La convergence de la sécurité informatique et de la protection des renseignements personnels : vers une nouvelle approche juridique

"Mémoire présenté à la Faculté des études supérieures en vue de l'obtention du grade de maîtrise en droit (LL.M.) option Nouvelles technologies de l'information"

Qualification et quantification de l'obligation de sécurité informationnelle dans la détermination de la faute civile

L'obligation de sécurité informationnelle - c'est-à-dire la tâche qui incombe aux entreprises d'assurer l'intégrité, la confidentialité et la disponibilité de l'information découle, tant en droit québécois que dans une majorité de juridictions occidentales, d'une série de dispositions législatives imposant non pas l'adoption de comportements ou l'utilisation de technologies ou de procédés identifiables, mais bien l'implantation de mesures de sécurité «raisonnables », «adéquates », ou « suffisantes ». Or, dans un domaine aussi embryonnaire et complexe que celui de la sécurité informationnelle, domaine dans lequel les solutions disponibles sont multiples et où la jurisprudence est éparse, comment une entreprise peut-elle jauger avec justesse l'étendue de son obligation? Bref, comment établir ce que ferait une entreprise raisonnablement prudente et diligente dans un domaine où il n'existe actuellement aucune balise législative, jurisprudentielle ou même coutumière permettant de fixer avec justesse le niveau de diligence imposé par le législateur? L'absence de sécurité juridique offerte par une telle situation est patente et nécessite une reconfiguration du cadre opératoire de l'obligation de sécurité informationnelle afin d'en identifier les composantes et les objectifs. Cet exercice passera par la redéfinition de l'obligation de sécurité informationnelle comme obligation de réduire les risques qui guettent l'information à un niveau socialement acceptable. En effet, la sécurité pouvant être définie comme étant la gestion du risque, c'est donc le risque qui réside au cœur de cette obligation. Or, en analysant les risques qui guettent un système, soit en analysant les menaces qui visent à exploiter ses vulnérabilités, il est possible d'établir quelles contre-mesures s'avèrent utiles et les coûts associés à leur mise en œuvre. Par la suite, il devient envisageable, en recourant à la définition économique de la négligence et en prenant compte des probabilités de brèches de sécurité et des dommages escomptés, d'établir les sommes optimales à investir dans l'achat, l'entretien et la mise à jour de ces contre-mesures. Une telle analyse permet ainsi de quantifier avec un certain degré de précision l'étendue de l'obligation de sécurité informationnelle en offrant aux entreprises un outil s'inspirant de données matérielles auxquelles elles ont librement accès et s'intégrant aisément dans le contexte juridique contemporain.

Les facteurs influençant l’utilisation des mesures d’isolement et de contentions en milieu psychiatrique intrahospitalier

L’utilisation des mesures d’isolement et de contentions en milieu psychiatrique intrahospitalier se produit fréquemment en réponse à des comportements agressifs et continue de soulever la controverse. À cet égard, de plus en plus d’études tendent à démontrer que le personnel soignant travaillant sur ces unités est influencé par plusieurs facteurs de nature différente, notamment la perception de l’agressivité, quand vient le temps de prendre une décision quant à l’utilisation (ou non) de ces mesures coercitives. Méthodologie : Plus de trois cents membres du personnel soignant travaillant en milieu psychiatrique intrahospitalier ont été recrutés dans huit établissements psychiatriques du Québec. Dans un premier temps, un questionnaire leur a été distribué afin de mettre en relief les différents facteurs (individuels et organisationnels) ayant un impact sur l’utilisation des mesures coercitives. Simultanément, l’analyse factorielle de la version française de deux échelles permettant de mesurer la perception de l’agressivité en milieu hospitalier (le MOAS et le POAS) a été faite. Résultats : Un modèle final multivarié a démontré que le type d’unité psychiatrique, l’expression de la colère et de l’agressivité parmi les membres de l’équipe de soins, la perception de la fréquence de gestes autoagressifs et la perception de mesures de sécurité insuffisantes dans le milieu de travail étaient des prédicteurs indépendants de l’utilisation de procédures d’isolement et de contentions. L’analyse factorielle a pour sa part mis en évidence une structure à 4 facteurs pour le MOAS et à 3 facteurs pour le POAS, conformément à ce que l’on retrouvait dans la littérature scientifique. Conclusion : Ces résultats soulignent l’importance des facteurs organisationnels par rapport aux facteurs individuels dans l’utilisation des mesures coercitives en psychiatrie et la nécessité d’évaluer les perceptions quant à l’agressivité et à la sécurité chez le personnel soignant. En comprenant mieux les phénomènes qui amènent leur utilisation, il sera possible de trouver des alternatives aux mesures d’isolement et de contentions et ainsi réduire le recours à ces dernières.

La convergence de la sécurité informatique et la protection des données à caractère personnel : vers une nouvelle approche juridique

Le développement exponentiel des réseaux informatiques a largement contribué à augmenter le volume des renseignements personnels disponibles et à remplacer les méthodes désuètes de collecte des renseignements par des méthodes plus rapides et plus efficaces. La vie privée et le contrôle sur les informations personnelles, tels que nous les connaissions il y a quelques décennies, sont des notions difficilement compatibles avec la société ouverte et commerciale comme la nôtre. Face à cette nouvelle réalité menaçante pour les droits et libertés de l’homme, il est essentiel de donner un cadre technique et légal stable qui garantisse une protection adéquate de ces données personnelles. Pour rester dans le marché ou bénéficier de la confiance des individus, les entreprises et les gouvernements doivent posséder une infrastructure de sécurité efficace. Cette nouvelle donne a tendance à devenir plus qu’une règle de compétitivité, elle se transforme en une authentique obligation légale de protéger les données à caractère personnel par des mesures de sécurité adéquates et suffisantes. Ce mémoire aborde justement ces deux points, soit l’étude du développement d’une obligation légale de sécurité et l’encadrement juridique de la mise en place d’un programme de sécurisation des données personnelles par des mesures de sécurités qui respectent les standards minimaux imposés par les textes législatifs nationaux et internationaux.

L'efficacité du régime de responsabilité civile comme mesure de contrainte au respect de l'obligation de sécurité des renseignements personnels.

Dans un contexte où les renseignements personnels sont aujourd’hui une « devise » commerciale importante, il importe de s’attarder à la responsabilité de leur protection. Les lois encadrant la protection des renseignements personnels imposent notamment aux entreprises du secteur privé une obligation de sécurité. Par contre, elles ne prévoient pas de sanction monétaire en cas de violation. Il faut donc se tourner vers le droit de la responsabilité civile afin de contraindre les entreprises à adopter des mesures de sécurité. Or, le régime de responsabilité civile actuel est mal adapté aux obligations associées à la sécurité des renseignements personnels. Le flou normatif entourant le contenu de l’obligation de sécurité et les difficultés d’exercice du recours rendent peu efficace le régime de responsabilité civile compensatoire. Dans un souci d’améliorer son efficacité, deux propositions méritent d’être considérées, soit : la revalorisation des dommages-intérêts punitifs et l’encadrement statutaire d’une obligation de notification des atteintes à la sécurité des renseignements personnels. Ces deux propositions sanctionnent les violations à l’obligation de sécurité là où le régime de responsabilité civile compensatoire semble échouer. Par contre, elles ne sont elles-mêmes efficaces que si leur exercice respecte les fonctions qui leur sont sous-jacentes. Au final, la responsabilité de la sécurité des renseignements personnels ne repose pas seulement sur un régime responsabilité, mais sur une culture de responsabilité.

Cadre juridique de l'utilisation de la biométrie au Québec : sécurité et vie privée

La biométrie, appliquée dans un contexte de traitement automatisé des données et de reconnaissance des identités, fait partie de ces technologies nouvelles dont la complexité d’utilisation fait émerger de nouveaux enjeux et où ses effets à long terme sont incalculables. L’envergure des risques suscite des questionnements dont il est essentiel de trouver les réponses. On justifie le recours à cette technologie dans le but d’apporter plus de sécurité, mais, vient-elle vraiment apporter plus de protection dans le contexte actuel? En outre, le régime législatif québécois est-il suffisant pour encadrer tous les risques qu’elle génère? Les technologies biométriques sont flexibles en ce sens qu’elles permettent de saisir une multitude de caractéristiques biométriques et offrent aux utilisateurs plusieurs modalités de fonctionnement. Par exemple, on peut l’utiliser pour l’identification tout comme pour l’authentification. Bien que la différence entre les deux concepts puisse être difficile à saisir, nous verrons qu’ils auront des répercussions différentes sur nos droits et ne comporteront pas les mêmes risques. Par ailleurs, le droit fondamental qui sera le plus touché par l’utilisation de la biométrie sera évidemment le droit à la vie privée. Encore non bien compris, le droit à la vie privée est complexe et son application est difficile dans le contexte des nouvelles technologies. La circulation des données biométriques, la surveillance accrue, le détournement d’usage et l’usurpation d’identité figurent au tableau des risques connus de la biométrie. De plus, nous verrons que son utilisation pourra avoir des conséquences sur d’autres droits fondamentaux, selon la manière dont le système est employé. Les tests de nécessité du projet et de proportionnalité de l’atteinte à nos droits seront les éléments clés pour évaluer la conformité d’un système biométrique. Ensuite, le succès de la technologie dépendra des mesures de sécurité mises en place pour assurer la protection des données biométriques, leur intégrité et leur accès, une fois la légitimité du système établie.

An assurance-based model to holistically assess the information security posture

EXECUTIVE SUMMARY : Evaluating Information Security Posture within an organization is becoming a very complex task. Currently, the evaluation and assessment of Information Security are commonly performed using frameworks, methodologies and standards which often consider the various aspects of security independently. Unfortunately this is ineffective because it does not take into consideration the necessity of having a global and systemic multidimensional approach to Information Security evaluation. At the same time the overall security level is globally considered to be only as strong as its weakest link. This thesis proposes a model aiming to holistically assess all dimensions of security in order to minimize the likelihood that a given threat will exploit the weakest link. A formalized structure taking into account all security elements is presented; this is based on a methodological evaluation framework in which Information Security is evaluated from a global perspective. This dissertation is divided into three parts. Part One: Information Security Evaluation issues consists of four chapters. Chapter 1 is an introduction to the purpose of this research purpose and the Model that will be proposed. In this chapter we raise some questions with respect to "traditional evaluation methods" as well as identifying the principal elements to be addressed in this direction. Then we introduce the baseline attributes of our model and set out the expected result of evaluations according to our model. Chapter 2 is focused on the definition of Information Security to be used as a reference point for our evaluation model. The inherent concepts of the contents of a holistic and baseline Information Security Program are defined. Based on this, the most common roots-of-trust in Information Security are identified. Chapter 3 focuses on an analysis of the difference and the relationship between the concepts of Information Risk and Security Management. Comparing these two concepts allows us to identify the most relevant elements to be included within our evaluation model, while clearing situating these two notions within a defined framework is of the utmost importance for the results that will be obtained from the evaluation process. Chapter 4 sets out our evaluation model and the way it addresses issues relating to the evaluation of Information Security. Within this Chapter the underlying concepts of assurance and trust are discussed. Based on these two concepts, the structure of the model is developed in order to provide an assurance related platform as well as three evaluation attributes: "assurance structure", "quality issues", and "requirements achievement". Issues relating to each of these evaluation attributes are analysed with reference to sources such as methodologies, standards and published research papers. Then the operation of the model is discussed. Assurance levels, quality levels and maturity levels are defined in order to perform the evaluation according to the model. Part Two: Implementation of the Information Security Assurance Assessment Model (ISAAM) according to the Information Security Domains consists of four chapters. This is the section where our evaluation model is put into a welldefined context with respect to the four pre-defined Information Security dimensions: the Organizational dimension, Functional dimension, Human dimension, and Legal dimension. Each Information Security dimension is discussed in a separate chapter. For each dimension, the following two-phase evaluation path is followed. The first phase concerns the identification of the elements which will constitute the basis of the evaluation: ? Identification of the key elements within the dimension; ? Identification of the Focus Areas for each dimension, consisting of the security issues identified for each dimension; ? Identification of the Specific Factors for each dimension, consisting of the security measures or control addressing the security issues identified for each dimension. The second phase concerns the evaluation of each Information Security dimension by: ? The implementation of the evaluation model, based on the elements identified for each dimension within the first phase, by identifying the security tasks, processes, procedures, and actions that should have been performed by the organization to reach the desired level of protection; ? The maturity model for each dimension as a basis for reliance on security. For each dimension we propose a generic maturity model that could be used by every organization in order to define its own security requirements. Part three of this dissertation contains the Final Remarks, Supporting Resources and Annexes. With reference to the objectives of our thesis, the Final Remarks briefly analyse whether these objectives were achieved and suggest directions for future related research. Supporting resources comprise the bibliographic resources that were used to elaborate and justify our approach. Annexes include all the relevant topics identified within the literature to illustrate certain aspects of our approach. Our Information Security evaluation model is based on and integrates different Information Security best practices, standards, methodologies and research expertise which can be combined in order to define an reliable categorization of Information Security. After the definition of terms and requirements, an evaluation process should be performed in order to obtain evidence that the Information Security within the organization in question is adequately managed. We have specifically integrated into our model the most useful elements of these sources of information in order to provide a generic model able to be implemented in all kinds of organizations. The value added by our evaluation model is that it is easy to implement and operate and answers concrete needs in terms of reliance upon an efficient and dynamic evaluation tool through a coherent evaluation system. On that basis, our model could be implemented internally within organizations, allowing them to govern better their Information Security. RÉSUMÉ : Contexte général de la thèse L'évaluation de la sécurité en général, et plus particulièrement, celle de la sécurité de l'information, est devenue pour les organisations non seulement une mission cruciale à réaliser, mais aussi de plus en plus complexe. A l'heure actuelle, cette évaluation se base principalement sur des méthodologies, des bonnes pratiques, des normes ou des standards qui appréhendent séparément les différents aspects qui composent la sécurité de l'information. Nous pensons que cette manière d'évaluer la sécurité est inefficiente, car elle ne tient pas compte de l'interaction des différentes dimensions et composantes de la sécurité entre elles, bien qu'il soit admis depuis longtemps que le niveau de sécurité globale d'une organisation est toujours celui du maillon le plus faible de la chaîne sécuritaire. Nous avons identifié le besoin d'une approche globale, intégrée, systémique et multidimensionnelle de l'évaluation de la sécurité de l'information. En effet, et c'est le point de départ de notre thèse, nous démontrons que seule une prise en compte globale de la sécurité permettra de répondre aux exigences de sécurité optimale ainsi qu'aux besoins de protection spécifiques d'une organisation. Ainsi, notre thèse propose un nouveau paradigme d'évaluation de la sécurité afin de satisfaire aux besoins d'efficacité et d'efficience d'une organisation donnée. Nous proposons alors un modèle qui vise à évaluer d'une manière holistique toutes les dimensions de la sécurité, afin de minimiser la probabilité qu'une menace potentielle puisse exploiter des vulnérabilités et engendrer des dommages directs ou indirects. Ce modèle se base sur une structure formalisée qui prend en compte tous les éléments d'un système ou programme de sécurité. Ainsi, nous proposons un cadre méthodologique d'évaluation qui considère la sécurité de l'information à partir d'une perspective globale. Structure de la thèse et thèmes abordés Notre document est structuré en trois parties. La première intitulée : « La problématique de l'évaluation de la sécurité de l'information » est composée de quatre chapitres. Le chapitre 1 introduit l'objet de la recherche ainsi que les concepts de base du modèle d'évaluation proposé. La maniéré traditionnelle de l'évaluation de la sécurité fait l'objet d'une analyse critique pour identifier les éléments principaux et invariants à prendre en compte dans notre approche holistique. Les éléments de base de notre modèle d'évaluation ainsi que son fonctionnement attendu sont ensuite présentés pour pouvoir tracer les résultats attendus de ce modèle. Le chapitre 2 se focalise sur la définition de la notion de Sécurité de l'Information. Il ne s'agit pas d'une redéfinition de la notion de la sécurité, mais d'une mise en perspectives des dimensions, critères, indicateurs à utiliser comme base de référence, afin de déterminer l'objet de l'évaluation qui sera utilisé tout au long de notre travail. Les concepts inhérents de ce qui constitue le caractère holistique de la sécurité ainsi que les éléments constitutifs d'un niveau de référence de sécurité sont définis en conséquence. Ceci permet d'identifier ceux que nous avons dénommés « les racines de confiance ». Le chapitre 3 présente et analyse la différence et les relations qui existent entre les processus de la Gestion des Risques et de la Gestion de la Sécurité, afin d'identifier les éléments constitutifs du cadre de protection à inclure dans notre modèle d'évaluation. Le chapitre 4 est consacré à la présentation de notre modèle d'évaluation Information Security Assurance Assessment Model (ISAAM) et la manière dont il répond aux exigences de l'évaluation telle que nous les avons préalablement présentées. Dans ce chapitre les concepts sous-jacents relatifs aux notions d'assurance et de confiance sont analysés. En se basant sur ces deux concepts, la structure du modèle d'évaluation est développée pour obtenir une plateforme qui offre un certain niveau de garantie en s'appuyant sur trois attributs d'évaluation, à savoir : « la structure de confiance », « la qualité du processus », et « la réalisation des exigences et des objectifs ». Les problématiques liées à chacun de ces attributs d'évaluation sont analysées en se basant sur l'état de l'art de la recherche et de la littérature, sur les différentes méthodes existantes ainsi que sur les normes et les standards les plus courants dans le domaine de la sécurité. Sur cette base, trois différents niveaux d'évaluation sont construits, à savoir : le niveau d'assurance, le niveau de qualité et le niveau de maturité qui constituent la base de l'évaluation de l'état global de la sécurité d'une organisation. La deuxième partie: « L'application du Modèle d'évaluation de l'assurance de la sécurité de l'information par domaine de sécurité » est elle aussi composée de quatre chapitres. Le modèle d'évaluation déjà construit et analysé est, dans cette partie, mis dans un contexte spécifique selon les quatre dimensions prédéfinies de sécurité qui sont: la dimension Organisationnelle, la dimension Fonctionnelle, la dimension Humaine, et la dimension Légale. Chacune de ces dimensions et son évaluation spécifique fait l'objet d'un chapitre distinct. Pour chacune des dimensions, une évaluation en deux phases est construite comme suit. La première phase concerne l'identification des éléments qui constituent la base de l'évaluation: ? Identification des éléments clés de l'évaluation ; ? Identification des « Focus Area » pour chaque dimension qui représentent les problématiques se trouvant dans la dimension ; ? Identification des « Specific Factors » pour chaque Focus Area qui représentent les mesures de sécurité et de contrôle qui contribuent à résoudre ou à diminuer les impacts des risques. La deuxième phase concerne l'évaluation de chaque dimension précédemment présentées. Elle est constituée d'une part, de l'implémentation du modèle général d'évaluation à la dimension concernée en : ? Se basant sur les éléments spécifiés lors de la première phase ; ? Identifiant les taches sécuritaires spécifiques, les processus, les procédures qui auraient dû être effectués pour atteindre le niveau de protection souhaité. D'autre part, l'évaluation de chaque dimension est complétée par la proposition d'un modèle de maturité spécifique à chaque dimension, qui est à considérer comme une base de référence pour le niveau global de sécurité. Pour chaque dimension nous proposons un modèle de maturité générique qui peut être utilisé par chaque organisation, afin de spécifier ses propres exigences en matière de sécurité. Cela constitue une innovation dans le domaine de l'évaluation, que nous justifions pour chaque dimension et dont nous mettons systématiquement en avant la plus value apportée. La troisième partie de notre document est relative à la validation globale de notre proposition et contient en guise de conclusion, une mise en perspective critique de notre travail et des remarques finales. Cette dernière partie est complétée par une bibliographie et des annexes. Notre modèle d'évaluation de la sécurité intègre et se base sur de nombreuses sources d'expertise, telles que les bonnes pratiques, les normes, les standards, les méthodes et l'expertise de la recherche scientifique du domaine. Notre proposition constructive répond à un véritable problème non encore résolu, auquel doivent faire face toutes les organisations, indépendamment de la taille et du profil. Cela permettrait à ces dernières de spécifier leurs exigences particulières en matière du niveau de sécurité à satisfaire, d'instancier un processus d'évaluation spécifique à leurs besoins afin qu'elles puissent s'assurer que leur sécurité de l'information soit gérée d'une manière appropriée, offrant ainsi un certain niveau de confiance dans le degré de protection fourni. Nous avons intégré dans notre modèle le meilleur du savoir faire, de l'expérience et de l'expertise disponible actuellement au niveau international, dans le but de fournir un modèle d'évaluation simple, générique et applicable à un grand nombre d'organisations publiques ou privées. La valeur ajoutée de notre modèle d'évaluation réside précisément dans le fait qu'il est suffisamment générique et facile à implémenter tout en apportant des réponses sur les besoins concrets des organisations. Ainsi notre proposition constitue un outil d'évaluation fiable, efficient et dynamique découlant d'une approche d'évaluation cohérente. De ce fait, notre système d'évaluation peut être implémenté à l'interne par l'entreprise elle-même, sans recourir à des ressources supplémentaires et lui donne également ainsi la possibilité de mieux gouverner sa sécurité de l'information.

La sous-traitance des données du patient au regard de la Directive 95/46

La gestion des données du patient occupe une place significative dans la pratique de l’art de guérir. Il arrive fréquemment que des personnes participent à la production ou à la gestion des données du patient alors que, praticiens de la santé ou non, elles ne travaillent pas sous l’autorité ou la direction du praticien ou de l’équipe en charge du patient. Au regard de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, ces tiers revêtent la qualité de sous–traitant lorsqu’ils traitent des données pour compte du responsable du traitement de données. Ce dernier doit choisir un sous–traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer, et il doit veiller au respect de ces mesures. L’existence de labels de sécurité pourrait faciliter le choix du sous–traitant. S’agissant de données très sensibles comme les données génétiques, il serait opportun d’envisager un contrôle préalable par l’autorité de contrôle ou par un détaché à la protection des données. Il demeure alors à déterminer le véritable responsable du traitement des données du patient, ce qui dépend fortement du poids socialement reconnu et attribué aux différents acteurs de la relation thérapeutique.

What ‘Security’, whose ‘Rights’ and which ‘Law’? : the Israeli High Court of Justice and the Israeli settlements in the occupied West Bank

Cette thèse examine l’interprétation et l’application, par l’Haute Cour d'Israël (HCJ), de principes du droit international de l’occupation et du droit international des droits de la personne dans le traitement de requêtes judiciaires formulées par des justiciables palestiniens. Elle s’intéresse plus particulièrement aux jugements rendus depuis le déclenchement de la deuxième Intifada (2000) suite à des requêtes mettant en cause la légalité des mesures adoptées par les autorités israéliennes au nom d’un besoin prétendu d’accroitre la sécurité des colonies et des colons israéliens dans le territoire occupé de la Cisjordanie. La première question sous étude concerne la mesure dans laquelle la Cour offre un recours effectif aux demandeurs palestiniens face aux violations alléguées de leurs droits internationaux par l’occupant. La recherche fait sienne la position de la HJC selon laquelle le droit de l’occupation est guidé par une logique interne tenant compte de la balance des intérêts en cause, en l’occurrence le besoin de sécurité de l’occupant, d’une part, et les droits fondamentaux de l’occupé, d’autre part. Elle considère, en outre, que cette logique se voit reflétée dans les principes normatifs constituant la base de ce corpus juridique, soit que l’occupation est par sa nature temporaire, que de l’occupation découle un rapport de fiduciaire et, finalement, que l’occupant n’acquiert point de souveraineté sur le territoire. Ainsi, la deuxième question qui est posée est de savoir si l’interprétation du droit par la Cour (HCJ) a eu pour effet de promouvoir ces principes normatifs ou, au contraire, de leur porter préjudice. La réunion de plusieurs facteurs, à savoir la durée prolongée de l’occupation de la Cisjordanie par Israël, la menace accrue à la sécurité depuis 2000 ainsi qu’une politique de colonisation israélienne active, soutenue par l’État, présentent un cas de figure unique pour vérifier l’hypothèse selon laquelle les tribunaux nationaux des États démocratiques, généralement, et ceux jouant le rôle de la plus haute instance judiciaire d’une puissance occupante, spécifiquement, parviennent à assurer la protection des droits et libertés fondamentaux et de la primauté du droit au niveau international. Le premier chapitre présente une étude, à la lumière du premier principe normatif énoncé ci-haut, des jugements rendus par la HCJ dans les dossiers contestant la légalité de la construction du mur à l’intérieur de la Cisjordanie et de la zone dite fermée (Seam Zone), ainsi que des zones de sécurité spéciales entourant les colonies. Le deuxième chapitre analyse, cette fois à la lumière du deuxième principe normatif, des jugements dans les dossiers mettant en cause des restrictions sur les déplacements imposées aux Palestiniens dans le but allégué de protéger la sécurité des colonies et/ou des colons. Le troisième chapitre jette un regard sur les jugements rendus dans les dossiers mettant en cause la légalité du tracé du mur à l’intérieur et sur le pourtour du territoire annexé de Jérusalem-Est. Les conclusions découlant de cette recherche se fondent sur des données tirées d’entrevues menées auprès d’avocats israéliens qui s’adressent régulièrement à la HCJ pour le compte de justiciables palestiniens.

What ‘Security’, whose ‘Rights’ and which ‘Law’? : the Israeli High Court of Justice and the Israeli settlements in the occupied West Bank

Cette thèse examine l’interprétation et l’application, par l’Haute Cour d'Israël (HCJ), de principes du droit international de l’occupation et du droit international des droits de la personne dans le traitement de requêtes judiciaires formulées par des justiciables palestiniens. Elle s’intéresse plus particulièrement aux jugements rendus depuis le déclenchement de la deuxième Intifada (2000) suite à des requêtes mettant en cause la légalité des mesures adoptées par les autorités israéliennes au nom d’un besoin prétendu d’accroitre la sécurité des colonies et des colons israéliens dans le territoire occupé de la Cisjordanie. La première question sous étude concerne la mesure dans laquelle la Cour offre un recours effectif aux demandeurs palestiniens face aux violations alléguées de leurs droits internationaux par l’occupant. La recherche fait sienne la position de la HJC selon laquelle le droit de l’occupation est guidé par une logique interne tenant compte de la balance des intérêts en cause, en l’occurrence le besoin de sécurité de l’occupant, d’une part, et les droits fondamentaux de l’occupé, d’autre part. Elle considère, en outre, que cette logique se voit reflétée dans les principes normatifs constituant la base de ce corpus juridique, soit que l’occupation est par sa nature temporaire, que de l’occupation découle un rapport de fiduciaire et, finalement, que l’occupant n’acquiert point de souveraineté sur le territoire. Ainsi, la deuxième question qui est posée est de savoir si l’interprétation du droit par la Cour (HCJ) a eu pour effet de promouvoir ces principes normatifs ou, au contraire, de leur porter préjudice. La réunion de plusieurs facteurs, à savoir la durée prolongée de l’occupation de la Cisjordanie par Israël, la menace accrue à la sécurité depuis 2000 ainsi qu’une politique de colonisation israélienne active, soutenue par l’État, présentent un cas de figure unique pour vérifier l’hypothèse selon laquelle les tribunaux nationaux des États démocratiques, généralement, et ceux jouant le rôle de la plus haute instance judiciaire d’une puissance occupante, spécifiquement, parviennent à assurer la protection des droits et libertés fondamentaux et de la primauté du droit au niveau international. Le premier chapitre présente une étude, à la lumière du premier principe normatif énoncé ci-haut, des jugements rendus par la HCJ dans les dossiers contestant la légalité de la construction du mur à l’intérieur de la Cisjordanie et de la zone dite fermée (Seam Zone), ainsi que des zones de sécurité spéciales entourant les colonies. Le deuxième chapitre analyse, cette fois à la lumière du deuxième principe normatif, des jugements dans les dossiers mettant en cause des restrictions sur les déplacements imposées aux Palestiniens dans le but allégué de protéger la sécurité des colonies et/ou des colons. Le troisième chapitre jette un regard sur les jugements rendus dans les dossiers mettant en cause la légalité du tracé du mur à l’intérieur et sur le pourtour du territoire annexé de Jérusalem-Est. Les conclusions découlant de cette recherche se fondent sur des données tirées d’entrevues menées auprès d’avocats israéliens qui s’adressent régulièrement à la HCJ pour le compte de justiciables palestiniens.

Prévention de la violence commise par les spectateurs lors de manifestations sportives : étude des mesures préventives et de la responsabilité de l'organisateur à la lumière du droit comparé, du droit suisse et du droit associatif

Introduction 1. Généralités : Le sport occupe une place importante dans notre société, de manière active par la pratique d'une ou de plusieurs activités sportives, ou de manière passive, au travers de la presse, de la radio et de la télévision. Le sport est ainsi un acte de participation, d'appartenance, de revendication et d'intégration à la société en général ou à un groupe. Il stimule l'imagination et permet de rêver aux héros sportifs. Enfin, non seulement il améliore la santé de ceux qui le pratique, mais il a une dimension éducative et joue un rôle social, culturel et récréatif. Toutefois, le sport est également un spectacle qui provoque des passions et engendre des émotions de la part des supporters, dont certains s'exaltent pour leur équipe fétiche. Il arrive que ce supportérisme soit à tel point exacerbé qu'il mène à des dérives pouvant aboutir à des actes de violence dans et en dehors des stades, ceci tant avant, pendant qu'après le match. A titre d'exemple tragique, les téléspectateurs garderont longtemps en mémoire les scènes auxquelles ils ont assisté le 29 mai 1985, en direct, lorsque, avant le début de la rencontre, des hooligans anglais ont attaqué des supporters italiens dans les gradins du bloc Z du stade du Heysel à Bruxelles, lors de la finale de la Coupe d'Europe des champions, opposant le FC Liverpool à la Juventus de Turin; 39 personnes en sont mortes et 600 ont été blessées. La Suisse, longtemps épargnée par le phénomène, en regard de la situation qui a prévalu dans d'autres Etats européens, ne peut échapper, depuis quelques années, au triste constat selon lequel les stades constituent désormais des environnements propices à des actions de violence, de racisme et, plus rarement, d'extrémisme. Le cas le plus révélateur a eu lieu le 13 mai 2006, lorsque des fauteurs de trouble ont envahi le terrain du Parc Saint-Jacques de Bâle après le coup de sifflet final du match de championnat opposant le FC Bâle au FC Zurich, match dont l'enjeu était la première place du classement du championnat de Super League, pour attaquer à coups de pied et à coups de poing des joueurs, des accompagnants et des personnes chargées de la sécurité. Les affrontements ont continué dans la rue jusque tard dans la soirée. Il s'en est suivi une centaine de blessés et des dégâts d'un demi million de francs. De tels débordements mettent en danger la sécurité du public, des équipes et des arbitres. Il s'agit de tout mettre en oeuvre afin que les spectateurs qui assistent à une manifestation sportive puissent prendre du plaisir aux performances des sportifs sans devoir craindre pour leur sécurité. De même, les acteurs sur le terrain doivent pouvoir exercer leur sport sans craindre un envahissement de l'aire de jeu. Ainsi, les Etats et les associations sportives ont élaboré des textes juridiques afin d'éviter des débordements ou tout autre événement qui pourraient mettre en danger des personnes ou des biens matériels lors de manifestations sportives. Sous l'angle du droit étatique helvétique, cela s'est traduit, notamment en vue du déroulement en Suisse du Championnat d'Europe de football de l'UEFA en 2008 (EURO 2008) et du Championnat du monde de hockey sur glace en 2009, par l'adoption de mesures préventives permettant de lutter contre les actes de violence lors de manifestations sportives, introduites dans la Loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI). Elles se concrétisent par l'inscription d'individus ayant commis des actes de violence dans une banque de données nationale, ainsi que par le recours au périmètre d'exclusion, à l'interdiction de sortie du territoire, à l'obligation de s'annoncer à la police et, en dernier ressort, à la garde à vue; enfin, il est également possible de saisir, séquestrer ou confisquer du matériel de propagande5. La mise en place de telles mesures relève de l'Etat, garant de la sécurité et de l'ordre publics à l'extérieur des enceintes sportives. L'organisateur, chargé quant à lui d'assurer la sécurité à l'intérieur du stade, n'est toutefois pas en marge, puisque les fédérations et associations sportives ont édicté des règlements dont il est le destinataire. Ces textes prévoient, à sa charge, notamment les mesures suivantes: le prononcé d'interdictions de stade à l'encontre de supporters violents, la fouille accrue des spectateurs, l'engagement d'un service de sécurité privé, l'obligation de désigner un responsable de la sécurité, la séparation des différents groupes de supporters, etc.. Il appartient ainsi aux associations sportives, aux organisateurs, aux chargés de la sécurité au sein des clubs et aux forces de l'ordre public d'appliquer de la meilleure façon que ce soit les mesures proposées et de collaborer afin de combattre les débordements des spectateurs de manière effective. Prévenir et supprimer la violence dans les manifestations sportives exige ainsi la mobilisation et la collaboration de tous les protagonistes concernés.

Evaluation des connaissances des mesures légales de protection de la maternité au travail (OProma) chez les femmes enceintes et chez les gynécologues

Pour permettre à une femme enceinte de continuer à travailler en toute sécurité, l'OProma (ordonnance du Département fédéral de l'économie sur les activités dan- gereuses ou pénibles en cas de grossesse et de maternité) est entrée en vigueur en 2001. Cette loi concerne les employeurs, les médecins traitants, les gynécologues et les travailleuses enceintes et précise comment certains travaux, substances, ou micro- organismes peuvent faire courir un risque potentiel à la mère et à son enfant et comment ces risques doivent être évalués et traités. Le but de l'étude est d'évaluer, par le biais de questionnaires, l'état des connaissances des mesures légales de protection de la maternité au travail en général et plus spécifi- quement de l'OProma, chez 76 femmes enceintes suivies à la consultation d'obstétrique du CHUV (questionnaires administrés en face à face) et chez 87 gynécologues du CHUV et installés en Suisse romande (questionnaire on line). Les objectifs sont : déterminer la prévalence de la connaissance de ces dispositions légales, évaluer les facteurs person- nels pouvant influencer la connaissance de ces dernières, les raisons possibles du manque d'information et les mesures pouvant être prises pour améliorer cet état de fait. Concernant les femmes enceintes, 68% savent qu'il existe des mesures légales et 32% connaissent l'OProma, surtout par le biais de l'employeur et de l'entourage. L'unique facteur personnel significatif influençant la connaissance des mesures légales est le niveau de formation. Concernant les gynécologues, 95% savent qu'il existe des mesures légales et 47% connaissent l'existence de l'ordonnance, surtout dans le cadre de la formation continue. Les facteurs personnels significatifs sont l'âge et leurs années d'expérience pro- fessionnelle. Les deux populations trouvent que le manque d'information provient d'une méconnaissance de ces dispositions légales chez les employeurs. Les gynécologues re- connaissent aussi leurs lacunes et se sentent mal informés. Pour améliorer le manque d'information, les femmes demandent à en être informées par leur gynécologue. Les gy- nécologues désirent plus d'information et de formation sur la thématique. Il en ressort que les deux populations ont une bonne connaissance de l'existence de me- sures légales en général mais l'OProma spécifiquement est peu connue. Les gynécologues la connaissent mieux que les femmes enceintes, ce qui est loin d'être suffisant. Chez les femmes enceintes, le niveau de formation a été choisi dans cette étude comme indica- teur pour la classe sociale. L'appartenance à une classe sociale plus élevée induit une meilleure connaissance des mesures légales et de l'OProma. Chez les gynécologues, les médecins plus âgés et donc plus expérimentés connaissent mieux les mesures légales et l'OProma. Probablement, un médecin avec plus de pratique, la globalité de la patiente avec sa problématique sociale sera mieux prise en considération, en comparaison à un jeune médecin plus focalisé sur les problèmes somatiques. Il y a encore des efforts à faire concernant la formation des gynécologues et des em- ployeurs à propos de ce sujet. En effet, ces derniers se doivent d'assurer à la travailleuse enceinte une grossesse sans danger.

Evaluation des connaissances des mesures légales de protection de la maternité au travail (OProma) chez les femmes enceintes et chez les gynécologues

Pour permettre à une femme enceinte de continuer à travailler en toute sécurité, l'OProma (ordonnance du Département fédéral de l'économie sur les activités dan- gereuses ou pénibles en cas de grossesse et de maternité) est entrée en vigueur en 2001. Cette loi concerne les employeurs, les médecins traitants, les gynécologues et les travailleuses enceintes et précise comment certains travaux, substances, ou micro- organismes peuvent faire courir un risque potentiel à la mère et à son enfant et comment ces risques doivent être évalués et traités. Le but de l'étude est d'évaluer, par le biais de questionnaires, l'état des connaissances des mesures légales de protection de la maternité au travail en général et plus spécifi- quement de l'OProma, chez 76 femmes enceintes suivies à la consultation d'obstétrique du CHUV (questionnaires administrés en face à face) et chez 87 gynécologues du CHUV et installés en Suisse romande (questionnaire on line). Les objectifs sont : déterminer la prévalence de la connaissance de ces dispositions légales, évaluer les facteurs person- nels pouvant influencer la connaissance de ces dernières, les raisons possibles du manque d'information et les mesures pouvant être prises pour améliorer cet état de fait. Concernant les femmes enceintes, 68% savent qu'il existe des mesures légales et 32% connaissent l'OProma, surtout par le biais de l'employeur et de l'entourage. L'unique facteur personnel significatif influençant la connaissance des mesures légales est le niveau de formation. Concernant les gynécologues, 95% savent qu'il existe des mesures légales et 47% connaissent l'existence de l'ordonnance, surtout dans le cadre de la formation continue. Les facteurs personnels significatifs sont l'âge et leurs années d'expérience pro- fessionnelle. Les deux populations trouvent que le manque d'information provient d'une méconnaissance de ces dispositions légales chez les employeurs. Les gynécologues re- connaissent aussi leurs lacunes et se sentent mal informés. Pour améliorer le manque d'information, les femmes demandent à en être informées par leur gynécologue. Les gy- nécologues désirent plus d'information et de formation sur la thématique. Il en ressort que les deux populations ont une bonne connaissance de l'existence de me- sures légales en général mais l'OProma spécifiquement est peu connue. Les gynécologues la connaissent mieux que les femmes enceintes, ce qui est loin d'être suffisant. Chez les femmes enceintes, le niveau de formation a été choisi dans cette étude comme indica- teur pour la classe sociale. L'appartenance à une classe sociale plus élevée induit une meilleure connaissance des mesures légales et de l'OProma. Chez les gynécologues, les médecins plus âgés et donc plus expérimentés connaissent mieux les mesures légales et l'OProma. Probablement, un médecin avec plus de pratique, la globalité de la patiente avec sa problématique sociale sera mieux prise en considération, en comparaison à un jeune médecin plus focalisé sur les problèmes somatiques. Il y a encore des efforts à faire concernant la formation des gynécologues et des em- ployeurs à propos de ce sujet. En effet, ces derniers se doivent d'assurer à la travailleuse enceinte une grossesse sans danger.

La chaîne de responsabilité de la sécurité maritime

"Mémoire présenté à la faculté des études supérieures en vue de l'obtention du grade de maître en droit (LL.M.)". Ce mémoire a été accepté à l'unanimité et classé parmi les 15% des mémoires de la discipline.