Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013
Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.
Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.
Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.
Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.
L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
Mesurer la société de l’information, le rapport 2012 de l’UIT 6 novembre 2012
Posted by Sylvain Métille in Liens, Suisse, Téléphonie, Technique, USA.add a comment
L’Union internationale des télécommunications (UIT, soit l’institution spécialisée des Nations Unies pour les technologies de l’information et de la communication) a publié le rapport 2012 «Mesurer la société de l’information».
Les principaux chiffres confirment que les technologies de l’information et de la communication (TIC) continuent de progresser partout dans le monde, bénéficiant de la baisse continue des prix de la téléphonie et des services Internet large bande.
Selon ce classement, la République de Corée est le pays du monde le plus avancé dans le domaine des TIC, suivie par la Suède, le Danemark, l’Islande et la Finlande. La Suisse pointe à la 10e place. A noter que sur les dix pays en tête du classement, huit sont des pays européens et deux asiatiques (le Japon est huitième). Les trente premiers pays sont des pays à revenus élevés.
L’UIT a classé 155 pays en se basant sur un indice qu’elle a mis au point en tenant compte du niveau d’accès aux TIC, de l’utilisation des TIC et des compétences dans ce domaine. Ces données sont ensuites comparées aux résultats de 2010 et de 2011.
Un fort développement de la téléphonie mobile dans les pays en développement
Les pays qui ont vu les plus forts développements en général sont le Bahreïn, le Brésil, le Ghana, le Kenya, le Rwanda et l’Arabie saoudite. Les pays en développement ont également montré une très forte croissance du marché de la téléphonie mobile.
La croissance de l’Internet à large bande est toujours aussi importante (40% à l’échelle mondiale et 78% dans les pays en développement). Il y a désormais dans le monde autant d’abonnements à l’Internet à large bande mobiles que fixes.
Au niveau mondial, les prix moyens ont baissé entre 2008 et 2011 de 30% (téléphonie fixe, services mobiles et services Internet large bande fixe). Des inégalités importantes subsistent entre pays: alors qu’un forfait mensuel de base pour l’accès à Internet à haut débit représentait à fin 2011 1,7% du revenu national brut par habitant dans les pays développés, il coûtait plus de 40% de ce même revenu dans les pays en développement.
En Suisse
En 2011, 90% des foyers Suisse possèdent un ordinateur et 89% un accès à Internet. La Suisse est un des pays ayant le plus fort taux de pénétration au monde en ce qui concerne la téléphonie fixe et l’accès à Internet fixe.
Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012
Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.add a comment
Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.
La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.
La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.
L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.
Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.
De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.
L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).
Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).
Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.
Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.
Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.
Le Tribunal fédéral rappelle les règles en matière de découvertes fortuites lors d’écoutes téléphoniques 22 mai 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.2 comments
Le Tribunal fédéral a rendu au début de ce mois une décision en matière de surveillance téléphonique (1B_211/2012). Le Ministère public vaudois avait obtenu du Tribunal des mesures de contrainte l’autorisation nécessaire pour surveiller le téléphone de X. Cette surveillance a révélé que l’amie intime de X. (que nous appellerons Y.) participait également activement à ce trafic de stupéfiants. Le Ministère public a alors demandé au Tribunal des mesures de contrainte l’autorisation de surveiller un raccordement téléphonique utilisé par Y. conformément à l’art. 278 al. 3 du code de procédure pénale (CPP). Cette autorisation aurait permis d’exploiter contre Y. les éléments provenant de la découverte fortuite issue de la surveillance du raccordement de X.. La procédure est jusque-là parfaitement conforme.
Une découverte fortuite
Le principe de base est qu’une autorisation du Tribunal des mesures de contrainte est nécessaire pour mettre en place une mesure de surveillance. Mais il peut aussi arriver que pendant l’exécution d’une mesure de surveillance correctement autorisée, des éléments imprévus soient découverts. On parle alors de découvertes fortuites.
Si les éléments découverts portent sur d’autres infractions que celles qui ont motivé la mise en place de la surveillance, elles ne seront utilisables que si ces infractions auraient pu justifier une surveillance. Si les éléments découverts portent sur une autre personne, ils ne seront exploitables que si les conditions pour mettre en place une surveillance de cette personne sont remplies.
Le Tribunal des mesures de contrainte s’écarte de la loi
De manière très surprenante le Tribunal des mesures de contrainte a estimé qu’il n’avait pas besoin de délivrer une autorisation car les données issues de la surveillance de X. pouvait être utilisée contre Y.. Le Tribunal considère qu’il ne s’agit pas d’une découverte fortuite pour laquelle une autorisation est nécessaire car X. et Y. appartiennent au même réseau de trafiquants. Ce raisonnement est erroné car un ordre de surveillance se limite à une personne et à des infractions précises. Admettre le contraire permettrait de mener une enquête contre une personne pour obtenir des informations sur une autre, ce que la loi veut précisément éviter.
Le Ministère public vaudois a fait usage du droit de recours récemment admis par le Tribunal fédéral et demande que le Tribunal fédéral ordonne au Tribunal des mesures de contrainte de rendre une décision et d’autoriser l’exploitation. Le Ministère public aurait aussi pu ne pas recourir et considérer que ses agissements étaient couverts par la décision du Tribunal des mesures de contrainte disant qu’un autorisation n’était pas nécessaire.
On doit néanmoins saluer ce choix de s’assurer d’une juste application de la loi dans un domaine où l’interprétation doit être restrictive. Peut-être aussi le Ministère public vaudois a-t-il voulu se couvrir et éviter qu’ultérieurement Y. ne puisse contester la légalité des preuves et les faire écarter de la procédure.
C’est donc sans grande surprise que le Tribunal fédéral a admis le recours et renvoyé le dossier au Tribunal des mesures de contrainte pour qu’il autorise la surveillance. L’arrêt est bref et confirme l’application de dispositions légales claires.
Google poursuit son chemin malgré les oppositions 29 février 2012
Posted by Sylvain Métille in Google, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique, USA.1 comment so far
Impossible d’y échapper lorsque l’on utilise les services de Google, le géant américain met à jour, et surtout unifie, les règles de confidentialité. Une seule version des règles en matière de protection des données et de la sphère privée pour remplacer une soixantaine de textes différents, voilà qui devrait plaire. Sauf qu’avec cette modification, Google ne fera plus la distinction entre les informations récoltées pour les différents services et les informations laissées par l’utilisateur de YouTube, le moteur de recherche Google, ou encore d’autres produits Google seront combinées.
De nombreuses réactions
Depuis cette annonce les réactions n’ont pas cessées. Aux USA, ce ne sont pas moins que les avocats généraux de 36 Etats qui se sont plaint du fait que les employés gouvernementaux utilisant des téléphones avec Android ne pourront plus retirer les données partagées. Le Congrès américain a aussi demandé des explications supplémentaires.
Ces derniers jours, la CNIL française a demandé un report de l’introduction des nouvelles règles à Google, de même que le groupe Article 29. Ces autorités ont réitéré leurs demandes le 27 février et ont ouvert une enquête.
Google a toutefois confirmé l’entrée en vigueur comme prévue demain 1er mars des nouvelles règles. Le bras de fer est lancé…
La recherche par champ d’antennes confirmée par le Tribunal fédéral 17 février 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.add a comment
Dans un arrêt rendu le 3 novembre 2011 le Tribunal fédéral a confirmé que la recherche par champ d’antennes était légale et prévue par le Code de procédure pénale fédéral (CPP) (1B_376/2011, destiné à publication au recueil officiel).
Lorsqu’un téléphone portable entre dans le champ d’une antenne téléphonique, il communique avec elle, et cela même si aucun appel n’est effectué. La recherche par champ d’antennes est donc la production par l’opérateur téléphonique propriétaire de l’antenne de la liste des numéros de téléphone qui ont activé une antenne à un moment précis.
Le Tribunal fédéral a suivi l’avis de la doctrine majoritaire (que j’avais également exprimé dans le livre Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, p. 150). L’art. 273 CPP intitulé « données relatives au trafic et à la facturation et identification des usagers » vise premièrement la récolte de données dites accessoires liées à un raccordement connu mais rien n’empêche son application à une antenne. Comme de nombreuses informations liées à des personnes qui ne sont pas visées par l’enquête (donc non soupçonnées) peuvent être concernées, une sélection particulière devra être effectuée.
Des conditions strictes comme pour les autres mesures de surveillance
La recherche par champ d’antennes est donc légale mais elle doit évidemment respecter les conditions habituelles pour la récolte de données accessoires (pas de surveillance préventive, existence de graves soupçons, gravité de l’infraction suffisante, autorisation judiciaire, pas de transmission du contenu, etc.).
En principe, et afin de respecter le principe de proportionnalité, un juge n’autorisera que la production d’un nombre limité de numéros. La requête peut par exemple ne concerner qu’une période très réduite, viser un ou plusieurs numéros connus ou un certain type de numéro (indicatif du pays ou numéro recherché partiellement connu), voire un type d’activité (appel reçu, émis, dévié, non répondu, etc.). Ces critères sont évidemment combinables et les données transmises peuvent être rendues anonymes.
Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.add a comment
«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.
Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.
L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.
Révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication 15 décembre 2011
Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
En juin 2011, le Tribunal administratif fédéral (TAF) avait constaté que le Service Surveillance de la correspondance par poste et télécommunication (SCPT) n’avait pas la compétence d’adopter des directives techniques concernant la surveillance d’un accès à Internet au-delà de la surveillance des courriers électroniques parce que l’Ordonnance du Conseil fédéral avait malencontreusement réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. Si la surveillance de l’accès Internet était néanmoins légale et conforme au Code de procédure pénale fédéral (CPP) et à la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), le Service ne pouvait pas adopter de directives techniques contraignantes pour les fournisseurs d’accès.
Ce problème est désormais corrigé ou le sera sous peu. Le Conseil fédéral a en effet adopté la révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et fixé son entrée en vigueur au 1er janvier 2012. Par rapport au projet mis en circulation, plusieurs modifications ont été apportées et notamment l’expression «fournisseur Internet» a été remplacée par «fournisseur d’accès Internet». Les obligations relatives à la surveillance de l’Internet s’appliquent donc uniquement aux fournisseurs d’accès à internet, c’est-à-dire des prestataires qui fournissent concrètement à leurs clients l’accès à internet et une adresse IP. En revanche, les fournisseurs de seuls services de messagerie instantanée, de blogs et de réseaux sociaux notamment, de même que les exploitants de réseaux domestiques ou professionnels ou d’autres réseaux privés ne seront pas tenus d’exécuter des surveillances. La révision de l’Ordonnance ne modifie pas les possibilités de surveillance (elles sont régies par le CPP et éventuellement la LSCPT) mais seulement les obligations à remplir par les fournisseurs. Ces derniers ont douze mois pour s’adapter.
Pour aller plus loin
Modifications de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT)
Modifications de l’Ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (Ordonnance EI-SCPT)
Rapport explicatif concernant la modification de l’ordonnance sur la surveillance par poste et télécommunication
Rapport sur les résultats de l’audition
Révision totale de la LSCPT
A signaler encore que le Conseil fédéral a chargé le Département fédéral de justice et police de préparer un message à l’intention du Parlement et a défini certaines lignes directives, notamment le fait que les chevaux de Troie ne pourront être utilisés que pour la surveillance de la correspondance par télécommunication et non la perquisition d’ordinateurs à distance.
La synthèse des résultats de la procédure de consultation relative au rapport et à l’avant-projet concernant la modification de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) a aussi été publiée. Ce document résume les 106 avis exprimés sur cet avant-projet.
Logiciels d’espionnage utilisés en Suisse: l’analyse 20 octobre 2011
Posted by Sylvain Métille in Droit pénal et procédure pénale, Logiciel, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.5 comments
L’utilisation par la police d’un logiciel d’espionnage a fait les grands titres de la presse en Allemagne puis Suisse et nombreux sont ceux qui se sont étonnés de l’existence et l’utilisation de ces logiciels. Si ce n’est pas une surprise, c’est toutefois l’occasion d’apporter quelques précisions.
De quoi parle-t-on?
Le logiciel d’espionnage est également appelé Government-Software ou cheval de Troie (car comme dans la mythologie grecque malgré son apparente innocence il renferme de petits soldats ou de braves espions prêts à en jaillir dès que les Troyens auront détourné leur attention). Il s’agit d’un simple programme informatique en apparence anodin, qui une fois installé permet de prendre le contrôle à distance de l’ordinateur sur lequel il se trouve, et évidemment d’en surveiller en temps réel tout le contenu. Le détenteur de l’ordinateur ne s’en rend normalement pas compte (c’est le but!). Un logiciel d’espionnage peut être installé en accédant physiquement à la machine mais aussi par le biais d’une connexion à distance (courriel, Internet, etc.)
Les chevaux de Troie sont en particulier utilisés pour surveiller les discussions par messagerie instantanée (MSN) ou la téléphonie par Internet (VoIP, Skype,…) que les méthodes habituelles permettent difficilement d’appréhender. Parfois le programme espionne le clavier et enregistre, voire transmet, toutes les informations frappées. On parle alors d’espion clavier logique (par opposition à l’espion clavier matériel qui se fixe dans le clavier ou plus simplement sous la forme d’une rallonge entre la prise du clavier et l’ordinateur). Le cheval de droit peut finalement ne transmettre que les informations liées à certains programmes ou des captures d’écrans.
Est-ce bien légal?
Trois situations sont à distinguer: l’utilisation d’un cheval de Troie par une personne privée, par l’Etat en dehors d’une enquête pénale et dans le cadre d’une enquête pénale. Les deux premières utilisations sont clairement contraires au droit. La troisième mérite plus de développements.
Dans le cadre d’une enquête pénale, l’Etat a le droit de recourir à des méthodes particulières d’investigation, par exemple des perquisitions ou des écoutes téléphoniques. La Cour européenne des droits de l’Homme à Strasbourg comme le Tribunal fédéral ont eu à de nombreuses reprises la possibilité de confirmer la légalité de ces pratiques. Des conditions strictes et une procédure précise doit toutefois être suivie. Depuis le 1er janvier 2011, ces règles sont les mêmes dans tous les cantons suisses et figurent dans le Code de procédure pénale fédéral (CPP). Une surveillance préventive (par exemple par les services de renseignement) ne correspond pas à une enquête pénale et est donc illégale.
Voilà pour le cadre. Alors que dit la loi ? Et bien rien, ou pas grand-chose est c’est bien cela qui est compliqué. De manière simple, on peut dire que l’utilisation d’un logiciel de surveillance par la police n’est possible que si le CPP le permet. Mais cela ne signifie pas encore que la loi doive contenir exactement les termes «logiciel de surveillance» ou encore «cheval de Troie». Il suffit que le législateur ait inclus cette technique dans une des catégories qu’il a choisi d’autoriser. Toute la difficulté est alors de savoir, lorsqu’une technique n’a pas vraiment été évoquée, si elle a été volontairement exclue (et dans ce cas elle serait illégale) ou si elle a été implicitement incluse (elle serait alors permise). Cette réponse est apportée par les tribunaux en interprétant la loi. En attendant une réponse claire, deux camps s’opposent que cela soit par conviction juridique (ceux qui pensent que la loi couvre cette technique contre ceux qui pensent au contraire que la loi ne la prévoit pas) ou par intérêt (ceux qui veulent pouvoir l’utiliser contre ceux qui veulent l’interdire).
Les autres mesures de surveillances
Le CPP prévoit notamment des mesures de surveillance de la correspondance par poste et télécommunications ainsi que des autres mesures techniques de surveillance. Les écoutes téléphoniques font partie de la première et il est tentant d’y classer le logiciel espion utilisé pour écouter des communications over IP (par internet): on surveille la transmission d’informations par le biais d’installations et de techniques de communication. Mais beaucoup d’autres données que les données transmises peuvent également être surveillées et en particulier le contenu et l’activité de l’ordinateur, voire l’observation de ce qui se passe dans l’environnement de la machine. A mon sens il faut plutôt voir un autre dispositif de surveillance au sens de l’art. 280 CPP (autres mesures techniques de surveillance) tant qu’une disposition spécifique n’est pas introduite dans le CPP. Il n’a pas exactement pour but d’enregistrer des conversations non publiques ou des actions se déroulant dans des lieux qui ne sont pas publics ou librement accessibles (comme le prévoit la disposition légale), mais il entre dans le champ plus large de la récolte d’informations qui ne sont pas librement accessibles, ce que permet l’interprétation de l’art. 280 CPP dans ce sens. L’utilisation de ces logiciels était largement connue avant l’adoption du Code de procédure et rien n’indique que le législateur a voulu l’exclure.
Les conséquences
Le cheval de Troie ne peut donc être utilisé qu’aux conditions prévues pour les autres mesures de surveillance. Si ces conditions ne sont pas respectées et en particulier que l’autorisation nécessaire n’a pas été accordée, la surveillance serait illégale et les preuves recueillies complètement inexploitables.
La surveillance n’est autorisée que dans le cas d’une enquête visant la commission d’infractions particulières figurant dans une liste précise, la même que celle qui est utilisée pour les écoutes téléphoniques ou la surveillance du courrier électronique. Elle est ordonnée par le ministère public mais doit également être confirmée par une autorité judiciaire indépendante, le tribunal des mesures de contrainte.
Comme pour toute surveillance, les principes de subsidiarité et de proportionnalité doivent être respectés. Cela signifie qu’une telle surveillance ne doit être admise que si aucune autre mesure ne peut atteindre ce but et que l’atteinte à la sphère privée doit être aussi limitée que possible. Ce dernier élément me paraît particulièrement important et pourrait ne pas être appliqué correctement. Le cheval de Troie donne accès à un nombre énorme d’informations, dont un grand nombre ne sont pas nécessaires à l’enquête. Pour cette raison, l’ordre de surveillance devrait indiquer précisément ce qui est recherché et quelles parties de la machine sont visées (emails, messagerie instantanée, VoIP, images, documents, etc.) pour éviter une surveillance disproportionnée. La police ne recevrait ou n’aurait le droit que d’exploiter les informations couvertes par l’autorisation.
Finalement la personne surveillée doit être informée à l’issue de la surveillance de manière complète, ce qui lui donne également la possibilité de faire contrôler la légalité et le bien-fondé de la surveillance par une autre autorité judiciaire.
Une révision en cours
Un avant-projet de révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications prévoit d’introduire un nouvel art. 270bis CPP qui autoriserait expressément l’installation d’un « cheval de Troie » et le décryptage de données. Cette mesure y est conçue comme une mesure de surveillance de la correspondance subsidiaire aux autres mesures de surveillance de la correspondance par télécommunication, bien qu’elle permette finalement d’accéder à l’ensemble des données présentes sur le système informatique, y compris celles qui ne font pas partie de la correspondance. Il serait à mon avis plus judicieux d’ajouter une ligne à l’article 280 et d’en faire une autre mesure technique de surveillance, au lieu d’ajouter un nouvel article parmi la surveillance de la correspondance avec des conditions un peu différentes comme le propose le Conseil fédéral. Un projet devrait être publié prochainement.
Les craintes
Le débat public se concentre sur la question de savoir si la loi interdit ou non cette mesure et si la loi est bonne ou mauvaise. A mon avis la loi permet d’utiliser un cheval de Troie à des conditions strictes et l’attention doit être portée sur le respect de ces conditions. Il faudrait par exemple plutôt s’assurer que le tribunal des mesures de contraintes n’autorise qu’avec une grande retenue cette mesure de surveillance, que la surveillance soit limitée au strict nécessaire (ce que l’ordre de surveillance doit préciser) et que l’information transmise à la personne qui a été surveillée soit complète et compréhensible. Le risque d’abus ne me semble pas tant être dans la rédaction de la loi mais plutôt dans sa mauvaise application, par exemple si les autorités compétentes devaient manquer de temps ou de connaissances techniques suffisantes.
