Un petit drone pour épier ses voisins? 13 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.3 comments
En Suisse, des drones de l’armée sont utilisés régulièrement depuis 2006 pour surveiller les zones frontières. Dans le cas d’un usage par une personne privée, les drones ne sont soumis à aucune autorisation tant qu’ils n’atteignent pas un poids de 30 kilos et que le pilote resté au sol maintient un contact visuel avec l’appareil. Non seulement ces machines volent discrètement, mais elles peuvent aussi embarquer un matériel de pointe capable de procéder à des enregistrements sonores, des prises de vues, des mesures de détection, etc.
La DARPA, une agence du Département américain de la défense, a présenté en début d’année une caméra dotée d’un capteur de 1,8 gigapixels. A 6’000 mètres d’altitude, cette caméra peut couvrir une surface de vingt-cinq kilomètres carrés et y repérer un objet au sol d’une taille de quinze centimètres. On trouve aussi des nanodrones, comme ceux utilisés par l’armée anglaise et qui pèsent quinze grammes (caméra comprise) pour une dizaine de centimètres d’envergure. Loin de ces performances technologiques, un amateur peut déjà trouver un matériel à un prix accessible et qui lui permettra d’obtenir des images de bonne qualité. La surveillance de ses voisins ou de ses concurrents par le ciel est devenue réalité.
La légalité d’une telle démarche ne change pas de celle qui prévaut en matière de vidéosurveillance classique. Les personnes filmées doivent y consentir (ce qui implique d’avoir été informé préalablement) et l’atteinte à la sphère privée des personnes filmées doit être proportionnée par rapport au but poursuivi. Dans certains cas précis, par exemple à des fins de sécurité, il sera possible de passer outre le consentement des personnes filmées en invoquant des intérêts prépondérants. N’empêche que souvent la surveillance sera illégale et restera inaperçue, donc impunie.
Le droit civil et de la protection des données permettent de faire cesser une atteinte illicite et une plainte pénale peut être déposée pour violation du domaine privé au moyen d’un appareil de prise de vues. Voilà pour la théorie, mais dans la pratique le jouet se transforme rapidement en un espion discret, peu coûteux et peu capricieux, contre lequel il est difficile de lutter. Au moins tant et aussi longtemps que le législateur ne le soumettra pas à autorisation, autorisation qui devrait aussi porter sur le but de leur utilisation.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Le Patriot Act américain permet-il d’obtenir des données en Europe ? 19 décembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
A lire un article publié récemment par CBS News la réponse serait clairement positive. Il convient toutefois de préciser le propos, un tel raccourci étant trompeur. Des chercheurs de l’Université de Amsterdam ont publié un rapport intitulé «Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act» qui a inspiré CBS.
Comme je l’avais déjà évoqué dans l’article concernant Evernote, le lieu où sont traitées des données conduit inévitablement à l’application du droit local impératif, qu’il s’agisse de normes liées à la protection des données, à la production de documents lors de procédures judiciaires ou à des demandes étatiques.
Le Patriot Act n’est pas responsable de tous les maux
Bien que très régulièrement cité, le USA Patriot Act (abréviation de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, soit la loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) n’est pas la loi qui met en danger les droits des européens. Le Patriot Act n’est pas une loi en tant que telle mais uniquement une série de modifications de lois existant déjà avant son adoption en 2001 (Electronic Communications Privacy Act, Computer Fraud and Abuse Act, Foreign Intelligence Surveillance Act, Family Educational Rights and Privacy Act, Money Laundering Control Act, Bank Secrecy Act, Right to Financial Privacy Act, Fair Credit Reporting Act, Immigration and Nationality Act, Victims of Crime Act of 1984, Telemarketing and Consumer Fraud and Abuse Prevention Act). Pour les non-résidents U.S., c’est en particulier le Foreign Intelligence Surveillance Act (FISA, la loi de surveillance d’intelligence étrangère) qui est le plus important.
Ce n’est donc pas tant le USA Patriot Act mais d’autres lois américaines qui peuvent permettre, cas échéant, d’accéder aux données européennes.
Des données qui ne sont pas exclusivement européennes
L’élément déterminant est que les données présentées comme européennes ne le sont pas tant que cela. Plus précisément, même si les données concernent des résidents européens (et sont soumises au droit européen), le fait de les faire héberger dans le cloud par une entreprise américaine (comme Amazon, Apple, Google, Microsoft,…) ou sur des serveurs situés aux USA crée un rattachement au droit américain.
En droit américain, le 4e amendement (que l’on peut considérer comme la norme constitutionnelle protégeant la sphère privée contre les demandes étatiques) ne s’applique qu’aux résidents U.S. Les étrangers ne peuvent pas l’invoquer et la loi FISA donne des pouvoirs assez larges d’enquête aux autorités. De manière générale, les exigences procédurales à respecter par la police ou les services de renseignement pour obtenir des informations ne sont pas très élevées.
Une situation logique aux conséquences désagréables
Je doute que l’on puisse blâmer un pays de vouloir appliquer son droit national à l’activité qui a lieu sur son territoire et aux entreprises qui ont leur siège dans son pays. Un pays européen ne peut pas à la fois reprocher aux Etats-Unis de vouloir que Google transmette des données en application du droit américain et simultanément vouloir que Google respecte le droit dudit pays européen en matière de traitement des données pour les services qu’il y propose.
Il ne fait en revanche aucun doute qu’il en résulte un sérieux problème que des données devant être protégées au regard du droit européen puisse ne plus l’être au regard du droit américain. Il s’agit là de la responsabilité de celui qui traite les données (maître du fichier ou data controller) d’évaluer les risques et de s’assurer qu’il utilise une infrastructure qui ne mette pas en péril les données traitées.
Lorsque le traitement de données est effectué par une entreprise privée, le contrat qui la lie au sujet des données prévoit que ce dernier autorise un traitement à l’étranger avec les conséquences qui en découle. La question est surtout de déterminer si le sujet qui y a consenti était réellement en mesure d’en comprendre les conséquences et de donner valablement son consentement.
Lorsqu’il s’agit de données traitées par une entité publique (école, administration, etc.), le rapport entre le sujet des données et l’entité en question découle généralement de la loi et il est plutôt rare qu’elle autorise ladite entité à « exposer » les données aux conditions d’un droit étranger. C’est pourtant ce qui arrive si des fournisseurs de services étrangers sont utilisés. Il faut toutefois traiter différemment des données qui ne sont pas des données personnelles (par exemple le catalogue d’une bibliothèque) des données personnelles (liste des utilisateurs de la bibliothèque ou données des passeports biométriques, etc.). Plus les données sont sensibles, plus le confort de l’utilisation d’une solution de type cloud doit être examinée sérieusement. Des solutions sur mesure existent (avec des limitations géographiques, etc.) mais le coût ou le confort d’utilisation peuvent être très différents.
Indépendamment du risque que peut représenter le gouvernement américain, il n’est pas inutile de se demander aussi si il est vraiment raisonnable de concentrer le stockage de données en mains d’une ou deux entreprises (qui ont, si pas légalement, au moins matériellement, accès à toutes les données de très nombreux utilisateurs autour du globe).
Google poursuit son chemin malgré les oppositions 29 février 2012
Posted by Sylvain Métille in Google, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique, USA.1 comment so far
Impossible d’y échapper lorsque l’on utilise les services de Google, le géant américain met à jour, et surtout unifie, les règles de confidentialité. Une seule version des règles en matière de protection des données et de la sphère privée pour remplacer une soixantaine de textes différents, voilà qui devrait plaire. Sauf qu’avec cette modification, Google ne fera plus la distinction entre les informations récoltées pour les différents services et les informations laissées par l’utilisateur de YouTube, le moteur de recherche Google, ou encore d’autres produits Google seront combinées.
De nombreuses réactions
Depuis cette annonce les réactions n’ont pas cessées. Aux USA, ce ne sont pas moins que les avocats généraux de 36 Etats qui se sont plaint du fait que les employés gouvernementaux utilisant des téléphones avec Android ne pourront plus retirer les données partagées. Le Congrès américain a aussi demandé des explications supplémentaires.
Ces derniers jours, la CNIL française a demandé un report de l’introduction des nouvelles règles à Google, de même que le groupe Article 29. Ces autorités ont réitéré leurs demandes le 27 février et ont ouvert une enquête.
Google a toutefois confirmé l’entrée en vigueur comme prévue demain 1er mars des nouvelles règles. Le bras de fer est lancé…
Que fait un opérateur toute la journée derrière un écran de vidéosurveillance? 8 février 2012
Posted by Sylvain Métille in Divers, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.2 comments
L’Institut d’aménagement et d’urbanisme d’Ile-de-France (IAU-IDF) a publié cet automne les résultats d’une étude sur les coulisses du travail de surveillance à distance des opérateurs municipaux. Les dispositifs de vidéosurveillance de deux communes françaises ont été étudiés durant plusieurs mois afin de voir comment les opérateurs qui sont assis derrière les écrans reliés aux caméras de surveillance se sont appropriés cette technologie et comment ils l’utilisent en fonction des missions prescrites.
Première conclusion de l’étude, la surveillance continue est une illusion parce que les opérateurs ne consacrent en réalité qu’une part réduite de leur temps de travail à la surveillance passive (balayage des caméras) ou active (recherche du flagrant délit) et parce que cette part du temps de travail est fortement limitée dans son efficience par des facteurs techniques, météorologiques et humains (relations avec les policiers, l’ennui, etc.). Le nombre d’arrestations ou de constations de flagrant délits n’a pas augmenté de manière marquée.
Deuxièmement, les opérateurs doivent faire continuellement des choix, qu’il s’agisse des images ou écrans à regarder en priorité ou des personnes à suivre avec les caméras. Ces choix s’apparentent à un tri social qui semble plus se baser sur l’âge ou la tenue vestimentaire des individus que sur leurs les comportements suspects. L’étude décrit ces discriminations comme étant la conséquence de l’absence de formation sur la manière de cibler les comportements suspects. L’opérateur est alors réduit à s’en remettre à des impressions, probablement inconscientes, que certains types d’individus sont plus portés à commettre des infractions. Il s’agit d’un élément important qui ne devrait pas être sous-estimé lors de la mise en place ou l’utilisation de tels dispositifs. A noter que selon les constats de cette étude française, les opérateurs ne sont le plus souvent pas des policiers ou des personnes assermentés et soumises à un code de déontologie, mais des personnes très peu formées.
Finalement l’étude souligne encore le manque de reconnaissance du travail des opérateurs vidéosurveillance ainsi que l’importance de la confiance et de la collaboration entre les opérateurs et les policiers.
L’étude est diposnible intégralement et gratuitement: IAU îdF, Surveiller à distance. Une ethnographie des opérateurs municipaux de vidéosurveillance, septembre 2011.
Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.add a comment
«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.
Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.
L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.
Logiciels d’espionnage utilisés en Suisse: l’analyse 20 octobre 2011
Posted by Sylvain Métille in Droit pénal et procédure pénale, Logiciel, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.5 comments
L’utilisation par la police d’un logiciel d’espionnage a fait les grands titres de la presse en Allemagne puis Suisse et nombreux sont ceux qui se sont étonnés de l’existence et l’utilisation de ces logiciels. Si ce n’est pas une surprise, c’est toutefois l’occasion d’apporter quelques précisions.
De quoi parle-t-on?
Le logiciel d’espionnage est également appelé Government-Software ou cheval de Troie (car comme dans la mythologie grecque malgré son apparente innocence il renferme de petits soldats ou de braves espions prêts à en jaillir dès que les Troyens auront détourné leur attention). Il s’agit d’un simple programme informatique en apparence anodin, qui une fois installé permet de prendre le contrôle à distance de l’ordinateur sur lequel il se trouve, et évidemment d’en surveiller en temps réel tout le contenu. Le détenteur de l’ordinateur ne s’en rend normalement pas compte (c’est le but!). Un logiciel d’espionnage peut être installé en accédant physiquement à la machine mais aussi par le biais d’une connexion à distance (courriel, Internet, etc.)
Les chevaux de Troie sont en particulier utilisés pour surveiller les discussions par messagerie instantanée (MSN) ou la téléphonie par Internet (VoIP, Skype,…) que les méthodes habituelles permettent difficilement d’appréhender. Parfois le programme espionne le clavier et enregistre, voire transmet, toutes les informations frappées. On parle alors d’espion clavier logique (par opposition à l’espion clavier matériel qui se fixe dans le clavier ou plus simplement sous la forme d’une rallonge entre la prise du clavier et l’ordinateur). Le cheval de droit peut finalement ne transmettre que les informations liées à certains programmes ou des captures d’écrans.
Est-ce bien légal?
Trois situations sont à distinguer: l’utilisation d’un cheval de Troie par une personne privée, par l’Etat en dehors d’une enquête pénale et dans le cadre d’une enquête pénale. Les deux premières utilisations sont clairement contraires au droit. La troisième mérite plus de développements.
Dans le cadre d’une enquête pénale, l’Etat a le droit de recourir à des méthodes particulières d’investigation, par exemple des perquisitions ou des écoutes téléphoniques. La Cour européenne des droits de l’Homme à Strasbourg comme le Tribunal fédéral ont eu à de nombreuses reprises la possibilité de confirmer la légalité de ces pratiques. Des conditions strictes et une procédure précise doit toutefois être suivie. Depuis le 1er janvier 2011, ces règles sont les mêmes dans tous les cantons suisses et figurent dans le Code de procédure pénale fédéral (CPP). Une surveillance préventive (par exemple par les services de renseignement) ne correspond pas à une enquête pénale et est donc illégale.
Voilà pour le cadre. Alors que dit la loi ? Et bien rien, ou pas grand-chose est c’est bien cela qui est compliqué. De manière simple, on peut dire que l’utilisation d’un logiciel de surveillance par la police n’est possible que si le CPP le permet. Mais cela ne signifie pas encore que la loi doive contenir exactement les termes «logiciel de surveillance» ou encore «cheval de Troie». Il suffit que le législateur ait inclus cette technique dans une des catégories qu’il a choisi d’autoriser. Toute la difficulté est alors de savoir, lorsqu’une technique n’a pas vraiment été évoquée, si elle a été volontairement exclue (et dans ce cas elle serait illégale) ou si elle a été implicitement incluse (elle serait alors permise). Cette réponse est apportée par les tribunaux en interprétant la loi. En attendant une réponse claire, deux camps s’opposent que cela soit par conviction juridique (ceux qui pensent que la loi couvre cette technique contre ceux qui pensent au contraire que la loi ne la prévoit pas) ou par intérêt (ceux qui veulent pouvoir l’utiliser contre ceux qui veulent l’interdire).
Les autres mesures de surveillances
Le CPP prévoit notamment des mesures de surveillance de la correspondance par poste et télécommunications ainsi que des autres mesures techniques de surveillance. Les écoutes téléphoniques font partie de la première et il est tentant d’y classer le logiciel espion utilisé pour écouter des communications over IP (par internet): on surveille la transmission d’informations par le biais d’installations et de techniques de communication. Mais beaucoup d’autres données que les données transmises peuvent également être surveillées et en particulier le contenu et l’activité de l’ordinateur, voire l’observation de ce qui se passe dans l’environnement de la machine. A mon sens il faut plutôt voir un autre dispositif de surveillance au sens de l’art. 280 CPP (autres mesures techniques de surveillance) tant qu’une disposition spécifique n’est pas introduite dans le CPP. Il n’a pas exactement pour but d’enregistrer des conversations non publiques ou des actions se déroulant dans des lieux qui ne sont pas publics ou librement accessibles (comme le prévoit la disposition légale), mais il entre dans le champ plus large de la récolte d’informations qui ne sont pas librement accessibles, ce que permet l’interprétation de l’art. 280 CPP dans ce sens. L’utilisation de ces logiciels était largement connue avant l’adoption du Code de procédure et rien n’indique que le législateur a voulu l’exclure.
Les conséquences
Le cheval de Troie ne peut donc être utilisé qu’aux conditions prévues pour les autres mesures de surveillance. Si ces conditions ne sont pas respectées et en particulier que l’autorisation nécessaire n’a pas été accordée, la surveillance serait illégale et les preuves recueillies complètement inexploitables.
La surveillance n’est autorisée que dans le cas d’une enquête visant la commission d’infractions particulières figurant dans une liste précise, la même que celle qui est utilisée pour les écoutes téléphoniques ou la surveillance du courrier électronique. Elle est ordonnée par le ministère public mais doit également être confirmée par une autorité judiciaire indépendante, le tribunal des mesures de contrainte.
Comme pour toute surveillance, les principes de subsidiarité et de proportionnalité doivent être respectés. Cela signifie qu’une telle surveillance ne doit être admise que si aucune autre mesure ne peut atteindre ce but et que l’atteinte à la sphère privée doit être aussi limitée que possible. Ce dernier élément me paraît particulièrement important et pourrait ne pas être appliqué correctement. Le cheval de Troie donne accès à un nombre énorme d’informations, dont un grand nombre ne sont pas nécessaires à l’enquête. Pour cette raison, l’ordre de surveillance devrait indiquer précisément ce qui est recherché et quelles parties de la machine sont visées (emails, messagerie instantanée, VoIP, images, documents, etc.) pour éviter une surveillance disproportionnée. La police ne recevrait ou n’aurait le droit que d’exploiter les informations couvertes par l’autorisation.
Finalement la personne surveillée doit être informée à l’issue de la surveillance de manière complète, ce qui lui donne également la possibilité de faire contrôler la légalité et le bien-fondé de la surveillance par une autre autorité judiciaire.
Une révision en cours
Un avant-projet de révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications prévoit d’introduire un nouvel art. 270bis CPP qui autoriserait expressément l’installation d’un « cheval de Troie » et le décryptage de données. Cette mesure y est conçue comme une mesure de surveillance de la correspondance subsidiaire aux autres mesures de surveillance de la correspondance par télécommunication, bien qu’elle permette finalement d’accéder à l’ensemble des données présentes sur le système informatique, y compris celles qui ne font pas partie de la correspondance. Il serait à mon avis plus judicieux d’ajouter une ligne à l’article 280 et d’en faire une autre mesure technique de surveillance, au lieu d’ajouter un nouvel article parmi la surveillance de la correspondance avec des conditions un peu différentes comme le propose le Conseil fédéral. Un projet devrait être publié prochainement.
Les craintes
Le débat public se concentre sur la question de savoir si la loi interdit ou non cette mesure et si la loi est bonne ou mauvaise. A mon avis la loi permet d’utiliser un cheval de Troie à des conditions strictes et l’attention doit être portée sur le respect de ces conditions. Il faudrait par exemple plutôt s’assurer que le tribunal des mesures de contraintes n’autorise qu’avec une grande retenue cette mesure de surveillance, que la surveillance soit limitée au strict nécessaire (ce que l’ordre de surveillance doit préciser) et que l’information transmise à la personne qui a été surveillée soit complète et compréhensible. Le risque d’abus ne me semble pas tant être dans la rédaction de la loi mais plutôt dans sa mauvaise application, par exemple si les autorités compétentes devaient manquer de temps ou de connaissances techniques suffisantes.
Publications bientôt disponibles gratuitement 26 septembre 2011
Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Renseignement, Suisse, USA.1 comment so far
Plusieurs contributions scientifiques ont été rédigées ces derniers temps et publiées dans des revues imprimées, mais seulement trois textes étaient accessibles gratuitement en ligne:
- La surveillance préventive en Suisse en 2010, un article publié exclusivement en ligne par le Centre français de recherche sur le renseignement (CF2R), Tribune libre N°11, 7 p., 2011;
- «L’immunité des chefs d’Etats au XXIe siècle, les conséquences de l’affaire du mandat d’arrêt du 11 avril 2002», publié en 2004 dans la Revue de Droit International et de Sciences Diplomatiques et Politiques, vol 82 / n°1 (janvier-avril 2004), pp 29 à 86. Le texte de cette contribution est disponible par le biais de rerodoc, mais avec une pagination différente.
- «La Constitution européenne: adoption et révision» a été publié en 2004 dans la Revue Québécoise de Droit International Public, vol 17.1 (2004), pp 3 à 38, et est accessible sur le site de la revue.
Cela devrait toutefois changer et, dans la mesure des accords conclus avec les éditeurs, mes publications devraient être disponible progressivement. Pour commencer, voici déjà «Une lettre de Berkeley (Californie)», une tribune publiée dans la revue Plaidoyer 3/2011.
Transparency Report 21 mars 2011
Posted by Sylvain Métille in Divers, Google, Protection des données, Renseignement, Surveillance.3 comments
Google propose un ensemble de pages appelées « Transparency Report » (que l’on pourrait traduire en français par rapport de transparence). Il s’agit de deux groupes d’informations, l’un concernant les demandes gouvernementales et le second le trafic.
Demandes d’information des autorités nationales
La carte interactive des demandes gouvernementales montre le nombre de demandes d’organismes gouvernementaux à travers le monde reçues par Google et portant sur la suppression de contenu ou sur la mise à disposition d’informations concernant les utilisateurs Cette carte indique le nombre de demandes reçues. Les informations sont présentées par tranches de six mois, également sous la forme de tableaux comparatifs. Même si ces chiffres sont incomplets, ils permettent de constater des différences très importantes entre les différents pays. On apprécierait toutefois d’avoir des informations sur les domaines juridiques, pour distinguer par exemples les questions liées à la propriété intellectuelle, la sécurité intérieure, etc.
Etat du réseau
Les graphiques interactifs sur le nombre de visites fournissent des informations sur le trafic Internet enregistré sur les sites Google à travers le monde. Chaque graphique affiche l’historique des tendances pour un pays (ou une région) et un service (Gmail, les différentes sections du moteur de recherche Google, Blogger, etc). Cet outil devrait, selon Google, permettre d’illustrer les interruptions de service et de visualiser les perturbations ayant eu un impact sur la libre circulation des informations, qu’il s’agisse d’un blocage dépendant d’un gouvernement ou d’un problème technique.
Bien que partiels et plutôt généraux, ces deux rapports donnent accès à des informations nouvelles pour l’utilisateur et que les autorités étatiques ne mettent que rarement à sa disposition. Ils ne sont pas très utiles à l’utilisateur moyen mais pourraient en revanche intéresser différentes associations de défense des libertés et de l’accès à Internet. Ils ont par exemple été utilisés récemment pour voir l’état de l’accès à Internet en Egypte, en Libye ou au Japon.
La surveillance préventive en Suisse: les améliorations (3/3) 14 décembre 2010
Posted by Sylvain Métille in Droit pénal et procédure pénale, Renseignement, Sphère privée, Suisse, Surveillance.add a comment
L’avis du Conseil fédéral
Comme la loi le prévoit, le Conseil fédéral suisse a pris position le 20 octobre 2010 sur le rapport de la Délégation des commissions de gestion des Chambres fédérales concernant le traitement des données dans le système d’information relatif à la protection de l’Etat ISIS (voir à ce sujet mon précédent billet).
Le Gouvernement suisse reconnaît globalement la nécessité d’agir en matière de gestion des données et d’assurances qualité, et cela de manière urgente. Il insiste sur le fait que la qualité doit être privilégiée à la quantité. Des mesures ont déjà été prises, parmi lesquelles l’organisation d’une formation juridique de base destinée aux collaborateurs, l’analyse des prescriptions juridiques et la présentation de leur application dans les processus de déroulement des travaux, la révision des règles de saisie des données, la garantie d’une gestion systématique et contrôlée des informations pendant toute la période de traitement des données, ainsi que la nouvelle diffusion de règlements et de directives ayant trait au traitement des données. A lire ces premières mesures, on est partagé entre se réjouir de cette nouvelle sensibilité au respect de la loi et s’inquiéter si ce n’était pas encore le cas auparavant.
Le Conseil fédéral n’en défend pas moins l’administration dont il est le supérieur et on ne saurait le lui reprocher. Il justifie également l’activité des services de renseignement, bien que cette activité ne soit pas remise en cause, et regrette que la difficulté de trouver un équilibre entre la protection de l’Etat et la protection de la personnalité des citoyens n’ait pas été mieux prise en compte par la Délégation.
Le Conseil fédéral émet un avis plus nuancé sur différents problèmes soulevés par la Délégation. Alors que la Délégation reprochait aux services de renseignement de ne pas avoir procédé aux contrôles périodiques exigés par la loi et d’avoir introduit des dates de contrôle erronés, le Conseil fédéral estime que des contrôles de qualité initiaux ont été effectués, même si les contrôles périodiques n’ont pas eu lieu comme ils auraient dû. Il précise encore qu’il faut distinguer les dossiers en suspens de ceux qui n’ont pas été contrôlés. Finalement, le Conseil fédéral précise encore que le fait d’avoir procédé à une nouvelle programmation avec une date au 31 décembre 2004 a permis de rétablir les délai de calcul.
Ce point de vue ne peut pas être complètement suivi. Si l’introduction de cette nouvelle date a permis de réparer certaines erreurs dans le calcul des délais, elle a aussi fait croire que des contrôles périodiques avaient eu lieu et empêché la suppression de données obsolètes. S’agissant des dossiers en suspens, si on peut admettre à la décharge du Service d’analyse et de prévention (SAP, devenu le 1er janvier 2010 le Service de renseignement de la Confédération SRC) qu’il n’avait peut être pas renoncé à procéder aux contrôles imposés par la loi, l’analyse de la Délégation doit être retenue : la loi prévoit un contrôle périodique qui n’a pas eu lieu (ou pas eu lieu à temps) et les exigences légales n’ont donc pas été respectées pour ces dossiers.
La Délégation reprochait ensuite l’enregistrement de données qui n’auraient pas dû l’être, comme des données à décharge, par exemple des informations indiquant que la personne n’est pas dangereuse pour l’Etat. En se basant sur un avis de l’Office fédéral de la justice, le Conseil fédéral suisse retient que des personnes qui ne font pas elles-mêmes l’objet de soupçons (mais qui sont contactées par des personnes soupçonnées) peuvent être enregistrées. En résumé, les personnes pour lesquelles ils n’existent qu’une « esquisse de soupçon » peuvent être enregistrées, mais les données doivent être effacées dès que la levée du soupçon est intervenue. Ainsi, une personne ne devrait pas être fichée à décharge, ou du moins pas durablement.
Les améliorations
Une lecture plus attentive de l’avis du Conseil fédéral du 20 octobre 2010 permet cependant de constater que si les recommandations formulées par la Délégations sont en principe admises au premier abord, les solutions de détail envisagées par le Conseil fédéral ne les suivent pas complètement.
La Délégation demandait de verrouiller provisoirement l’accès à toutes les données saisies depuis cinq ans ou plus et qui n’ont pas fait l’objet d’une appréciation générale depuis (recommandation 1). Le Conseil fédéral admet un verrouillage provisoire de l’accès à ces données jusqu’à ce que leur pertinence et leur véracité soient vérifiées. L’accord d’un organisme indépendant serait nécessaire pour accéder aux données qui n’auraient pas encore été contrôlées.
La deuxième recommandation concernait l’enregistrement systématique des photos d’identité prises lors des contrôles de frontières pour les ressortissants de certains pays. Ce programme de contrôle sera abandonné, mais un nouveau projet le remplacera. L’accès aux données recueillies dans ce nouveau programme serait toutefois limité à certaines personnes seulement au sein des services de renseignement. Les données actuellement stockées et qui ne sont pas effectivement utilisées à des fins de protection de l’Etat seront effacées.
Le fait d’enregistrer les informations de citoyens étrangers en raison de leur seule nationalité ou pays de provenance paraît choquant, car elle peut laisser penser que leur nationalité ou provenance constitue un risque pour la sécurité du pays. Nombreux sont pourtant les pays à procéder à des tels contrôles à l’entrée sur leur territoire (voire de manière anticipée). Certains pays vont d’ailleurs jusqu’à procéder systématiquement à l’enregistrement de données biométriques…
Le Conseil fédéral suisse accepte ensuite les recommandations liées à la saisie des données et à l’assurance qualité. Un organe externe apportera le soutien nécessaire et un rapport sera adressé à la Délégation.
En se basant sur l’avis de l’Office fédéral de la justice, le Conseil fédéral s’écarte des recommandations 6 et 9, même s’il donne l’impression de les suivre. Pourront donc continuer à être enregistrées des personnes en soi irréprochables, et qui n’ont malheureusement pas conscience des contacts problématiques qu’elles entretiennent. Les informations à décharge d’une personne ou d’une organisation seront aussi enregistrées dans le système. Le Conseil fédéral tente toutefois de rassurer en précisant que lorsque le soupçon est définitivement levé, les données doivent être effacées rapidement. Il n’empêche que durant une certaine période des personnes qui ne devraient pas l’être sont enregistrées, avec les conséquences que cela peut avoir. Cela n’est pas satisfaisant et s’il n’est vraiment pas possible de procéder autrement, ces données ne devraient être accessibles qu’à un nombre très limité de personnes et porter une mention particulière. Devraient en particulier être évités la transmission à des services étrangers ou le traitement automatique de ces données de la même manière que les autres enregistrements.
Finalement, le Conseil fédéral utilisera l’élaboration de la future loi unifiée sur les services de renseignement pour examiner s’il faut prévoir d’augmenter les moyens techniques à disposition des services de renseignement (écoutes téléphoniques, caméras, micros, etc) et si le droit d’accès de l’individu aux données le concernant ne devrais pas être réglé par les dispositions habituelles de la loi sur la protection des données.
Cet article est le dernier d’une série de trois articles consacrés aux services suisses de renseignement civil. Le premier était consacré aux moyens techniques de surveillance prévus par la loi. Le deuxième présentait les organes de contrôle du renseignement et le dernier rapport de la Délégation des Commission des Chambres fédérales.
La surveillance préventive en Suisse: le contrôle des activités de surveillance (2/3) 6 décembre 2010
Posted by Sylvain Métille in Droit pénal et procédure pénale, Renseignement, Sphère privée, Suisse, Surveillance.add a comment
Les organes de contrôle
On trouve principalement trois organes différents qui interviennent dans le contrôle de l’activité de surveillance effectuée par les services de renseignement civils en Suisse : la Surveillance SR, le Préposé fédéral à la protection des données et à la transparence (PFPDT) et la Délégation des Commissions de gestion des Chambres fédérales (DélCdG).
La surveillance administrative appartient au Conseil fédéral et est actuellement exercée par le Département fédéral de la défense, de la protection de la population et des sports (DDPS), plus précisément par la Surveillance SR, un organe composé de trois personnes et rattaché à l’Etat-Major du chef du Département. S’agissant d’un organe de contrôle interne, les rapports de la Surveillance SR ne sont pas publics.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est un organe indépendant (mais rattaché administrativement à la Chancellerie fédérale) chargé de surveiller de manière générale le respect par les organes fédéraux suisse des normes relatives à la protection des données. Il a encore d’autres compétences en matière de protection des données traitées par des privés ou au sujet de l’application par l’administration suisse du principe de transparence. En matière de renseignement, il intervient surtout dans le cadre du droit d’accès indirect, soit lorsqu’un individu lui demande de vérifier que des données éventuellement traitées à son sujet dans le système d’information du Service de renseignement de la Confédération SRC (en abrégé ISIS, soit la principale base de données des services de renseignement) le sont conformément au droit en vigueur. Dans ce cas, le Préposé a accès à l’ensemble des informations liées à chaque inscription concernant la personne en question. Cette personne n’aura toutefois pas accès aux données, mais le Préposé lui transmettra une réponse standard confirmant qu’aucune donnée la concernant n’a été traitée illégalement ou que, dans le cas d’une éventuelle erreur dans le traitement des données, il a adressé la recommandation d’y remédier au Service de renseignement de la Confédération (le service de renseignement suisse).
La Délégation des Commissions de gestion des Chambres fédérales (DélCdG) exerce la Haute surveillance parlementaire. Elle est composée de membres du Conseil national et du Conseil des Etats et a pour mandat de contrôler en détail les activités dans les domaines de la sécurité de l’Etat et des services de renseignement.
Elle dispose des mêmes droits d’investigation qu’une commission d’enquête parlementaire (CEP) et peut notamment accéder à de nombreux documents couverts par le secret de fonction ou le secret militaire, ainsi que procéder à des auditions.
Les Commissions de gestion et la Délégation des Commissions de gestion des Chambres fédérales publient chaque année un rapport dont une partie concerne l’activité des services de renseignement. Lorsqu’elle est confrontée à des problèmes ou des questions de portée générale, la Délégation procède à une enquête formelle et consigne ses conclusions dans un rapport public, comme elle l’a fait s’agissant du Traitement des données dans le système d’informations relatif à la protection de l’Etat (ISIS).
Le rapport de la délégation relatif à ISIS
De graves lacunes avaient été relevées à la fin des années 1990 par la Commission d’enquête parlementaire alors constituée pour investiguer au sujet des événements survenus au Département fédéral de justice et police (DFJP), communément appelée en Suisse affaire des fiches. On pouvait s’attendre à ce que la collecte d’informations erronées ou inutiles ne soit plus pratiquée aujourd’hui, mais le dernier rapport de la Délégation des commissions de gestion des Chambres fédérales (DélCdG) montre malheureusement que ce n’est pas encore le cas.
Il ressort de ce rapport que la Délégation a découvert lors de ses contrôles que les enregistrements dans ISIS (la principale base de données des services suisses de renseignement civil) ne correspondaient pas suffisamment aux exigences légales. Ainsi, des personnes présentées comme inoffensives ou plus du tout actives étaient enregistrées, alors que d’autres l’étaient uniquement parce qu’elles avaient fait l’objet d’un contrôle des photos d’identité à la frontière ou en raison d’une demande d’informations émanant de l’étranger. Des informations liées à l’engagement politique ou à l’exercice des droits découlant de la liberté d’opinion, d’association et de réunion étaient également enregistrées alors qu’elles n’auraient pas dû l’être. Le service de renseignement suisse, le Service d’analyse et de prévention (SAP, auquel a succédé depuis le 1er janvier 2010 le Service de renseignement de la Confédération SRC), considérait pour sa part qu’il pouvait enregistrer des informations à décharge des personnes concernées, ce qui ne correspond pourtant pas à un danger pour l’Etat comme le confirme le rapport de la Délégation.
En plus d’enregistrer des données que la loi ne permettait pas, le SAP ne procédait pas aux contrôles périodiques requis, ceux-ci ayant précisément pour but de s’assurer que les données conserver sont encore justes et pertinentes. Le contrôle initial consécutif à la saisie des données n’avait lieu que par sondage et les contrôles périodiques qui devaient avoir lieu après cinq ans puis trois ans, et lors de nouvelles inscriptions, n’ont pas été réalisés. Il est difficile de savoir si ces manquements sont dus à un manque de personnel ou un choix du service de préférer la quantité d’information à la qualité, comme cela s’est produit dans de nombreux autres pays. Plus grave encore, de fausses dates de contrôle ont été indiquées. Quelques 16 000 contrôles initiaux et 40 000 contrôles périodiques n’ont pas été effectués ces cinq dernières années, en violation des prescriptions légales. L’effacement de données obsolètes qui aurait dû avoir lieu lors des contrôles périodiques n’a pas pu avoir lieu et des enregistrements ont été conservés bien au-delà de la durée maximale de conservation prévue par le droit suisse.
Globalement, la Délégation a constaté que les services de renseignement reçoivent un grand nombre de données qu’ils ne maîtrisent pas. Au lieu de vérifier l’authenticité des données et de n’enregistrer que les données pertinentes, les services de renseignement ont préféré enregistrer toutes les données et renoncer aux contrôles prévus. Ils disposent ainsi d’un grand nombre d’informations peu utiles. D’autre part, on constate à la lecture du rapport de la Délégation que les agents ne sont visiblement pas assez sensibles à la question de la protection des données et des droits des citoyens qui en découlent. Cela est d’autant plus inquiétant que ces droits ne sont pas là uniquement pour restreindre l’activité des services de renseignement, mais parce qu’ils ont une légitimité propre que l’Etat doit également respecter.
Cet article est le deuxième d’une série de trois articles consacrés aux services suisses de renseignement civil. Le premier était consacré aux moyens techniques de surveillance que la loi autorise. Le troisième présente la prise de position du gouvernement suisse face au rapport de la Délégation des Commissions de gestion des Chambres fédérales.
