litigieuse.

Enfin, ils allèguent que leur loyer aurait subi une augmentation de 48 %, que l’intimée alignerait les prix de ses logements sur les prix du marché des loyers libres du canton de Genève, qu’ils auraient accepté de conclure la transaction judiciaire litigieuse par peur de perdre leur logement dans un contexte de pénurie de logements et que l’intimée aurait exercé des pressions sur eux jusque devant la Commission de conciliation, en arguant qu’il aurait été inutile de contester l’augmentation du loyer.

Le raisonnement des recourants ne saurait être suivi. 

Les recourants ne sauraient déduire d’une prétendue nullité de l’avis de majoration du 7 mai 2018 la nullité de la transaction judiciaire du 3 septembre 2018, qui porte précisément sur ledit avis de majoration; retenir un tel procédé conduirait à une grande incertitude juridique et serait contraire au principe même de la transaction judiciaire, qui a pour but de mettre définitivement fin à un litige. De jurisprudence constante, une transaction judiciaire ne peut être remise en cause que par la voie de la révision, de sorte que la nullité de l’avis de majoration ne saurait être ici examinée. 

Lorsqu’ils prétendent que la transaction judiciaire serait nulle parce qu’ils auraient renoncé à des droits absolument impératifs garantis par les art. 269 ss CO, les recourants méconnaissent que, s’il ne leur est pas possible de renoncer d’avance à des droits impératifs, ils sont libres de le faire et de transiger au cours d’une procédure, dans laquelle ils étaient d’ailleurs assistés de leur avocat.

Seule reste donc litigieuse l’existence d’un motif de révision à l’encontre de la transaction judiciaire litigieuse. Les recourants invoquent en substance une erreur essentielle et se fondent sur un arrêt ultérieur du Tribunal fédéral opposant d’autres parties et dont ils déduisent que l’avis de majoration du 7 mai 2018 serait nul. Les recourants perdent toutefois de vue que la transaction judiciaire litigieuse portait précisément sur la validité de l’avis de majoration dont ils affirment maintenant la nullité, de sorte qu’ils ne sauraient invoquer l’existence d’une erreur essentielle sur ce point; en concluant une transaction judiciaire, les locataires recourants, assistés d’un avocat, ont délibérément choisi de renoncer à contester ledit avis de majoration en contrepartie d’un loyer moins élevé que celui indiqué dans cet avis. Le fait qu’ils pensent avoir fait une mauvaise affaire au vu d’éléments postérieurs, soit en l’espèce un arrêt du Tribunal fédéral, ne suffit donc pas à fonder un motif d’erreur susceptible de constituer un motif de révision de la transaction judiciaire litigieuse.

Les recourants indiquent par ailleurs que l’intimée aurait exercé des pressions sur eux et qu’ils auraient accepté la transaction judiciaire par crainte de perdre leur logement. Dans la mesure où ils se fondent sur des faits qui n’ont pas été constatés par la cour cantonale et dont ils ne sollicitent pas valablement le complètement, leur grief tombe à faux. En tout état de cause, leur argument ne satisfait pas aux exigences de motivation de l’art. 42 al. 2 LTF et est irrecevable.

C’est dès lors à bon droit que la cour cantonale a nié l’existence d’un motif de révision de la transaction judiciaire litigieuse. Les griefs doivent être rejetés, dans la mesure de leur recevabilité.

Au vu de ce qui précède, le recours doit être rejeté, dans la mesure où il est recevable.

(Arrêt du Tribunal fédéral 4A_631/2021 du 6 mars 2023, consid. 3)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Procédure | Tagué , , , , | Laisser un commentaire

L’Italie bloque ChatGPT (2)

Publié le 31 mars 2023 par Me Philippe Ehrenström
Photo de EKATERINA BOLOVTSOVA sur Pexels.com

En complément à mon post précédent, j’ai trouvé utile de mettre ci-dessous pour les lecteurs francophones une traduction libre de la décision du Garante :

« Garante per la protezione dei dati personali, Ordonnance du 30 mars 2023 [9870832]

LE GARANT DE LA PROTECTION DES DONNÉES PERSONNELLES

VU le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, le « règlement » – [RGPD]) ;

AYANT ÉGALEMENT CONSIDÉRÉ le code de protection des données personnelles (décret législatif n° 196 du 30 juin 2003) ;

AYANT PRIS NOTE des nombreuses informations diffusées par les médias sur le fonctionnement du service ChatGPT ;

CONSTATE, suite à une vérification effectuée à cet égard, qu’aucune information n’est fournie aux utilisateurs, ni aux personnes concernées dont les données ont été collectées par OpenAI, L.L.C. et traitées par le biais du service ChatGPT ;

CONSTATANT l’absence de base juridique appropriée en ce qui concerne la collecte de données à caractère personnel et leur traitement aux fins de la « formation » des algorithmes qui sous-tendent le fonctionnement de ChatGPT ;

CONSTATANT que le traitement des données à caractère personnel des personnes concernées est inexact dans la mesure où les informations fournies par ChatGPT ne correspondent pas toujours aux données réelles

CONSTATANT en outre l’absence de vérification de l’âge des utilisateurs du service ChatGPT qui, selon les termes publiés par OpenAI L.L.C., est réservé aux personnes âgées d’au moins 13 ans

CONSIDÉRANT que l’absence de filtres pour les enfants de moins de 13 ans les expose à des réponses totalement inadaptées à leur degré de développement et de conscience de soi

CONSIDÉRANT par conséquent que, dans la situation décrite ci-dessus, le traitement des données à caractère personnel des utilisateurs, y compris des mineurs, et des personnes dont les données sont utilisées par le service est contraire aux articles 5, 6, 8, 13 et 25 du règlement

CONSIDÉRANT, par conséquent, la nécessité d’ordonner, conformément à l’article 58, paragraphe 2, point f), du règlement, dans l’urgence et dans l’attente de l’achèvement de l’enquête préliminaire nécessaire sur les faits apparus à ce jour concernant OpenAI L.L.C., la société américaine qui développe et exploite ChatGPT, la mesure de limitation provisoire du traitement

CONSIDÉRANT que, en l’absence de tout mécanisme de vérification de l’âge des utilisateurs et, en tout état de cause, de toutes les infractions constatées, cette limitation provisoire devrait être étendue à toutes les données à caractère personnel des personnes concernées établies sur le territoire italien

CONSIDERE qu’il est nécessaire d’ordonner la restriction susmentionnée avec effet immédiat à compter de la date de réception de la présente ordonnance, en se réservant le droit de prendre toute autre décision une fois que l’enquête préliminaire sur l’affaire aura été menée à bien ;

RAPPELANT qu’en cas d’inexécution de la mesure ordonnée par le Garante, les sanctions pénales prévues à l’article 170 du Code et les sanctions administratives prévues à l’article 83, paragraphe 5, point e), du Règlement s’appliquent

CONSIDÉRANT, sur la base de ce qui précède, que les conditions d’application de l’article 5, paragraphe 8, du règlement no. 1/2000 relatif à l’organisation et au fonctionnement du bureau du Garante, qui prévoit que « Dans les cas d’urgence particulière et d’urgence ne permettant pas de convoquer le Garante en temps utile, le président peut adopter les mesures relevant de la compétence de l’organe, qui cessent de produire leurs effets dès leur adoption si elles ne sont pas ratifiées par le Garante lors de la première réunion utile, à convoquer au plus tard le trentième jour » ;

VU les documents figurant dans le dossier ;

EU EGARD A CE QUI PRÉCÈDE, L’AUTORITÉ DE CONTRÔLE

(a) conformément à l’article 58, paragraphe 2, point f), du règlement, ordonne d’urgence à l’encontre d’OpenAI L.L.C., société américaine, développeur et exploitant de ChatGPT, en sa qualité de titulaire du traitement de données à caractère personnel effectué par le biais de cette application, la mesure de limitation provisoire du traitement des données à caractère personnel des personnes concernées établies sur le territoire italien

b) la limitation susmentionnée prend effet immédiatement à compter de la date de réception de la présente ordonnance, sous réserve de toute autre détermination à l’issue de l’enquête préliminaire sur l’affaire.

Le Garante, conformément à l’article 58, paragraphe 1, du règlement (UE) 2016/679, invite également le responsable du traitement des données auquel la mesure est adressée, dans un délai de 20 jours à compter de la date de réception de la mesure, à communiquer les mesures prises afin de mettre en œuvre la mesure et à fournir tout élément jugé utile pour justifier les violations mises en évidence ci-dessus. A noter que l’absence de réponse à la demande formulée en application de l’article 58 est passible de la sanction administrative prévue à l’article 83, paragraphe 5, point e), du règlement (UE) 2016/679.

Conformément à l’article 78 du règlement, ainsi qu’à l’article 152 du code et à l’article 10 du décret législatif n° 150 du 1er septembre 2011, il est possible de s’opposer à cette mesure auprès de l’autorité judiciaire ordinaire, en introduisant un recours auprès du tribunal ordinaire du lieu où réside le responsable du traitement, dans un délai de trente jours à compter de la date de communication de la mesure elle-même, ou de soixante jours si le demandeur réside à l’étranger.

A Rome, le 30 mars 2023

LE PRÉSIDENT

Stanzione »

(Source : https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870832)

————————-

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Publié dans Protection des données, RGPD | Tagué , , , | Laisser un commentaire