jump to navigation

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013

Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.

Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.

Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.

Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.

La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.

L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.

L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.

Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.

Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.

L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.

Révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication 15 décembre 2011

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

En juin 2011, le Tribunal administratif fédéral (TAF) avait constaté que le Service Surveillance de la correspondance par poste et télécommunication (SCPT) n’avait pas la compétence d’adopter des directives techniques concernant la surveillance d’un accès à Internet au-delà de la surveillance des courriers électroniques parce que l’Ordonnance du Conseil fédéral avait malencontreusement réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. Si la surveillance de l’accès Internet était néanmoins légale et conforme au Code de procédure pénale fédéral (CPP) et à la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), le Service ne pouvait pas adopter de directives techniques contraignantes pour les fournisseurs d’accès.

Ce problème est désormais corrigé ou le sera sous peu. Le Conseil fédéral a en effet adopté la révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et fixé son entrée en vigueur au 1er janvier 2012. Par rapport au projet mis en circulation, plusieurs modifications ont été apportées et notamment l’expression «fournisseur Internet» a été remplacée par «fournisseur d’accès Internet». Les obligations relatives à la surveillance de l’Internet s’appliquent donc uniquement aux fournisseurs d’accès à internet, c’est-à-dire des prestataires qui fournissent concrètement à leurs clients l’accès à internet et une adresse IP. En revanche, les fournisseurs de seuls services de messagerie instantanée, de blogs et de réseaux sociaux notamment, de même que les exploitants de réseaux domestiques ou professionnels ou d’autres réseaux privés ne seront pas tenus d’exécuter des surveillances. La révision de l’Ordonnance ne modifie pas les possibilités de surveillance (elles sont régies par le CPP et éventuellement la LSCPT) mais seulement les obligations à remplir par les fournisseurs. Ces derniers ont douze mois pour s’adapter.

Pour aller plus loin
Modifications de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT)
Modifications de l’Ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (Ordonnance EI-SCPT)
Rapport explicatif concernant la modification de l’ordonnance sur la surveillance par poste et télécommunication
Rapport sur les résultats de l’audition

Révision totale de la LSCPT
A signaler encore que le Conseil fédéral a chargé le Département fédéral de justice et police de préparer un message à l’intention du Parlement et a défini certaines lignes directives, notamment le fait que les chevaux de Troie ne pourront être utilisés que pour la surveillance de la correspondance par télécommunication et non la perquisition d’ordinateurs à distance.

La synthèse des résultats de la procédure de consultation relative au rapport et à l’avant-projet concernant la modification de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) a aussi été publiée. Ce document résume les 106 avis exprimés sur cet avant-projet.

Logiciels d’espionnage utilisés en Suisse: l’analyse 20 octobre 2011

Posted by Sylvain Métille in Droit pénal et procédure pénale, Logiciel, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
5 comments

L’utilisation par la police d’un logiciel d’espionnage a fait les grands titres de la presse en Allemagne puis Suisse et nombreux sont ceux qui se sont étonnés de l’existence et l’utilisation de ces logiciels. Si ce n’est pas une surprise, c’est toutefois l’occasion d’apporter quelques précisions.

De quoi parle-t-on?
Le logiciel d’espionnage est également appelé Government-Software ou cheval de Troie (car comme dans la mythologie grecque malgré son apparente innocence il renferme de petits soldats ou de braves espions prêts à en jaillir dès que les Troyens auront détourné leur attention). Il s’agit d’un simple programme informatique en apparence anodin, qui une fois installé permet de prendre le contrôle à distance de l’ordinateur sur lequel il se trouve, et évidemment d’en surveiller en temps réel tout le contenu. Le détenteur de l’ordinateur ne s’en rend normalement pas compte (c’est le but!). Un logiciel d’espionnage peut être installé en accédant physiquement à la machine mais aussi par le biais d’une connexion à distance (courriel, Internet, etc.)

Les chevaux de Troie sont en particulier utilisés pour surveiller les discussions par messagerie instantanée (MSN) ou la téléphonie par Internet (VoIP, Skype,…) que les méthodes habituelles permettent difficilement d’appréhender. Parfois le programme espionne le clavier et enregistre, voire transmet, toutes les informations frappées. On parle alors d’espion clavier logique (par opposition à l’espion clavier matériel qui se fixe dans le clavier ou plus simplement sous la forme d’une rallonge entre la prise du clavier et l’ordinateur). Le cheval de droit peut finalement ne transmettre que les informations liées à certains programmes ou des captures d’écrans.

Est-ce bien légal?
Trois situations sont à distinguer: l’utilisation d’un cheval de Troie par une personne privée, par l’Etat en dehors d’une enquête pénale et dans le cadre d’une enquête pénale. Les deux premières utilisations sont clairement contraires au droit. La troisième mérite plus de développements.

Dans le cadre d’une enquête pénale, l’Etat a le droit de recourir à des méthodes particulières d’investigation, par exemple des perquisitions ou des écoutes téléphoniques. La Cour européenne des droits de l’Homme à Strasbourg comme le Tribunal fédéral ont eu à de nombreuses reprises la possibilité de confirmer la légalité de ces pratiques. Des conditions strictes et une procédure précise doit toutefois être suivie. Depuis le 1er janvier 2011, ces règles sont les mêmes dans tous les cantons suisses et figurent dans le Code de procédure pénale fédéral (CPP). Une surveillance préventive (par exemple par les services de renseignement) ne correspond pas à une enquête pénale et est donc illégale.

Voilà pour le cadre. Alors que dit la loi ? Et bien rien, ou pas grand-chose est c’est bien cela qui est compliqué. De manière simple, on peut dire que l’utilisation d’un logiciel de surveillance par la police n’est possible que si le CPP le permet. Mais cela ne signifie pas encore que la loi doive contenir exactement les termes «logiciel de surveillance» ou encore «cheval de Troie». Il suffit que le législateur ait inclus cette technique dans une des catégories qu’il a choisi d’autoriser. Toute la difficulté est alors de savoir, lorsqu’une technique n’a pas vraiment été évoquée, si elle a été volontairement exclue (et dans ce cas elle serait illégale) ou si elle a été implicitement incluse (elle serait alors permise). Cette réponse est apportée par les tribunaux en interprétant la loi. En attendant une réponse claire, deux camps s’opposent que cela soit par conviction juridique (ceux qui pensent que la loi couvre cette technique contre ceux qui pensent au contraire que la loi ne la prévoit pas) ou par intérêt (ceux qui veulent pouvoir l’utiliser contre ceux qui veulent l’interdire).

Les autres mesures de surveillances
Le CPP prévoit notamment des mesures de surveillance de la correspondance par poste et télécommunications ainsi que des autres mesures techniques de surveillance. Les écoutes téléphoniques font partie de la première et il est tentant d’y classer le logiciel espion utilisé pour écouter des communications over IP (par internet): on surveille la transmission d’informations par le biais d’installations et de techniques de communication. Mais beaucoup d’autres données que les données transmises peuvent également être surveillées et en particulier le contenu et l’activité de l’ordinateur, voire l’observation de ce qui se passe dans l’environnement de la machine. A mon sens il faut plutôt voir un autre dispositif de surveillance au sens de l’art. 280 CPP (autres mesures techniques de surveillance) tant qu’une disposition spécifique n’est pas introduite dans le CPP. Il n’a pas exactement pour but d’enregistrer des conversations non publiques ou des actions se déroulant dans des lieux qui ne sont pas publics ou librement accessibles (comme le prévoit la disposition légale), mais il entre dans le champ plus large de la récolte d’informations qui ne sont pas librement accessibles, ce que permet l’interprétation de l’art. 280 CPP dans ce sens. L’utilisation de ces logiciels était largement connue avant l’adoption du Code de procédure et rien n’indique que le législateur a voulu l’exclure.

Les conséquences
Le cheval de Troie ne peut donc être utilisé qu’aux conditions prévues pour les autres mesures de surveillance. Si ces conditions ne sont pas respectées et en particulier que l’autorisation nécessaire n’a pas été accordée, la surveillance serait illégale et les preuves recueillies complètement inexploitables.

La surveillance n’est autorisée que dans le cas d’une enquête visant la commission d’infractions particulières figurant dans une liste précise, la même que celle qui est utilisée pour les écoutes téléphoniques ou la surveillance du courrier électronique. Elle est ordonnée par le ministère public mais doit également être confirmée par une autorité judiciaire indépendante, le tribunal des mesures de contrainte.

Comme pour toute surveillance, les principes de subsidiarité et de proportionnalité doivent être respectés. Cela signifie qu’une telle surveillance ne doit être admise que si aucune autre mesure ne peut atteindre ce but et que l’atteinte à la sphère privée doit être aussi limitée que possible. Ce dernier élément me paraît particulièrement important et pourrait ne pas être appliqué correctement. Le cheval de Troie donne accès à un nombre énorme d’informations, dont un grand nombre ne sont pas nécessaires à l’enquête. Pour cette raison, l’ordre de surveillance devrait indiquer précisément ce qui est recherché et quelles parties de la machine sont visées (emails, messagerie instantanée, VoIP, images, documents, etc.) pour éviter une surveillance disproportionnée. La police ne recevrait ou n’aurait le droit que d’exploiter les informations couvertes par l’autorisation.

Finalement la personne surveillée doit être informée à l’issue de la surveillance de manière complète, ce qui lui donne également la possibilité de faire contrôler la légalité et le bien-fondé de la surveillance par une autre autorité judiciaire.

Une révision en cours
Un avant-projet de révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications prévoit d’introduire un nouvel art. 270bis CPP qui autoriserait expressément l’installation d’un « cheval de Troie » et le décryptage de données. Cette mesure y est conçue comme une mesure de surveillance de la correspondance subsidiaire aux autres mesures de surveillance de la correspondance par télécommunication, bien qu’elle permette finalement d’accéder à l’ensemble des données présentes sur le système informatique, y compris celles qui ne font pas partie de la correspondance. Il serait à mon avis plus judicieux d’ajouter une ligne à l’article 280 et d’en faire une autre mesure technique de surveillance, au lieu d’ajouter un nouvel article parmi la surveillance de la correspondance avec des conditions un peu différentes comme le propose le Conseil fédéral. Un projet devrait être publié prochainement.

Les craintes
Le débat public se concentre sur la question de savoir si la loi interdit ou non cette mesure et si la loi est bonne ou mauvaise. A mon avis la loi permet d’utiliser un cheval de Troie à des conditions strictes et l’attention doit être portée sur le respect de ces conditions. Il faudrait par exemple plutôt s’assurer que le tribunal des mesures de contraintes n’autorise qu’avec une grande retenue cette mesure de surveillance, que la surveillance soit limitée au strict nécessaire (ce que l’ordre de surveillance doit préciser) et que l’information transmise à la personne qui a été surveillée soit complète et compréhensible. Le risque d’abus ne me semble pas tant être dans la rédaction de la loi mais plutôt dans sa mauvaise application, par exemple si les autorités compétentes devaient manquer de temps ou de connaissances techniques suffisantes.

Deux décisions du Tribunal administratif fédéral concernant la surveillance de l’accès à Internet 6 octobre 2011

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Logiciel, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

La première Cour du Tribunal administratif fédéral (TAF) s’est prononcée deux fois les 21 et 23 juin 2011 à la suite de recours déposés contre des décisions du Service Surveillance de la correspondance par poste et télécommunication (SCPT). Ces deux affaires concernaient la surveillance d’un accès à Internet demandé par le ministère public du canton de Zürich: surveillance d’un accès à large bande du réseau fixe (A-8284/2010) et surveillance d’un accès par un numéro de téléphone mobile (A-8267/2010).

Contrairement à ce que l’on pourrait croire au premier abord, la question posée par ces arrêts n’est pas de savoir si la surveillance d’un accès à Internet est légale, mais si la méthode exigée par le Service SCPT peut être imposée aux fournisseurs de service de télécommunication (FST). La surveillance d’un accès à Internet fait partie de la surveillance de la correspondance (art. 269ss CPP et est expressément mentionnée dans les art. 23ss OSCPT) Le TAF ne jugeait pas le recours d’une personne surveillée mais celui d’un FST. En simplifiant, on a d’un côté le Service SCPT qui veut faire respecter ses directives et de l’autre le fournisseur service de télécommunication qui veut limiter ses investissements et frais en matière de surveillance.

Lois, ordonnances, et directives
Les mesures de surveillance, notamment des communications, étaient réglées d’abord par la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Aujourd’hui ces disposition ont été en partie remplacées par le Code de procédure pénale fédéral, mais en partie seulement. Si les conditions de surveillance et la procédure d’autorisation et de contrôle en ressortisse, les obligations des fournisseurs sont toujours régies par la LSCPT. Une ordonnance du Conseil fédéral règle ensuite les détails techniques conformément aux délégations contenues dans la LSCPT: c’est l’Ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT). Le service SCPT émet finalement des directives, qui ne sont malheureusement pas (encore) publiques, mais s’inspirent largement des normes de l’Institut européen des normes de télécommunication (ETSI).

Le Service SCPT n’était pas compétent pour adopter une directive (contraignante)
Sans trop entrer dans les détails techniques de ces deux affaires, on peut retenir que le procureur a ordonnée la surveillance de tout le trafic Internet de l’accès à large bande, respectivement du numéro de téléphone mobile. Le service SCPT a ordonné au fournisseur de service de télécommunication de dupliquer le trafic Internet et d’en remettre les données selon la directive établie.

L’art. 24 de l’OSCPT dresse la liste des types de surveillance des accès à Internet qui peuvent être ordonnées et mentionne des informations relatives au courrier électronique ainsi qu’aux données dites accessoires (données de facturation). Alors que la loi vise la surveillance des communications, le Conseil fédéral a réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. La compétence du Service SCPT d’adopter des directives est donc limitée à cette matière et le Tribunal a naturellement admis le recours du fournisseur de service, non sans souligner le besoin urgent d’adapter l’Ordonnance à la réalité technique. L’OSCPT est d’ailleurs actuellement en cours de révision.

Comment surveiller Internet aujourd’hui ?
La question la plus intéressante est certainement celles que n’a pas traité le Tribunal (parce qu’il n’en était pas saisi): le ministère public peut-il ordonner la surveillance d’un accès à Internet ? La réponse est certainement oui, mais le problème est de savoir comment. A une extrémité, l’autorité de poursuite pénale peut ordonner la surveillance d’un accès à Internet étant donné que le CPP le permet. A l’autre extrémité le fournisseur d’accès n’a pas d’obligation de disposer des compétences et du matériel nécessaire pour procéder à une telle surveillance d’un accès à Internet (ni de se conformer aux directives techniques du service).

La situation ressemble fortement à celle de la surveillance de la correspondance à l’intérieur de réseaux de télécommunications internes ou de centraux domestiques. L’exploitant doit prêter son concours ou tolérer la surveillance mais n’a pas d’obligation de l’exécuter. Le service exécute lui-même la surveillance ou la fait exécuter à ses frais (art. 28s OSCPT).

A mon avis il faut procéder par analogie pour la surveillance d’un accès à Internet, d’autant que le Service SCPT semble disposer d’équipement mobile lui permettant de mener à bien la surveillance.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 700 autres abonnés