La recherche par champ d’antennes confirmée par le Tribunal fédéral 17 février 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Dans un arrêt rendu le 3 novembre 2011 le Tribunal fédéral a confirmé que la recherche par champ d’antennes était légale et prévue par le Code de procédure pénale fédéral (CPP) (1B_376/2011, destiné à publication au recueil officiel).
Lorsqu’un téléphone portable entre dans le champ d’une antenne téléphonique, il communique avec elle, et cela même si aucun appel n’est effectué. La recherche par champ d’antennes est donc la production par l’opérateur téléphonique propriétaire de l’antenne de la liste des numéros de téléphone qui ont activé une antenne à un moment précis.
Le Tribunal fédéral a suivi l’avis de la doctrine majoritaire (que j’avais également exprimé dans le livre Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, p. 150). L’art. 273 CPP intitulé « données relatives au trafic et à la facturation et identification des usagers » vise premièrement la récolte de données dites accessoires liées à un raccordement connu mais rien n’empêche son application à une antenne. Comme de nombreuses informations liées à des personnes qui ne sont pas visées par l’enquête (donc non soupçonnées) peuvent être concernées, une sélection particulière devra être effectuée.
Des conditions strictes comme pour les autres mesures de surveillance
La recherche par champ d’antennes est donc légale mais elle doit évidemment respecter les conditions habituelles pour la récolte de données accessoires (pas de surveillance préventive, existence de graves soupçons, gravité de l’infraction suffisante, autorisation judiciaire, pas de transmission du contenu, etc.).
En principe, et afin de respecter le principe de proportionnalité, un juge n’autorisera que la production d’un nombre limité de numéros. La requête peut par exemple ne concerner qu’une période très réduite, viser un ou plusieurs numéros connus ou un certain type de numéro (indicatif du pays ou numéro recherché partiellement connu), voire un type d’activité (appel reçu, émis, dévié, non répondu, etc.). Ces critères sont évidemment combinables et les données transmises peuvent être rendues anonymes.
Que fait un opérateur toute la journée derrière un écran de vidéosurveillance? 8 février 2012
Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.2 comments
L’Institut d’aménagement et d’urbanisme d’Ile-de-France (IAU-IDF) a publié cet automne les résultats d’une étude sur les coulisses du travail de surveillance à distance des opérateurs municipaux. Les dispositifs de vidéosurveillance de deux communes françaises ont été étudiés durant plusieurs mois afin de voir comment les opérateurs qui sont assis derrière les écrans reliés aux caméras de surveillance se sont appropriés cette technologie et comment ils l’utilisent en fonction des missions prescrites.
Première conclusion de l’étude, la surveillance continue est une illusion parce que les opérateurs ne consacrent en réalité qu’une part réduite de leur temps de travail à la surveillance passive (balayage des caméras) ou active (recherche du flagrant délit) et parce que cette part du temps de travail est fortement limitée dans son efficience par des facteurs techniques, météorologiques et humains (relations avec les policiers, l’ennui, etc.). Le nombre d’arrestations ou de constations de flagrant délits n’a pas augmenté de manière marquée.
Deuxièmement, les opérateurs doivent faire continuellement des choix, qu’il s’agisse des images ou écrans à regarder en priorité ou des personnes à suivre avec les caméras. Ces choix s’apparentent à un tri social qui semble plus se baser sur l’âge ou la tenue vestimentaire des individus que sur leurs les comportements suspects. L’étude décrit ces discriminations comme étant la conséquence de l’absence de formation sur la manière de cibler les comportements suspects. L’opérateur est alors réduit à s’en remettre à des impressions, probablement inconscientes, que certains types d’individus sont plus portés à commettre des infractions. Il s’agit d’un élément important qui ne devrait pas être sous-estimé lors de la mise en place ou l’utilisation de tels dispositifs. A noter que selon les constats de cette étude française, les opérateurs ne sont le plus souvent pas des policiers ou des personnes assermentés et soumises à un code de déontologie, mais des personnes très peu formées.
Finalement l’étude souligne encore le manque de reconnaissance du travail des opérateurs vidéosurveillance ainsi que l’importance de la confiance et de la collaboration entre les opérateurs et les policiers.
L’étude est diposnible intégralement et gratuitement: IAU îdF, Surveiller à distance. Une ethnographie des opérateurs municipaux de vidéosurveillance, septembre 2011.
Protection des données: révision du cadre légal européen 30 janvier 2012
Posted by Sylvain Métille in Protection des données, Sphère privée.1 comment so far
La Commission européenne a publié la semaine dernière ses propositions en matière de protection des données. Le projet est transmis au Parlement européen qui devra se prononcer, de même que le Conseil des ministres.
Le projet prévoit une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes et surtout un règlement définissant un cadre général de l’UE pour la protection des données. Il n’est pas question d’une directive à transposer dans chaque pays mais bien d’un règlement directement applicable dans tous les États de l’Union, de manière uniforme.
Parmi les principaux éléments, on peut relever le droit à l’oubli numérique et l’effacement (lorsque les données ne sont plus utiles, lorsque l’accord a été retiré ou si les données ont été transmises par des enfants), le droit à la portabilité des données (la possibilité de transférer ses propres données d’un fournisseur de service à un autre), l’accès facilité à ses propres données, l’obligation de notifier les violations graves des données personnelles (aussi appelées failles de sécurités, information de l’autorité nationale et des personnes dont les données ont été exposées, perdues, etc.), possibilité d’infliger des amendes (jusqu’à 1 million d’euros ou 2% du chiffre d’affaires globale), exigence du consentement explicite au traitement des données (plus de consentement présumé).
Si ces propositions vont globalement dans la bonne direction, il sera intéressant de voir comment elles seront mises en pratique au niveau technique. Le règlement s’appliquera à toutes les données traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens. L’impact de cette législation sera important et inspirera également la révision de la loi suisse sur la protection des données.
Thinkdata dévoilé lors de la journée internationale de la protection des données 27 janvier 2012
Posted by Sylvain Métille in ATF, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.1 comment so far
ThinkData a été dévoilé à l’IDHEAP lors de la 6e journée internationale de la protection des données. Il s’agit d’un service interactif de sensibilisation à la protection des données et à la transparence dans le cadre organisationnel, largement accessible et compréhensible, proposé sous licence creative commons (libre pour toute utilisation non commerciale).
ThinkData est le fruit du travail d’un groupe interdisciplinaire, dans le cadre d’un laboratoire d’idées sur la science des services et l’innovation (ThinkServices). Plusieurs professeurs et préposés à la protection des données font partie de ce groupe.
Des réponses simples et des liens juridiques pour en savoir plus
ThinkData permet de se familiariser avec les concepts de protection des données et de transparence au travers d’histoires courtes, mettant en situation des employés, des cadres, des responsables des ressources humaines et des systèmes d’information. Ce site est actuellement proposé en français seulement mais devrait être disponible prochainement dans d’autres langues et avec des scénarios supplémentaires.
ThinkData est simple à utiliser et propose des questions claires (par exemple Que faire de mes courriels privés quand je quitte mon poste ?, Comment dois-je installer un GPS dans les véhicules ?, Puis-je contacter un précédent employeur dont le nom figure dans un CV ?,etc) puis y répond sous une forme tout aussi simple, soit un scénario en cinq phrases, la dernière apportant la réponse. Une recommandation et un bref rappel des principes juridiques applicables à la question posée figurent en dessous du scénario, avec un lien direct vers les dispositions légales applicables. Deux degrés d’informations sont donc apportés, une réponse claire et concise d’abord, et des références légales ensuite.
Cette plate-forme apporte des réponses claires et compréhensibles sans qu’il soit nécessaire d’avoir des connaissances juridiques. Elle peut être utilisée pour trouver la réponse à une question claire précise, mais il est aussi intéressant de s’y promener sans but précis pour se rendre compte des enjeux de la protection des données choisissant un thème (gestion RH, publication d’images sur Internet, transparence, géolocalisation, utilisation de la vidéosurveillance, courriels professionnels, biométrie, accès aux données, dossier personnel), un métier (Direction des ressources humaines, employé, cadre, direction des systèmes d’information ou un type de données) ou un type de données (bancaires, localisation, biométriques, images, médicales, privées, professionnelles, publiques/non publiques).
Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.add a comment
«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.
Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.
L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.
Révision de la loi fédérale sur la protection des données 15 janvier 2012
Posted by Sylvain Métille in Protection des données, Sphère privée, Suisse.add a comment
La Loi fédérale sur la protection des données (LPD) date du 19 juin 1992. Le Conseil fédéral l’a soumise à une évaluation approfondie et en présente les principaux résultats dans un rapport du 9 décembre 2011. Ce n’est pas tant la loi en elle-même qui poserait problème, mais plutôt le cadre dans lequel la loi s’applique avec une évolution importante de la situation technique et sociale ces 20 dernières années (notamment le développement des technologies de l’information).
Les experts consultés recommandent un élargissement du devoir d’information pour les responsables privés concernant la collecte et le traitement des données, l’introduction d’un droit d’action des organisations, une augmentation des compétences du Préposé en particulier en matière de sanctions et la mise en valeur des mesures techniques permettant de préserver la sphère privée.
En Europe aussi
Le Conseil de l’Europe travaille depuis quelques temps à la modernisation de la Convention du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108), alors que l’Union européenne se penche actuellement sur la Directive du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (directive 95/46/CE).
La Suisse est concernée par ces textes internationaux car elle a ratifié la Convention 108 et qu’elle doit intégrer les modifications éventuelles de la directive européenne en vertu de l’accord d’association à Schengen/Dublin. Dans son examen des modifications législatives souhaitables, le Conseil fédéral tiendra donc compte de ces développements.
Pour aller plus loin (Suisse)
Rapport du Conseil fédéral sur l’évaluation de la loi fédérale sur la protection des données
Rapport du bureau Vatter AG à Berne et de l’Institut de droit européen à Fribourg (en allemand)
Rapport de l’Institut suisse de droit comparé (Allemagne, Autriche, Italie, France, Royaume-Uni, Espagne, Benelux, Slovénie, Norvège, Canada et USA)
Pour aller plus loin (Conseil de l’Europe)
Compilation des réponses à la consultation sur la modernisation de la Convention No. 108
Rapport d’experts sur la consultation relative à la modernisation de la Convention 108
Propositions du Comité consultatif pour moderniser la Convention 108
Publications: Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP 6 janvier 2012
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Publications, Sphère privée, Suisse, Surveillance.add a comment
Un nouvel article scientifique récemment publié est disponible en ligne. «Le secret professionnel à l’épreuve des mesures de surveillance prévues par le CPP» est paru dans la revue Medialex 03/2011.
Cet article rappelle les notions de secret professionnel telles que définies par le Code de procédure pénale Suisse (CPP) et les différents degrés de protection accordés en fonction de la catégorie professionnelle à laquelle appartient le détenteur du secret lorsqu’il est question de dispense de témoigner. La loi ne fait en revanche pas de distinction entre ces catégories lorsqu’il est question de mesures de surveillance techniques. Les règles particulières à respecter lors de la surveillance d’une personne tenue au secret sont rappelées et analysées.
Les normes techniques en matière de surveillance des communications enfin publiées 29 décembre 2011
Posted by Sylvain Métille in Droit pénal et procédure pénale, Logiciel, Suisse, Surveillance, Technique.2 comments
Le Service Surveillance de la correspondance par poste et télécommunication (SSCPT) de la Confédération a enfin rendu public ses directives. Alors qu’elles étaient librement accessibles dans d’autres pays voisins, la Suisse ne les transmettait qu’aux entreprises directement concernés. Ce secret n’avait pourtant guère de raison d’être et cette période est fort heureusement résolue. Ces directives sont maintenant disponibles sur une nouvelle page du site Internet intitulée téléchargements. Il y a actuellement deux directives datées du 23 novembre 2011, l’OAR et la TR TS. Ces directives en anglais s’adressent avant tout aux fournisseurs de services de communications.
L’OAR (Organisational and Administrative Requirements (version v2.13)) définit les exigences administratives et techniques à remplir par les fournisseurs de services, en particulier pour permettre la bonne collaboration avec le SSCPT. La TR TS (Technical Requirements for Telecommunication Surveillance (version 3.0)) décrit dans un seul document les exigences techniques pour les interfaces entre les équipements des fournisseurs de services et le SSCPT, ainsi que dans quelle mesure les standards ETSI sont applicables en Suisse. Cette directive se rapproche toujours plus des standards européens et devrait l’être encore plus dans une version ultérieure (les spécificités suisses en matière de données rétroactives et d’interception de courriels pourraient bien disparaître).
L’informatique dans le nuage et la protection des données 22 décembre 2011
Posted by Sylvain Métille in Logiciel, Protection des données, Sphère privée, Suisse, Technique.1 comment so far
L’informatique dans le nuage (de l’anglais cloud computing) fait généralement référence à la possibilité de stocker des données non plus sur son ordinateur personnel en mode local (comme cela se faisait au début de l’informatique) mais sur des serveurs distants ou des ordinateurs reliés entre eux le plus souvent par le biais d’Internet. Cela est possible depuis plusieurs années et chacun l’a déjà expérimenté, par exemple en consultant ses courriels sur le site de son fournisseur.
Il n’y a pas une forme d’informatique dans le nuage, mais de très nombreuses. On distingue notamment le logiciel en tant que service (Service as a Software, SaaS), l’infrastructure en tant que service et la plate-forme en tant que service (Platform as a Service, PAAS). Le logiciel en tant que service est un programme informatique utilisable directement par l’Internet sans l’installer sur sa machine. Cela permet de le louer et les opérations de mises à jour sont effectuées directement par le fournisseur. L’infrastructure en tant que service est la mise à disposition par le fournisseur d’une infrastructure informatique comme des serveurs ou des espaces de stockage. Finalement, la plate-forme en tant que service combine les deux précédents puisque le fournisseur met à disposition le matériel et les logiciels.
On peut ensuite distinguer un nuage public d’un nuage privé. Dans le premier, les données de tous les utilisateurs ne sont pas séparées et l’utilisateur n’a pas d’influence sur la localisation de ses données. Dans le second, l’utilisateur bénéficie d’un espace physiquement délimitable et peut par exemple savoir dans quel pays ses données sont traitées.
L’informatique dans les nuages permet avant tout de limiter les coûts et les opérations de maintenance. Les risques sont assez semblables à ceux de la gestion de données en interne. Une solution en nuage peut même réduire les risques de pertes ou d’accès indus étant donné que les employés d’une société n’auraient plus de données enregistrées sur leurs ordinateurs portables par exemple.
Certains principes doivent cependant être respectés, notamment le respect par le fournisseur des obligations légales en matière de protection des données de l’utilisateur (le fournisseur est un tiers), y compris en matière de sécurités des données (protection contre tout traitement non autorisé, confidentialité, intégrité des données), de droit d’accès et de rectification. De plus les dispositions légales relatives à la transmission de données à l’étranger s’appliqueront également.
Avant d’utiliser l’informatique en nuage, il est essentiel de bien choisir son fournisseur et de vérifier les garanties qu’il propose. L’utilisateur est en effet responsable du respect des disposition en matière de protection des données et doit prendre les diposisions nécessaire.
Dans un documents intitulé «explications concernant l’informatique en nuage», le Préposé fédéral à la protection des données et à la transparence (PFPDT) rappelle les dangers que l’informatique en nuage peut représenter pour la sphère privée et donne des recommandations ainsi que des liens pour approfondir le sujet.
Révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication 15 décembre 2011
Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
En juin 2011, le Tribunal administratif fédéral (TAF) avait constaté que le Service Surveillance de la correspondance par poste et télécommunication (SCPT) n’avait pas la compétence d’adopter des directives techniques concernant la surveillance d’un accès à Internet au-delà de la surveillance des courriers électroniques parce que l’Ordonnance du Conseil fédéral avait malencontreusement réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. Si la surveillance de l’accès Internet était néanmoins légale et conforme au Code de procédure pénale fédéral (CPP) et à la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), le Service ne pouvait pas adopter de directives techniques contraignantes pour les fournisseurs d’accès.
Ce problème est désormais corrigé ou le sera sous peu. Le Conseil fédéral a en effet adopté la révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et fixé son entrée en vigueur au 1er janvier 2012. Par rapport au projet mis en circulation, plusieurs modifications ont été apportées et notamment l’expression «fournisseur Internet» a été remplacée par «fournisseur d’accès Internet». Les obligations relatives à la surveillance de l’Internet s’appliquent donc uniquement aux fournisseurs d’accès à internet, c’est-à-dire des prestataires qui fournissent concrètement à leurs clients l’accès à internet et une adresse IP. En revanche, les fournisseurs de seuls services de messagerie instantanée, de blogs et de réseaux sociaux notamment, de même que les exploitants de réseaux domestiques ou professionnels ou d’autres réseaux privés ne seront pas tenus d’exécuter des surveillances. La révision de l’Ordonnance ne modifie pas les possibilités de surveillance (elles sont régies par le CPP et éventuellement la LSCPT) mais seulement les obligations à remplir par les fournisseurs. Ces derniers ont douze mois pour s’adapter.
Pour aller plus loin
Modifications de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT)
Modifications de l’Ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (Ordonnance EI-SCPT)
Rapport explicatif concernant la modification de l’ordonnance sur la surveillance par poste et télécommunication
Rapport sur les résultats de l’audition
Révision totale de la LSCPT
A signaler encore que le Conseil fédéral a chargé le Département fédéral de justice et police de préparer un message à l’intention du Parlement et a défini certaines lignes directives, notamment le fait que les chevaux de Troie ne pourront être utilisés que pour la surveillance de la correspondance par télécommunication et non la perquisition d’ordinateurs à distance.
La synthèse des résultats de la procédure de consultation relative au rapport et à l’avant-projet concernant la modification de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) a aussi été publiée. Ce document résume les 106 avis exprimés sur cet avant-projet.
