Ces chères écoutes téléphoniques 6 juin 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Alors que le Parlement fédéral doit se pencher prochainement sur une révision de la LSCPT qui prévoit notamment un allongement de la durée de conservation des données par les fournisseurs de services de télécommunications, c’est l’occasion de se pencher sur les dernières statistiques du Service de surveillance de la correspondance par poste et télécommunication de la Confédération (Service SCPT). Les autorités suisses de poursuite pénale ont dû dépenser quatorze millions de francs d’émoluments en 2012, dont presque dix millions ont été reversés aux fournisseurs de services de télécommunication (FST). Les tarifs, fixés par une Ordonnance du Conseil fédéral, avaient été adaptés au 1er janvier 2012. Ainsi pour la somme de 2’410.- (dont 1’330.- reversés au FST concerné), un procureur pourra obtenir la surveillance d’un numéro téléphonique (fixe ou mobile) en temps réel, alors qu’il lui coûtera 700.- (540.-) pour obtenir les données de facturation des six derniers mois.
Le Code de procédure pénal contient des exigences strictes sur la manière et les conditions auxquelles les mesures de surveillance peuvent être ordonnées par les procureurs et doivent être ensuite confirmées par le tribunal des mesures de contrainte. Cela se justifie car ces mesures de surveillance portent atteinte à la sphère privée de l’individu et elles ont lieu à l’insu de la personne concernée. Cette dernière peut donc difficilement faire valoir le respect de ses droits. Même si ce n’est pas son but, le coût élevé de ces démarches est peut-être tout aussi efficace que les garde-fous légaux pour s’assurer que les autorités d’instruction pénale n’en abusent pas.
Neuf autorisations d’écoutes téléphoniques par jour
Le nombre de mesures de surveillance effectuées augmente néanmoins régulièrement ces dernières années. En 2012, 3’233 mesures de surveillance en temps réel ont été exécutées, ainsi que 6’960 mesures de surveillance rétroactives. En moyenne, c’est l’écoute de presque neuf nouveaux raccordements qui est ordonnée chaque jour en Suisse et des informations de facturation livrées concernant dix-neuf raccordements. La majorité des mesures de surveillance concernait des infractions graves à la législation sur les stupéfiants ou contre le patrimoine, mais leur répartition dans le pays est très inégale. La palme revient à Genève qui a prononcé une mesure de surveillance sur cinq, suivi de Zurich (17%), Vaud et Tessin (10%).
Les émoluments sont avancés par les cantons et figurent ensuite dans les frais de justice, mis à la charge du condamné. Si le prévenu n’est pas condamné ou si le condamné est indigent (la carrière criminelle n’étant pas toujours gage de fortune), l’Etat n’obtiendra pas le remboursement de ces avances, qui seront finalement supportées par le contribuable au travers de la part des impôts finançant le budget du département de justice et police.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.
Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.
Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.
L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
Respecter la loi sur la protection des données ne suffit plus! 13 février 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.2 comments
Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.
En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.
Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.
Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.
Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).
Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants, de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.
Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.
Le Patriot Act américain permet-il d’obtenir des données en Europe ? 19 décembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
A lire un article publié récemment par CBS News la réponse serait clairement positive. Il convient toutefois de préciser le propos, un tel raccourci étant trompeur. Des chercheurs de l’Université de Amsterdam ont publié un rapport intitulé «Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act» qui a inspiré CBS.
Comme je l’avais déjà évoqué dans l’article concernant Evernote, le lieu où sont traitées des données conduit inévitablement à l’application du droit local impératif, qu’il s’agisse de normes liées à la protection des données, à la production de documents lors de procédures judiciaires ou à des demandes étatiques.
Le Patriot Act n’est pas responsable de tous les maux
Bien que très régulièrement cité, le USA Patriot Act (abréviation de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, soit la loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) n’est pas la loi qui met en danger les droits des européens. Le Patriot Act n’est pas une loi en tant que telle mais uniquement une série de modifications de lois existant déjà avant son adoption en 2001 (Electronic Communications Privacy Act, Computer Fraud and Abuse Act, Foreign Intelligence Surveillance Act, Family Educational Rights and Privacy Act, Money Laundering Control Act, Bank Secrecy Act, Right to Financial Privacy Act, Fair Credit Reporting Act, Immigration and Nationality Act, Victims of Crime Act of 1984, Telemarketing and Consumer Fraud and Abuse Prevention Act). Pour les non-résidents U.S., c’est en particulier le Foreign Intelligence Surveillance Act (FISA, la loi de surveillance d’intelligence étrangère) qui est le plus important.
Ce n’est donc pas tant le USA Patriot Act mais d’autres lois américaines qui peuvent permettre, cas échéant, d’accéder aux données européennes.
Des données qui ne sont pas exclusivement européennes
L’élément déterminant est que les données présentées comme européennes ne le sont pas tant que cela. Plus précisément, même si les données concernent des résidents européens (et sont soumises au droit européen), le fait de les faire héberger dans le cloud par une entreprise américaine (comme Amazon, Apple, Google, Microsoft,…) ou sur des serveurs situés aux USA crée un rattachement au droit américain.
En droit américain, le 4e amendement (que l’on peut considérer comme la norme constitutionnelle protégeant la sphère privée contre les demandes étatiques) ne s’applique qu’aux résidents U.S. Les étrangers ne peuvent pas l’invoquer et la loi FISA donne des pouvoirs assez larges d’enquête aux autorités. De manière générale, les exigences procédurales à respecter par la police ou les services de renseignement pour obtenir des informations ne sont pas très élevées.
Une situation logique aux conséquences désagréables
Je doute que l’on puisse blâmer un pays de vouloir appliquer son droit national à l’activité qui a lieu sur son territoire et aux entreprises qui ont leur siège dans son pays. Un pays européen ne peut pas à la fois reprocher aux Etats-Unis de vouloir que Google transmette des données en application du droit américain et simultanément vouloir que Google respecte le droit dudit pays européen en matière de traitement des données pour les services qu’il y propose.
Il ne fait en revanche aucun doute qu’il en résulte un sérieux problème que des données devant être protégées au regard du droit européen puisse ne plus l’être au regard du droit américain. Il s’agit là de la responsabilité de celui qui traite les données (maître du fichier ou data controller) d’évaluer les risques et de s’assurer qu’il utilise une infrastructure qui ne mette pas en péril les données traitées.
Lorsque le traitement de données est effectué par une entreprise privée, le contrat qui la lie au sujet des données prévoit que ce dernier autorise un traitement à l’étranger avec les conséquences qui en découle. La question est surtout de déterminer si le sujet qui y a consenti était réellement en mesure d’en comprendre les conséquences et de donner valablement son consentement.
Lorsqu’il s’agit de données traitées par une entité publique (école, administration, etc.), le rapport entre le sujet des données et l’entité en question découle généralement de la loi et il est plutôt rare qu’elle autorise ladite entité à « exposer » les données aux conditions d’un droit étranger. C’est pourtant ce qui arrive si des fournisseurs de services étrangers sont utilisés. Il faut toutefois traiter différemment des données qui ne sont pas des données personnelles (par exemple le catalogue d’une bibliothèque) des données personnelles (liste des utilisateurs de la bibliothèque ou données des passeports biométriques, etc.). Plus les données sont sensibles, plus le confort de l’utilisation d’une solution de type cloud doit être examinée sérieusement. Des solutions sur mesure existent (avec des limitations géographiques, etc.) mais le coût ou le confort d’utilisation peuvent être très différents.
Indépendamment du risque que peut représenter le gouvernement américain, il n’est pas inutile de se demander aussi si il est vraiment raisonnable de concentrer le stockage de données en mains d’une ou deux entreprises (qui ont, si pas légalement, au moins matériellement, accès à toutes les données de très nombreux utilisateurs autour du globe).
Surveillance d’employés par le service informatique: les règles à suivre 4 septembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.2 comments
Alors que des fonctionnaires et magistrats jurassiens consultaient des sites Internet non-professionnels, le service informatique de l’Etat a mis en place des mesures de surveillance informatique qui se sont avérées être clairement illégales. Aucune infraction pénale n’a été constatée en lien avec la consultation des sites Internet, mais des mesures administratives ont été prononcées. La question de la légalité de la surveillance n’a guère été abordée, quand bien même elle est déterminante et aurait pu conduire également à des sanctions.
La Commission cantonale à la protection des données a rendu une décision récemment dans cette affaire dite du «Pornogate». J’ai analysé cette décision dans un article paru dans la revue Jusletter intitulé «Les enseignements à tirer de la surveillance illicite de magistrats et fonctionnaires par un service informatique, commentaire de l’affaire jurassienne du Pornogate». Au-delà de l’affaire jurassienne, cet article décrit également la procédure à suivre dans un tel cas et surtout les mesures qui devraient être prises préalablement à la survenance de tout comportement nécessitant une surveillance. Ces mesures devraient prendre la forme d’une loi pour le secteur public, alors qu’un règlement de travail ou des directives internes suffisent pour le secteur privé.
C’est quoi le skimming? 23 août 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Liens, Logiciel, Sphère privée, Suisse, Surveillance, Technique.add a comment
Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas et de Privacy by design/protection intégrée de la vie privée.
Le terme anglais «skimming» signifie «effleurer» en anglais et est utilisé pour désigner un type d’escroquerie à la carte de paiement (crédit, débit, prépayée, etc.).
Comment cela fonctionne
L’opération consiste d’abord à effectuer une copie de la bande magnétique de la carte à l’aide d’un dispositif spécial sans que le possesseur de la carte ne le remarque. Ces données seront ensuite reportées sur une carte vierge qui sera finalement utilisée par les escrocs. Parallèlement, ils récupèrent le mot de passe, par exemple à l’aide d’une caméra cachée ou d’un dispositif placé sur ou sous le clavier.
Une fois en possession de la carte falsifiée et du code, rien ne les empêche d’utiliser la carte voire d’accéder au compte de la victime. Et comme l’utilisateur n’a rien remarqué et qu’il est toujours en possession de la carte d’origine, ce n’est qu’au moment de consulter le solde de son compte qu’il remarquera qu’il est victime d’escroquerie.
D’après le dernier rapport de l’Office fédéral de la police, le skimming a causé en 2011 des pertes à hauteur de 15 millions de francs pour les banques suisses et le nombre de bancomats manipulés s’est presque multiplié par cinq l’année passée.
Les auteurs des opérations de skimming seraient, selon le rapport, presque exclusivement des bandes venues d’Europe du sud-est, principalement de Bulgarie et de Roumanie. Ils viennent en Suisse avec leur équipement puis quittent rapidement le pays afin d’utiliser les cartes copiées dans un autre pays, les bancomats suisses exigeant une puce, beaucoup plus difficile à copier qu’une bande magnétique.
Les banques ayant réagi et investi dans la sécurité de leurs appareils, les attaques de skimming se sont déplacées vers les distributeurs de tickets et les dispositifs de paiement des supermarchés, plus vulnérables.
Une campagne de prévention a été lancée
Suite à cette hausse, les autorités policières ont lancé en 2012 la campagne nationale de prévention «Stop Skimming», qui bénéficie du soutien de la Prévention suisse de la criminalité et de l’Association suisse des banquiers.
La campagne rappelle notamment les principes élémentaires pour se protéger du skimming: garder son code confidentiel, saisir le code à l’abri des regards, ne pas se laisser aider ou distraire, ne pas donner sa carte, contrôler ses comptes,…
Le Tribunal fédéral rappelle les règles en matière de découvertes fortuites lors d’écoutes téléphoniques 22 mai 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.2 comments
Le Tribunal fédéral a rendu au début de ce mois une décision en matière de surveillance téléphonique (1B_211/2012). Le Ministère public vaudois avait obtenu du Tribunal des mesures de contrainte l’autorisation nécessaire pour surveiller le téléphone de X. Cette surveillance a révélé que l’amie intime de X. (que nous appellerons Y.) participait également activement à ce trafic de stupéfiants. Le Ministère public a alors demandé au Tribunal des mesures de contrainte l’autorisation de surveiller un raccordement téléphonique utilisé par Y. conformément à l’art. 278 al. 3 du code de procédure pénale (CPP). Cette autorisation aurait permis d’exploiter contre Y. les éléments provenant de la découverte fortuite issue de la surveillance du raccordement de X.. La procédure est jusque-là parfaitement conforme.
Une découverte fortuite
Le principe de base est qu’une autorisation du Tribunal des mesures de contrainte est nécessaire pour mettre en place une mesure de surveillance. Mais il peut aussi arriver que pendant l’exécution d’une mesure de surveillance correctement autorisée, des éléments imprévus soient découverts. On parle alors de découvertes fortuites.
Si les éléments découverts portent sur d’autres infractions que celles qui ont motivé la mise en place de la surveillance, elles ne seront utilisables que si ces infractions auraient pu justifier une surveillance. Si les éléments découverts portent sur une autre personne, ils ne seront exploitables que si les conditions pour mettre en place une surveillance de cette personne sont remplies.
Le Tribunal des mesures de contrainte s’écarte de la loi
De manière très surprenante le Tribunal des mesures de contrainte a estimé qu’il n’avait pas besoin de délivrer une autorisation car les données issues de la surveillance de X. pouvait être utilisée contre Y.. Le Tribunal considère qu’il ne s’agit pas d’une découverte fortuite pour laquelle une autorisation est nécessaire car X. et Y. appartiennent au même réseau de trafiquants. Ce raisonnement est erroné car un ordre de surveillance se limite à une personne et à des infractions précises. Admettre le contraire permettrait de mener une enquête contre une personne pour obtenir des informations sur une autre, ce que la loi veut précisément éviter.
Le Ministère public vaudois a fait usage du droit de recours récemment admis par le Tribunal fédéral et demande que le Tribunal fédéral ordonne au Tribunal des mesures de contrainte de rendre une décision et d’autoriser l’exploitation. Le Ministère public aurait aussi pu ne pas recourir et considérer que ses agissements étaient couverts par la décision du Tribunal des mesures de contrainte disant qu’un autorisation n’était pas nécessaire.
On doit néanmoins saluer ce choix de s’assurer d’une juste application de la loi dans un domaine où l’interprétation doit être restrictive. Peut-être aussi le Ministère public vaudois a-t-il voulu se couvrir et éviter qu’ultérieurement Y. ne puisse contester la légalité des preuves et les faire écarter de la procédure.
C’est donc sans grande surprise que le Tribunal fédéral a admis le recours et renvoyé le dossier au Tribunal des mesures de contrainte pour qu’il autorise la surveillance. L’arrêt est bref et confirme l’application de dispositions légales claires.
Publications: Les mesures techniques de surveillance: des risques évités et des risques créés 10 avril 2012
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique.add a comment
L’article paru dans le livre Risque(s) et droit édité par Philippe Meier et Alain Papaux est désormais disponible : «Les mesures techniques de surveillance: des risques évités et des risques créés».
Cette contribution scientifique rédigée dans le cadre du séminaire de 3e cycle de la CUSO aborde les risques que les mesures de surveillance tendent à réduire et ceux qui sont la conséquence de l’utilisation de mesures de surveillances. Une attention particulière est portée sur l’atteinte à la sphère privée, l’utilisation de données à l’insu de la personne concernée, l’impossibilité de corriger des données inconnues et finalement la sécurité des données, les fuites et la transmission des données. Les moyens juridiques et techniques pour limiter ces risques sont brièvement évoqués.
Le Tribunal fédéral accorde un nouveau droit de recours au ministère public lorsqu’une autorisation de surveillance est refusée 16 mars 2012
Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Sphère privée, Suisse, Surveillance.add a comment
Dans une décision rendue en fin d’année dernière, le Tribunal fédéral suisse (TF) a admis que le ministère public puisse recourir contre la décision du Tribunal des mesures de contrainte refusant d’autoriser une mesure de surveillance, bien que cela ne soit pas prévu par le Code de procédure pénale fédéral (CPP) (arrêt 1B_376/2011). Cette décision a déjà été évoquée dans un précédent billet car elle confirmait la légalité de la recherche par champ d’antenne.
Le CPP ne prévoit aucun recours cantonal contre la décision du Tribunal des mesures de contrainte autorisant ou refusant une mesure de surveillance (il en va différemment en matière de détention par exemple, puisque le code prévoit le droit du prévenu de recourir). Ce n’est qu’après avoir reçu la communication (c’est ainsi que la loi appelle l’information qui est transmise à la personne qui a fait l’objet d’une mesure de surveillance) qu’un recours contre l’ensemble de la procédure de surveillance peut être déposé (contrôle a posteriori). Au moment de la décision du Tribunal des mesures de contrainte, la personne surveillée n’en a pas connaissance et elle ne souffre donc pas de l’absence de voie de recours. Quant au ministère public, si sa demande est refusée il a toujours la possibilité d’en déposer une nouvelle (l’effet de l’autorisation accordé par le Tribunal ne sera toutefois valable qu’à compter du moment où la seconde surveillance est ordonnée et les résultats qui ne figureraient que dans la première seront inexploitables). Du moins en était-il ainsi jusqu’à la décision du TF du 3 novembre 2011.
Le TF s’est appuyé sur une disposition de la Loi sur le Tribunal fédéral (LTF) pour désormais admettre un droit de recours du ministère public contre le refus d’autoriser une mesure de surveillance. L’art. 93 LTF prévoit une exception et permet un recours contre des décisions préjudicielles et incidentes qui peuvent causer un préjudice irréparable ou si l’admission du recours peut conduire immédiatement à une décision finale qui permet d’éviter une procédure probatoire longue et coûteuse.
Vers un droit de recours de la personne surveillée?
De jurisprudence constante le Tribunal fédéral a jusqu’ici refusé d’entrer en matière sur un recours en matière de surveillance déposé par une personne surveillée avant que la communication ne lui ait été adressé (estimant que la décision n’ayant pas été notifiée le délai de recours n’avait pas encore commencé à courir). Si l’on veut rester cohérent, on doit admettre que la personne surveillée puisse aussi recourir contre la décision autorisant la mesure de surveillance et se prévaloir de l’art. 93 LTF pour déposer un recours contre une décision qui peut causer un préjudice irréparable et ainsi éviter qu’une mesure de surveillance ne perdure et que des résultats soient exploités. La difficulté vient du fait que la personne surveillée ne reçoit évidemment pas une copie de la décision de surveillance. On ne pourra alors pas exiger d’elle qu’elle respecte le délai de recours habituel.
Droit de recours également contre une décision de mise en liberté
A noter finalement que le TF avait déjà admis au début de l’année 2011 le droit du ministère public de recourir auprès de l’autorité cantonale de recours contre une décision du Tribunal des mesures de contrainte ordonnant la mise en liberté du détenu, alors que l’article 222 CPP ne prévoyait qu’un droit de recours du prévenu (ATF 137 IV 22).
Les codes de procédure pénale et civile suisse disponibles aussi en anglais 12 mars 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Langue, Liens, Protection des données, Suisse.add a comment
L’anglais n’est pas une langue nationale mais il n’en est pas moins couramment utilisé dans les échanges internationaux. Le droit suisse est publié en français, allemand et italien et toutes les langues ont la même valeur.
La chancellerie fédérale propose également la traduction en anglais de certaines lois. Si toutes les lois sont précédées d’une mention rappelant qu’il ne s’agit pas d’une version officielle mais seulement d’une traduction pour information, il est vivement recommandé de s’y rapporter. Cela évite de traduire une nouvelle fois le texte, mais surtout cela permet aux différents acteurs d’utiliser la même terminologie.
Toutes les lois ne sont pas disponibles. Si certaines traductions existent depuis assez longtemps (comme le Code des obligations, le Code civil ou le Code pénal), la chancellerie vient d’y ajouter les traductions des Code de procédure civile et Code de procédure pénale entrés en vigueur en 2011.
Liens directs
Criminal Procedure Code (Code de procédure pénale)
Civil Procedure Code (Code de procédure civile)
Data Protection Act (Loi fédérale sur la protection des données)
