jump to navigation

Le tribunal fédéral fixe les conditions auxquelles les cantons peuvent prévoir des mesures de surveillance préventives 29 décembre 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Les mesures de surveillance dites invasives (en principe conduites à l’insu de la personne concernée) sont envisagées dans trois situations précises :

  1. une infraction pénale a été commise ou est en train d’être commise et l’on veut identifier l’auteur ou réunir des preuves (surveillance répressive);
  2. une infraction pénale sera potentiellement commise et l’on veut la prévenir ou la révéler (surveillance préventive);
  3. il existe une menace concrète pour la sûreté intérieure ou extérieure, sans qu’il ne s’agisse d’une infraction pénale (surveillance préventive).

On distingues ces mesures de la surveillance d’observation (qui est utilisée pour surveiller un rayon déterminé accessible au public, afin de constater des mouvements ou des phénomènes objectifs, sans traiter des données personnelles, dont l’exemple classique est le contrôle de la fluidité du trafic routier, et de la surveillance dissuasive) et de la surveillance dissuasive (qui consiste à surveiller ouvertement un lieu pour tenter d’empêcher les personnes qui s’y trouvent de commettre des infractions, dont l’exemple classique est la vidéosurveillance).

Des compétences cantonales et fédérales
La surveillance répressive est une compétence fédérale. Les modalités sont prévues dans le Code de procédure pénale (CPP), qui prévoit les conditions auxquelles ces mesures peuvent être mises en place. Dans ce domaine, les cantons ne peuvent plus adopter des mesures supplémentaires que le droit fédéral ne prévoit pas.

La surveillance préventive est un mélange de compétences cantonales et fédérales. Le parlement doit discuter prochainement du projet de Loi fédérale sur le renseignement qui donnerait à la Confédération de nouveaux pouvoirs, en particulier celui de procéder à des écoutes téléphoniques, des enregistrements audios et vidéos, ainsi que l’exploration radio et du réseau câblé. Cela ne concerne pas le cas où une infraction va être commise, mais celui où l’on craint un risque pour la sécurité intérieure ou extérieure de la Suisse.

Le nouveau CPP a supprimé la surveillance lors de l’enquête préliminaire que connaissaient certains cantons. Ainsi, une mesure de surveillance n’est possible qu’une fois l’enquête ouverte (c’est-à-dire lorsqu’il y a des soupçons suffisants qu’une infraction pénale a été commise). Restait alors la question de savoir si cela interdisait une surveillance avant que l’infraction ne soit commise (le CPP ayant exclu la surveillance préventive, ou si les cantons pouvaient adopter des normes la prévoyant dans leurs lois de police (le CPP ne pouvait ni l’exclure ni la prévoir).

Le Tribunal fédéral a justement dû se pencher sur deux cas, l’un zurichois (1C_653/2012) et l’autre genevois (1C_518/2013). Il est arrivé à la conclusion que les cantons peuvent prévoir des mesures de surveillance secrètes, mais que des conditions similaires à celles prévues par le CPP doivent être mises en place.

La compétence des cantons de veiller sur leur territoire au maintien de la sécurité publique et de l’ordre est réputée compétence originelle des cantons et le législateur fédéral n’’a pas voulu réglementer les investigations secrètes préventives dans le CPP. Les investigations secrètes préventives sont des mesures qui servent à prévenir ou à révéler une infraction potentielle. Elles sont antérieures à la procédure pénale (qui est une compétence fédérale) et doivent s’inscrire dans la législation policière cantonale.

Les garanties lors de la surveillance préventive
La surveillance n’en porte pas moins une atteinte importante à la sphère privée et familiale, protégée par la constitution et la CEDH. Toute atteinte doit être fondée sur une base légale (les restrictions graves devant être prévues par une loi au sens formel), être justifiée par un intérêt public et être proportionnée au but visé.

Le Tribunal fédéral met en parallèle les mesures préventives du droit cantonal et les mesures contenues dans le CPP et exige au moins les mêmes garanties. Ainsi, il doit toujours exister des indices sérieux qu’une infraction pourrait être commise et la mesure doit être subsidiaire (échec avéré ou probable d’autres procédés d’investigation). Elle doit être réservée à des infractions d’une certaine gravité (mais il est possible de se contenter des crimes et délits dans dresser un catalogue). Finalement, la personne concernée devra être informée et avoir la possibilité de faire contrôler la légalité de la mesure devant une autorité judiciaire indépendante.

Selon le type de mesure retenue, une autorisation judiciaire préalable est nécessaire. C’est notamment le cas pour les recherches secrètes, les enquête sous couverture et la surveillance de plateformes de communications fermées sur Internet.

La neutralité du Net 31 octobre 2014

Posted by Sylvain Métille in Logiciel, Skype, Sphère privée, Suisse, Téléchargement, Téléphonie, Technique, USA.
2 comments

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA ou en Europe. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport. Disponible pour l’instant seulement en allemand, il devrait être traduit en français et en italien d’ici la fin de l’année.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013

Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.

Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.

Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.

Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.

La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.

L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.

L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.

Publications: quelle est la place du cheval de Troie dans le CPP actuel? 26 janvier 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

«Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?» est une contribution qui est parue le 19 décembre dernier dans Jusletter, la revue en ligne publiée par Weblaw.

Cette revue m’avait invité à m’exprimer sur la légalité de l’utilisation du cheval de Troie et j’en ai profité pour prendre un peu de recul sur ce sujet et l’aborder de manière un peu plus large. Cet article reprend d’abord les conditions requises pour qu’une mesure de surveillance soit autorisée, de même que les procédures et critères ancrés dans le Code de procédure pénale fédéral. La question de savoir sous quelle catégorie de mesures de surveillance autorisée par le CPP (surveillance de la correspondance par poste et télécommunication, surveillance des relations bancaires, observation ou autres mesures) une technique particulière est comprise doit être résolue, afin que cette dernière ne soit pas illégale.

L’objet visé comme critère au lieu du moyen technique
Les techniques les moins évidentes à classer sont analysées et il est proposé, s’agissant de l’utilisation d’un Cheval de Troie, de retenir comme critère l’objet visé par la surveillance pour déterminer la procédure à suivre, et non pas le moyen technique employé. En suivant ainsi la méthode utilisée par le législateur pour classer les mesures techniques de surveillance, l’utilisation du cheval de Troie peut être légale si elle porte sur la correspondance par communications (pour autant que la procédure prévue dans ce cas soit respectée). Lorsqu’il est mis en place pour observer l’environnement de l’ordinateur (son et images), c’est un autre dispositif de surveillance, également admissible s’il répond aux conditions prévues pour cette catégorie. En revanche, le « cheval de Troie » ne peut pas être utilisé pour effectuer une perquisition à distance, les conditions légales de l’autorisant pas.

Révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication 15 décembre 2011

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Jurisprudence, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

En juin 2011, le Tribunal administratif fédéral (TAF) avait constaté que le Service Surveillance de la correspondance par poste et télécommunication (SCPT) n’avait pas la compétence d’adopter des directives techniques concernant la surveillance d’un accès à Internet au-delà de la surveillance des courriers électroniques parce que l’Ordonnance du Conseil fédéral avait malencontreusement réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. Si la surveillance de l’accès Internet était néanmoins légale et conforme au Code de procédure pénale fédéral (CPP) et à la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), le Service ne pouvait pas adopter de directives techniques contraignantes pour les fournisseurs d’accès.

Ce problème est désormais corrigé ou le sera sous peu. Le Conseil fédéral a en effet adopté la révision de l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et fixé son entrée en vigueur au 1er janvier 2012. Par rapport au projet mis en circulation, plusieurs modifications ont été apportées et notamment l’expression «fournisseur Internet» a été remplacée par «fournisseur d’accès Internet». Les obligations relatives à la surveillance de l’Internet s’appliquent donc uniquement aux fournisseurs d’accès à internet, c’est-à-dire des prestataires qui fournissent concrètement à leurs clients l’accès à internet et une adresse IP. En revanche, les fournisseurs de seuls services de messagerie instantanée, de blogs et de réseaux sociaux notamment, de même que les exploitants de réseaux domestiques ou professionnels ou d’autres réseaux privés ne seront pas tenus d’exécuter des surveillances. La révision de l’Ordonnance ne modifie pas les possibilités de surveillance (elles sont régies par le CPP et éventuellement la LSCPT) mais seulement les obligations à remplir par les fournisseurs. Ces derniers ont douze mois pour s’adapter.

Pour aller plus loin
Modifications de l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT)
Modifications de l’Ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (Ordonnance EI-SCPT)
Rapport explicatif concernant la modification de l’ordonnance sur la surveillance par poste et télécommunication
Rapport sur les résultats de l’audition

Révision totale de la LSCPT
A signaler encore que le Conseil fédéral a chargé le Département fédéral de justice et police de préparer un message à l’intention du Parlement et a défini certaines lignes directives, notamment le fait que les chevaux de Troie ne pourront être utilisés que pour la surveillance de la correspondance par télécommunication et non la perquisition d’ordinateurs à distance.

La synthèse des résultats de la procédure de consultation relative au rapport et à l’avant-projet concernant la modification de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) a aussi été publiée. Ce document résume les 106 avis exprimés sur cet avant-projet.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 795 autres abonnés