Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

Un policier qui intervient sous un faux nom sur le web n’est pas un agent infiltré

Le policier qui se fait passer pour une jeune fille sur un forum de discussions sur Internet en se basant sur un nom de fantaisie, des mensonges, une photo et une adresse électronique ne doit pas être qualifié d’agent infiltré selon un arrêt récent du Tribunal fédéral (6B_1293/2015). Une autorisation judiciaire n’est donc pas nécessaire.

Manuela_13
La police zurichoise avait participé sous le pseudonyme «manuela_13» à une discussion sur un forum de discussion (chat) du site Internet de Bluewin. Lorsque l’homme qui croyait s’entretenir avec la fille mineure lui a proposé une rencontre en vue de relations sexuelles, c’est la police qu’il a rencontrée. Le Tribunal fédéral a toutefois retenu que les preuves avaient été recueillies illégalement : toute prise de contact avec un suspect aux fins d’élucidation d’une infraction par un fonctionnaire de police qui n’est pas reconnaissable comme tel devait être qualifiée d’investigation secrète au sens de la LFIS (ATF 134 IV 266). C’était avant l’entrée en vigueur du Code de procédure pénale fédéral (CPP).

Le CPP et les recherches secrètes
Le CPP est ensuite entré en vigueur et il a été complété par des dispositions sur les recherches secrètes. L’art. 285a CPP définit désormais l’investigation secrète comme le fait, pour un policier, d’infiltrer un milieu criminel pour élucider des infractions particulièrement graves, en nouant des contacts avec des individus et en instaurant avec eux une relation de confiance particulière par le biais d’actions ciblées menées sous le couvert d’une fausse identité dont il est muni dans la durée et qui est attestée par un titre (identité d’emprunt).

Les recherches secrètes sont définies à l’art. 298a CPP comme la simple faculté pour un policier de tenter d’élucider des crimes ou des délits dans le cadre d’interventions de courte durée où son identité et sa fonction ne sont pas reconnaissables. Il n’est pas muni d’une identité d’emprunt mais il peut en revanche donner de fausses indications sur son identité.

L’investigation secrète (agent infiltré) est soumise à des conditions strictes et exige notamment une autorisation judiciaire. Les recherches secrètes sont simplement de la compétence de la police ou du ministère public si elles s’étendent sur plus d’un mois. Une autorisation judiciaire n’est pas exigée.

Sabrina
Un agent de la police zurichoise se fait passer pour Sabrina, une fille de 14 ans sur un «chat». Elle est abordée par un homme de 23 ans, qui lui propose rapidement de se rencontrer en vue de relations sexuelles. Ils échangent encore leurs adresses électroniques et numéros de téléphones portables. Une rencontre est prévue à la gare, où le jeune homme découvre que Sabrina est en réalité un agent de police et se fait arrêter. Le tribunal doit trancher la question de savoir s’il s’agit de recherches secrètes et dont les preuves obtenues sont utilisables ou d’une investigation secrète, auquel cas les preuves sont inexploitables en l’absence d’autorisation judiciaire.

La distinction entre l’activité préventive de la police, indépendante d’un soupçon d’infraction et fondée sur le droit cantonal, et l’activité fondée sur le droit fédéral de procédure pénale (lorsqu’une infraction a été commise) n’est pas toujours évidente. Le CPP ne s’applique que s’il y a un soupçon qu’une infraction a été commise (ou est en train d’être commise). Dans le cas présent, c’est d’abord sous l’angle préventif et tel que prévu par la loi de police zurichoise que le policier est intervenu sur le forum de discussion. Dès lors que le jeune homme a envoyé une photo de lui nu, le soupçon de pornographie est réalisé et il ne s’agit plus de surveillance préventive mais bien d’une recherche secrète (ou éventuellement d’une investigation secrète).

Le Tribunal fédéral considère que le policier n’a pas utilisé une identité d’emprunt mais qu’il s’est contenté de simples mensonges sur son âge, sexe et lieu de résidence. Il a transmis une adresse électronique, une photo, une description et un numéro de téléphone portable (qui était attribué à la police). Il ne s’est pas appuyé sur des titres mais principalement sur des informations et noms de fantaisie. Un titre, selon la définition de l’art. 110 al. 4 CP est un écrit destiné et propre à prouver un fait ayant une portée juridique. Les contacts n’ont eu lieu que de manière virtuelle et cela n’a duré que pendant quelques jours (contre plusieurs mois en principe pour les agents infiltrés).

Avec cette décision, le Tribunal fédéral a choisi de ne pas qualifier de titre les éléments échangés (adresse électronique, photo, etc.), quand bien même il a précédemment admis un faux dans les titre pour un courriel (sans signature électronique) car l’identité de l’expéditeur était clairement reconnaissable (6B_130/2012). C’est une décision assez favorable pour les forces de l’ordre. Le résultat aurait pu être différent si l’adresse utilisée était de type prenom.nom@entreprise.ch et laissait penser que la personne travaillait dans cette entreprise ou correspondait à une personne existante, ou si le numéro de téléphone avait été inscrit sous un faux nom.

Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Publications: Contrainte reconnue dans un cas de harcèlement obsessionnel

Le législateur a refusé d’ajouter dans le Code pénal une infraction de harcèlement obsessionnel («stalking») au motif que les éléments qui le constituent sont le plus souvent déjà sanctionnés individuellement. Dans un arrêt récent (141 IV 437), le Tribunal fédéral  a dû examiner certains actes revêtaient une intensité suffisante pour être comparable à un acte de violence ou une menace et ainsi réaliser l’infraction de contrainte de l’art. 181 CP. Pour ce faire,  le Tribunal fédéral a tenu compte des comportements précédents, et cela qu’ils aient eu lieu dans le monde réel ou en ligne.

J’ai résumé et commenté cette décision dans la revue Medialex 4/16.

Un droit d’accès étendu pour savoir qui a consulté des données?

Le Conseil des États, suivant ainsi le Conseil national, a chargé le Conseil fédéral de légiférer pour donner la possibilité aux propriétaires de savoir qui a accédé aux informations non publiques les concernant. Cette extension du droit d’accès doit permettre de lutter contre les abus car avec l’accès automatique il n’y a plus de vérification de l’existence d’un intérêt légitime avant la consultation.

Le droit d’accès en général
Le droit d’accès est le droit de chacun de demander au maître d’un fichier si des données qui le concerne sont traitées et cas échéant d’en recevoir une copie écrite.

Le maître du fichier, c’est-à-dire la personne responsable du traitement des données, doit lui communiquer toutes les données qui le concernent et qui sont contenues dans le fichier (y compris cas échéant les informations disponibles sur l’origine des données), le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, les catégories de participants au fichier (soit les personnes pouvant introduire des données) et les catégories de destinataires des données (art. 8 LPD).

Le droit d’accès ne prévoit en principe pas la communication de la liste des destinataires mais seulement de leurs catégories (employeur, autorités, assurance, public, etc.). A noter que si la communication à des tiers n’est pas un but reconnaissable par la personne concernée, une information à ce sujet doit lui être donnée préalablement (et indépendamment du droit d’accès).

Le registre foncier
Le registre foncier permet de connaître les différents droits portant sur un immeuble. Certaines informations sont publiques et chacun peut, sans devoir justifier d’un intérêt, connaître le nom et l’identité du propriétaire d’un immeuble, le type de propriété et la date d’acquisition, la désignation de l’immeuble et son descriptif.

Ces informations sont délivrées par les offices du registre foncier et sont accessibles sur Internet. La loi prévoit que le système doit être protégé contre les appels en série et les données ne peuvent être consultées qu’en relation avec un immeuble déterminé.

Les personnes qui justifient d’un intérêt ont le droit de consulter les autres informations contenues dans le registre foncier, en particulier, les droits de gages immobiliers et les annotations. Depuis 2013, plusieurs cantons permettent aux autorités et aux professionnels de conclure un abonnement afin de disposer d’un droit d’accès permettant d’effectuer directement des requêtes dans le système électronique d’informations foncières susmentionné. L’accès en est facilité mais il n’y a plus de contrôle de l’intérêt à effectuer la requête, ce qui représente un risque d’abus. Les accès sont en revanche conservés durant deux ans.

Pour limiter ce risque, la motion Egloff  charge le Conseil fédéral de modifier l’Ordonnance sur le registre foncier pour permettre aux propriétaires fonciers de savoir qui a consulté les enregistrements concernant leurs immeubles. L’existence même de cette possibilité (et la crainte d’être découvert) devrait déjà limiter les consultations injustifiées. Cela permettra aussi aux propriétaires de signaler d’éventuels abus à l’autorité de surveillance du système eGRIS.

Une extension dans d’autres domaines ?
Une extension du droit d’accès pour connaître la liste des personnes qui ont pu accéder aux données pourrait également s’appliquer dans d’autres domaines comme pour les extraits du registre des poursuites ou lorsque l’accès aux données se fait par une procédure d’appel. Lors des procédures d’appel, c’est-à-dire lorsque le destinataire des données décide de la communication, il n’y a en effet pas de contrôle et d’autorisation du maître du fichier pour cette communication en particulier. Une telle procédure est assez courante entre les différentes entités d’une administration par exemple.

On pourrait aussi imaginer, dans le cadre de la révision en cours de la Loi fédérale sur la protection des données par exemple, une extension du droit d’accès en général pour inclure les personnes qui ont consulté les données.  Cela ne devrait pas forcément s’appliquer à toutes les données, mais par exemple aux données sensibles et aux profils de personnalité. Il semble légitime pour la personne concernée de pouvoir savoir avec qui une entreprise a partagé le profil de personnalité et de solvabilité établi à son sujet.

Les «boîtes noires» des assureurs dans les véhicules automobiles

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié à fin 2015 ses «Explications concernant les systèmes «Pay as you drive» (PAYD) et l’utilisation de «boîtes noires» dans les véhicules automobiles».

Les compagnies d’assurances proposent depuis quelques temps aux conducteurs d’embarquer dans leurs véhicules une boîte noire qui enregistre le comportement de conduite. Les données traitées varient significativement d’un produit à l’autre, le but pouvant être simplement de disposer des informations précédant immédiatement un accident ou d’analyser le profil de conduite et les habitudes du conducteur. Les primes d’assurance sont ensuite adaptées en fonction du risque estimé et le profil établi pourrait être utilisé en matière d’assurance vie, d’assurance invalidité ou d’assurance accidents.

Ces systèmes ne sont pour l’instant qu’une des variantes proposées à l’assuré. Comme le relève le PFPDT, le phénomène d’antisélection (adverse selection) va pousser les assurés à faibles risques vers un tarif PAYD plus intéressant financièrement. Seuls les assurés à hauts risques et les assurés qui s’opposent à ces traitements de données choisiront de rester assujettis à la tarification classique. Ce phénomène pourrait se traduire par une augmentation substantielle de leurs primes, au point même de contraindre ces assurés de passer au tarif PAYD, sous peine de se retrouver trop pénalisés financièrement. Les assurés seraient ainsi économiquement contraints d’accepter l’établissement d’un profil de leur personnalité fondé sur leur comportement au volant.

Proportionnalité et respect du but initial
Les données personnelles collectées par un système PAYD ne peuvent être traitées qu’avec l’accord de l’assuré qui doit être informé préalablement et en détail. Pour consentir librement, il doit avoir le choix entre plusieurs solutions équivalentes.

Pour le PFPDT, il importe avant tout de définir d’emblée le but dans lequel les données seront utilisées et d’opérer parmi elles une sélection afin que seules soient retenues les données absolument indispensables. La collecte de données de comportement non liées à un événement particulier ne doit pas aboutir à l’établissement d’un profil du comportement de conduite si détaillé qu’il permettrait de tout savoir des déplacements et de la personnalité du conducteur.

Une première exploitation devrait ensuite être effectuée par la boîte noire elle-même, afin que ne soient transmises à l’assureur que les données dont il a besoin pour définir le tarif PAYD. Ce stockage et l’exploitation décentralisée des données garantirait que l’assureur n’accède qu’à des données agrégées qui ne lui permettraient pas d’effectuer des analyses plus approfondies ou sans lien avec la tarification.

La boîte noire installée dans le véhicule doit finalement être protégée contre toute utilisation abusive et tout accès non autorisé.

La communication électronique des écrits

Le Conseil fédéral a publié un Rapport concernant la communication électronique des écrits (rapport concernant la motion Bischof 12.4139), ce qui est l’occasion de faire le point sur l’utilisation de la signature électronique et la communication électronique entre les tribunaux et les parties, un domaine où il y a encore beaucoup à faire.

La Communication électronique des écrits (CEE) signifie que les acteurs impliqués ne communiquent plus par courrier postal mais par voie électronique exclusivement. Comme le relève à juste titre le rapport, un simple échange de données par courriels ne suffit pas à réaliser la CEE. Il faut que les actes et les annexes parviennent au tribunal sous forme de fichier électronique structuré (avec des métadonnées) par un mode de transmission structuré et sécurisé, pour pouvoir être gérés de manière électronique. Les dossiers seraient alors accessibles en tout temps (pour autant que le tribunal l’autorise), simultanément à plusieurs parties et dans un format permettant une gestion informatique (et partiellement automatisée).

L’échec du dépôt électronique
A l’heure actuelle, la CEE peut s’effectuer sur certaines plateformes (www.incamail.ch et www.privasphere.com), mais elles n’ont pas vraiment été adoptées par les avocats. Elles requièrent une signature qualifiée et le système actuellement proposé n’est guère facile à utiliser. De toute façon, les actes reçus par voie électronique n’ont pas de métadonnées utiles. Ils sont imprimés et rangés avec les dossiers papiers, ce qui leur enlève tout intérêt. La pratique des autorités consistant à demander une copie papier et à faire porter le risque d’un dysfonctionnement de la plateforme à l’avocat retient même les plus motivés.

La signature électronique est en cours de révision et cela devrait permettre au Conseil fédéral de prendre ensuite les mesures utiles pour simplifier les exigences et le fonctionnement des dépôts.

Le dossier électronique et sa consultation
La première étape de la CEE est celle de la consultation électronique des dossiers. Il ne s’agit pas de documents numérisés sur un DVD (que l’avocat imprime ensuite avant de les lire) comme le proposent déjà certaines institutions, mais d’une vraie consultation en ligne du dossier. La grande majorité des dispositions sur la consultation des dossiers en vigueur ne prévoit pas l’usage d’un média particulier et peut tout à fait s’appliquer à la consultation électronique.

Les tribunaux peuvent donc introduire des solutions pour permettre la consultation électronique des dossiers qu’ils gèrent. Il faudrait que les pièces soient demandées via un formulaire structuré et qu’un dossier électronique soit constitué par le tribunal, qui le transmettra à la personne qui l’a demandé par un moyen de communication quel qu’il soit (envoi ou accès à une messagerie contenant les pièces). Il serait néanmoins souhaitable que tous les tribunaux utilisent un système commun. L’organisation judiciaire étant du ressort des cantons, une certaine harmonisation pourrait être envisagé par le biais d’une modification des codes de procédure.

Selon le rapport, le système commun de consultation électronique des dossiers devrait au moins répondre aux conditions suivantes :

  • la solution proposée est introduite de manière uniforme dans toute la Suisse;
  • le système permet une consultation des dossiers via un portail en ligne comportant des fonctionnalités de recherche, de classement et de téléchargement;
  • il existe un seul accès au système national pour ceux qui demandent à consulter les dossiers;
  • l’introduction de la consultation électronique des dossiers n’occasionne, au final, aucun frais pour les tribunaux. Les économies qui sont réalisées grâce à la consultation électronique des dossiers doivent être aussi importantes que les investissements et les coûts de fonctionnement.

En plus de la consultation électronique des dossiers, il faut également envisager leur archivage ainsi que revoir les modalités de dépôt électronique. ces deux points seront évidemment influencés par la consultation du dossier électronique.