Enquête droit d'accès : Swisscom
Voici le cinquième épisode de l’enquête menée conjointement avec la RTS sur le droit d’accès aux données personnelles. Après quelques autorités fédérales et l’ancienne régie, les CFF, voici une autre ancienne régie : Swisscom. Leader suisse en matière de télécommunications, Swisscom était une cible évidente pour cette enquête, puisque nos smartphones et autres périphériques connectés nécessitent une connexion, celle-ci étant fournie par une société comme Swisscom.
Demande d’accès
J’ai posté ma demande d’accès le 12 mai 2015 (suivi de l’envoi ; lettre type pour la demande d’accès) et ai reçu une réponse le 29 mai 2015, soit un peu moins de trois semaines plus tard. Pour rappel, le délai légal pour répondre est de 30 jours, Swisscom a donc rempli son obligation dans les temps.
J’ai eu cependant une question supplémentaire relative aux données de localisation, que je leur ai adressée le 6 juillet 2015. Swisscom m’a répondu deux semaines après.
Explications de Swisscom
Swisscom m’a fourni des explications sur l’usage des données personnelles. Dans sa première réponse (voir le PDF ci-dessous), j’apprends tout d’abord que Swisscom respecte “volontiers” l’interdiction que je leur ai faite de transmettre mes données personnelles à des tiers non autorisés. J’imagine que le “volontiers” est une traduction littérale de l’allemand (gern), mais de prime abord, je me suis demandé si Swisscom prenait au sérieux cette interdiction.
Cela mis à part, on apprend que Swisscom demande à des organismes tiers des données sur la solvabilité des clients (cf. Moneyhouse). Mais nous le savions déjà, car cela figure expressément dans les conditions générales de Swisscom.
Le client autorise Swisscom à se procurer des renseignements le concernant dans le cadre de la conclusion et de l’exécution du contrat, à communiquer des Informations relatives à ses habitudes de paiement, à utiliser ses données afin de développer des services répondant à la demande et d’établir des offres ciblées ainsi qu’à traiter ses données dans les mêmes buts au sein du groupe Swisscom.
Swisscom m’informe également sur son obligation d’enregistrer et transmettre des données aux autorités pénales (en vertu de la LSCPT, notamment son article 15), et aux clients lorsqu’ils sont victimes de communications à caractère abusif (art. 82 OST).
Swisscom m’invite d’ailleurs à contacter le Service Surveillance de la correspondance par poste et télécommunication (SCPT) au sujet des données transmises aux autorités pénales. Pour information,
le Service SCPT est un service indépendant chargé de la surveillance de la correspondance par poste et télécommunication en Suisse. Il exécute ses tâches de manière autonome, pour le compte des autorités de poursuite pénale et n’est pas assujetti aux instructions d’autres autorités. Il est rattaché administrativement au Centre de services informatiques du Département fédéral de justice et police […]. (Source)
Et, grosso modo, c’est tout. Alors certes, près de 40 pages accompagnent ces informations, mais je reste sur ma faim. J’écris donc une nouvelle fois à Swisscom en leur demandant ceci.
Données de localisation
J’aurais cependant voulu savoir si Swisscom traite des données relativement à la géolocalisation des clients (par GPS, au moyen des antennes GSM, etc.) et si oui, sur quelle base juridique repose ce traitement de données et à quelles fins ces données sont utilisées. Je pense ici notamment aux données traitées sur la base des art. 20 et 45b LTC.
Swisscom m’informe tout d’abord que l’indication de la cellule (pour simplifier, l’antenne GSM) utilisée par le smartphone est contenue dans une forme chiffrée dans les données auxiliaires. (Ces données sont les fameuses méta data qui, in fine, en disent plus sur vous que le contenu même de vos communications.) Cette indication constitue donc une donnée anonyme, car l’individu ne peut être identifié ; par conséquent, ce n’est pas une donnée personnelle.
Je n’adhère pas à ce raisonnement, qui est certainement identique pour les autres opérateurs en Suisse.
Tout d’abord, Swisscom détient-il la clé de déchiffrement de ces données ? Sinon, peut-il déchiffrer autrement les données ? Sinon, comment se fait-il qu’on puisse nous localiser lorsqu’on appelle un service d’urgence (112, 117, 118, 114) ?
En effet, selon le point 4.1.2 de la 13e édition des Prescriptions techniques et administratives concernant l’acheminement et la localisation des appels d’urgence (lien),
Les services d’appels d’urgence doivent disposer des informations suivantes pour localiser un appel sur le réseau mobile :
– L’identification de la ligne appelante CLI (MSISDN);
– Le centre ainsi que les axes d’une ou de plusieurs ellipses d’évaluation conformément à ETSI TS 102 164 [12]. Ces données permettent d’évaluer la localisation de l’appelant […]. Les informations correspondantes se basent sur la méthode de mesure Cell_ID (pour un descriptif de cette méthode pour les réseaux GSM, voir par exemple ETSI TS 143 059 [10], pour les réseaux UMTS voir ETSI TS 125 305 [13]);
– Hormis les informations basées sur la méthode de mesure Cell_ID, on peut aussi, pour autant qu’elles soient disponibles, prévoir d’autres données d’emplacement issues de méthodes de mesure plus précises, p. ex. les coordonnées GPS ou l’emplacement WLAN de l’appareil mobile utilisé pour effectuer l’appel d’urgence, correspondant à ETSI TS 102 164 [12].
Ces informations doivent être disponibles en quelques secondes, 24 heures sur 24, et pouvoir être demandées électroniquement – à l’aide de l’identification de la ligne appelante (CLI) – par les services d’appels d’urgence, via le dispositif central.
Si les données de localisation doivent être disponibles “en quelques secondes”, j’en déduis que Swisscom a les moyens de connaître en tout temps la localisation de ses clients du réseau mobile, et de les identifier. J’estime donc que les données relatives à la cellule utilisée sont personnelles, en particulier dès le moment de leur mise en relation avec d’autres données. Le fait qu’elles soient chiffrées dans les données auxiliaires ne me semble pas relevant ici dès lors que Swisscom semble être en mesure en tout temps de les déchiffrer “en quelques secondes”.
Swisscom m’informe ensuite effectivement sur la localisation des appels à des fins d’urgence, étant précisé que ces informations de localisation sont transférées “exclusivement pour des intérêts publics de sécurité, au service d’urgence”. Selon Swisscom, le rayon de localisation présumée est compris entre plusieurs centaines de mètres et plusieurs kilomètres.
Enfin, Swisscom déclare ne pas avoir accès à d’autres informations de localisation, notamment celle du GPS ou des réseaux WLAN. À moins d’utiliser des services de l’opérateur, Swisscom n’aurait aucun accès à d’autres données que celles de la cellule.
Mes données personnelles
Swisscom m’a transmis environ 40 pages de captures d’écran et documents texte bruts. Étant donné que de très nombreuses informations comme mon numéro de téléphone, mon adresse postale, des adresses IP, des adresses MAC, ma date de naissance, mes adresses e-mail, etc. apparaissent partout sur ces documents, vous me pardonnerez si je ne prends pas le temps de tout anonymiser pour pouvoir les publier.
Pèle-mêle, en dehors des données relatives au contrat lui-même, j’ai reçu les données relatives à mes changements d’abonnement (dans les shops, par SMS ou en appelant le service client), de mes commandes de smartphones et autres produits et services de Swisscom, entre autres.
On m’a également transmis les données relatives à mes appels au service client, avec les notes que les employés prenaient concernant mes problèmes (aucune insulte décelée, je suis adorable avec les services client).
Conclusion
Hormis cette différence d’appréciation relative aux données de localisation, je n’ai rien de particulier à reprocher à Swisscom au vu des informations qui m’ont été transmises.
Ci-jointes, les deux réponses de Swisscom, en PDF.
Et vous, où en êtes-vous avec vos demandes d’accès ? Avez-vous fait une demande à votre opérateur ?