jump to navigation

Que fait-on de nos données? 28 janvier 2015

Posted by Sylvain Métille in Divers, Humeur, Informatique, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Surveillance, Téléchargement, Téléphonie, Technique, Vidéosurveillance.
add a comment

A l’occasion de la journée internationale de la protection des données, je vous propose exceptionnellement une vidéo, en l’occurrence celle d’un entretien que j’ai eu très récemment avec Xavier Colin pour l’émission Geopolitis produite par la RTS et TV5 Monde: Big Data, que fait-on de nos données.

Le tribunal fédéral fixe les conditions auxquelles les cantons peuvent prévoir des mesures de surveillance préventives 29 décembre 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Les mesures de surveillance dites invasives (en principe conduites à l’insu de la personne concernée) sont envisagées dans trois situations précises :

  1. une infraction pénale a été commise ou est en train d’être commise et l’on veut identifier l’auteur ou réunir des preuves (surveillance répressive);
  2. une infraction pénale sera potentiellement commise et l’on veut la prévenir ou la révéler (surveillance préventive);
  3. il existe une menace concrète pour la sûreté intérieure ou extérieure, sans qu’il ne s’agisse d’une infraction pénale (surveillance préventive).

On distingues ces mesures de la surveillance d’observation (qui est utilisée pour surveiller un rayon déterminé accessible au public, afin de constater des mouvements ou des phénomènes objectifs, sans traiter des données personnelles, dont l’exemple classique est le contrôle de la fluidité du trafic routier, et de la surveillance dissuasive) et de la surveillance dissuasive (qui consiste à surveiller ouvertement un lieu pour tenter d’empêcher les personnes qui s’y trouvent de commettre des infractions, dont l’exemple classique est la vidéosurveillance).

Des compétences cantonales et fédérales
La surveillance répressive est une compétence fédérale. Les modalités sont prévues dans le Code de procédure pénale (CPP), qui prévoit les conditions auxquelles ces mesures peuvent être mises en place. Dans ce domaine, les cantons ne peuvent plus adopter des mesures supplémentaires que le droit fédéral ne prévoit pas.

La surveillance préventive est un mélange de compétences cantonales et fédérales. Le parlement doit discuter prochainement du projet de Loi fédérale sur le renseignement qui donnerait à la Confédération de nouveaux pouvoirs, en particulier celui de procéder à des écoutes téléphoniques, des enregistrements audios et vidéos, ainsi que l’exploration radio et du réseau câblé. Cela ne concerne pas le cas où une infraction va être commise, mais celui où l’on craint un risque pour la sécurité intérieure ou extérieure de la Suisse.

Le nouveau CPP a supprimé la surveillance lors de l’enquête préliminaire que connaissaient certains cantons. Ainsi, une mesure de surveillance n’est possible qu’une fois l’enquête ouverte (c’est-à-dire lorsqu’il y a des soupçons suffisants qu’une infraction pénale a été commise). Restait alors la question de savoir si cela interdisait une surveillance avant que l’infraction ne soit commise (le CPP ayant exclu la surveillance préventive, ou si les cantons pouvaient adopter des normes la prévoyant dans leurs lois de police (le CPP ne pouvait ni l’exclure ni la prévoir).

Le Tribunal fédéral a justement dû se pencher sur deux cas, l’un zurichois (1C_653/2012) et l’autre genevois (1C_518/2013). Il est arrivé à la conclusion que les cantons peuvent prévoir des mesures de surveillance secrètes, mais que des conditions similaires à celles prévues par le CPP doivent être mises en place.

La compétence des cantons de veiller sur leur territoire au maintien de la sécurité publique et de l’ordre est réputée compétence originelle des cantons et le législateur fédéral n’’a pas voulu réglementer les investigations secrètes préventives dans le CPP. Les investigations secrètes préventives sont des mesures qui servent à prévenir ou à révéler une infraction potentielle. Elles sont antérieures à la procédure pénale (qui est une compétence fédérale) et doivent s’inscrire dans la législation policière cantonale.

Les garanties lors de la surveillance préventive
La surveillance n’en porte pas moins une atteinte importante à la sphère privée et familiale, protégée par la constitution et la CEDH. Toute atteinte doit être fondée sur une base légale (les restrictions graves devant être prévues par une loi au sens formel), être justifiée par un intérêt public et être proportionnée au but visé.

Le Tribunal fédéral met en parallèle les mesures préventives du droit cantonal et les mesures contenues dans le CPP et exige au moins les mêmes garanties. Ainsi, il doit toujours exister des indices sérieux qu’une infraction pourrait être commise et la mesure doit être subsidiaire (échec avéré ou probable d’autres procédés d’investigation). Elle doit être réservée à des infractions d’une certaine gravité (mais il est possible de se contenter des crimes et délits dans dresser un catalogue). Finalement, la personne concernée devra être informée et avoir la possibilité de faire contrôler la légalité de la mesure devant une autorité judiciaire indépendante.

Selon le type de mesure retenue, une autorisation judiciaire préalable est nécessaire. C’est notamment le cas pour les recherches secrètes, les enquête sous couverture et la surveillance de plateformes de communications fermées sur Internet.

La neutralité du Net 31 octobre 2014

Posted by Sylvain Métille in Logiciel, Skype, Sphère privée, Suisse, Téléchargement, Téléphonie, Technique, USA.
2 comments

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA ou en Europe. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport. Disponible pour l’instant seulement en allemand, il devrait être traduit en français et en italien d’ici la fin de l’année.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.

Hausse des escroqueries sur les sites de vente aux enchères et de petites annonces 22 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Facebook, Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique.
1 comment so far

Le Service national de Coordination de la lutte contre la Criminalité sur Internet (SCOCI) a publié son rapport annuel, qui marque également ses dix ans d’activité. En 2013, ce sont surtout les annonces de tentatives d’escroquerie sur des sites de vente aux enchères ou de petites annonces qui ont augmenté. Ces arnaques visent autant les vendeurs que les acheteurs.

Les escroqueries sont toujours mieux réalisées, les auteurs allant jusqu’à créer des sites web complets d’entreprises de transport fictives, avec un faux système de suivi des paquets pour faire croire le plus longtemps possible à la victime que la marchandise est encore en route. La pénurie de logements est aussi exploitée, avec la réapparition des fausses annonces d’appartements bon marché qui n’existent pas mais pour lesquels l’avance de paiement demandée est bien réelle.

Les tentatives de phishing (hameçonnage) ont également fortement augmenté. La variante la plus courante reste l’envoi massif de courriels à des victimes potentielles sans ciblage particulier pour les attirer sur des sites web ressemblant à de services Internet connus et où les victimes introduiront leurs données d’utilisateur (nom d’utilisateur, mot de passe, données personnelles). Les données seront ainsi récupérées sans difficultés par les escrocs.

Les rançongiciels (ransomware)
Au niveau de la détérioration de données, ce sont également des attaques bien organisées mais non ciblées qui sont le plus souvent rapportées. Les données sont d’abord supprimées ou encryptées sur l’ordinateur de la victime (par le biais d’un logiciel malveillant), puis la victime est invitée à procéder à un paiement (rançon) pour obtenir la libération de ses données.

Au niveau des entreprises, on note en particulier des attaques ciblées contre infrastructures de télécommunication (pour effectuer des appels surtaxés ou longues distances à charge de l’entreprise) et contre des données de clients (en exploitant des failles de sécurité des sites web).

Pour 2014, le SCOCI craint une augmentation du nombre de logiciels malveillants présents sur les téléphones mobiles ainsi que la difficulté croissante pour les victimes de distinguer les faux sites Internet au vu de l’amélioration de leur qualité de réalistaion  (fautes d’orthographes moins présentes, apparence visuelle du site plus réaliste, etc.)

Au sujet du Service national de Coordination de la lutte contre la Criminalité sur Internet
Le SCOCI a été créé en 2002 par le biais d’une convention administrative entre la Confédération et les cantons. Avec son rattachement à la Police judiciaire fédérale, le SCOCI s’est implanté également au niveau international en tant que partenaire des autorités d’enquête d’Europol European Cybercrime Center (EC3) et d’Interpol Global Complex for Innovation (IGCI). Il dispose désormais de son profil sur Facebook et sur Twitter.

La directive sur la conservation des données invalidée par la Cour de justice de l’Union européenne 9 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Téléphonie, Technique.
add a comment

Dans un arrêt du 8 avril 2014 (C-293/12 et C-594/12), la Cour de justice de l’Union européenne (grande chambre) a invalidé la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

De quoi parle-t-on ?
La directive 2006/24 prévoyait l’obligation des fournisseurs de services de communications électroniques accessibles au public ou des réseaux publics de communications de conserver les données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

En imposant la conservation des données énumérées et en permettant l’accès des autorités nationales compétentes, cette directive déroge au régime de protection du droit au respect de la vie privée instauré par les directives 95/46 (directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et 2002/58 (directive vie privée et communications électroniques), ces deux directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, à moins qu’elles ne soient nécessaires à la facturation (et uniquement tant que cette nécessité perdure).

Cette directive concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. La Cour rappelle qu’elle s’applique sans aucune exception (y compris à des personnes dont les communications sont soumises au secret professionnel) et donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.

Une atteinte à la sphère privée
La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et constitue un traitement des données à caractère personnel. Comme le souligne la Cour, ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes concernées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés. Il importe peu que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence

Une étude récente a d’ailleurs démontré que quatre points spatio-temporels du style de ceux fournis par une antenne auquel se connecte un téléphone GSM permettent d’identifier de manière unique 95% des individus.

L’obligation imposée aux fournisseurs de services de communications de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte. En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental.

L’ingérence s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave aux yeux de la Cour. Le fait que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est également susceptible de générer dans l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

Si la Cour a retenu une ingérence particulièrement grave, elle a toutefois estimé que le contenu essentiel du droit fondamental au respect de la vie privée (noyau dur) n’était pas atteint puisque cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

Un intérêt légitime
L’objectif matériel de la directive est de contribuer à la lutte contre la criminalité grave et, en fin de compte, à la sécurité publique. Pour la Cour, la conservation des données pour permettre aux autorités nationales compétentes d’y accéder éventuellement répond effectivement à un objectif d’intérêt général. La conservation des données est donc un instrument utile pour les enquêtes pénales et elle peut être considérée comme apte à réaliser l’objectif poursuivi.

Des garde-fous insuffisants
Dès lors qu’une atteinte est constatée mais qu’elle correspond à un but légitime, il faut vérifier quelles limites sont posées pour s’assurer que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites. Pour la Cour, cela est d’autant plus important que les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données

La directive impose la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à Internet, le courrier électronique par Internet ainsi que la téléphonie par Internet, et cela pour tous les abonnés et utilisateurs inscrits. Pour la Cour, elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne sans qu’aucune différenciation, limitation ou exception ne soient opérées en fonction de l’objectif de lutte contre les infractions graves. La conservation ne se limite pas à des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

Il n’y a pas non plus de conditions dans la directive qui limiteraient l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure (par exemple à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales de ces infractions). La Cour s’étonne en particulier, de l’absence de critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi, ainsi que de l’absence d’exigence d’un contrôle préalable effectué soit par une juridiction, soit par une entité administrative.

La durée de conservation des données est aussi problématique pour la Cour en raison de l’absence de distinction entre les catégories de données en fonction de leur utilité éventuelle ou selon les personnes concernées. La durée de conservation ne devrait pas être fixée de manière uniforme mais doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

La directive de contient finalement pas des garanties suffisantes permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. La directive ne garantit notamment pas que soit appliqué par les fournisseurs de télécommunication un niveau particulièrement élevé de protection et de sécurité (mesures techniques et organisationnelles), mais autorise au contraire ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent. La destruction irrémédiable des données au terme de la durée de conservation n’est pas non plus prévue, pas plus que la conservation des données sur le territoire de l’Union européenne.

En conclusion
La Cour de justice de l’UE a invalidé la directive 2006/24 en particulier parce qu’elle viole le principe de proportionnalité. Si son objectif est légitime, la conservation systématique et sans exception des données accessoires de communications de tous les utilisateurs européens pour une durée déterminée (sans lien avec leur situation particulière, le type de donnée et le but poursuivi) n’est pas proportionnée. L’absence de garanties concernant la sécurité des données, les modalités d’accès et leurs conditions utilisation constituent également une atteinte particulièrement grave.

Le Tribunal fédéral dit non à un logiciel espion pour surveiller un employé 19 février 2014

Posted by Sylvain Métille in ATF, Informatique, Jurisprudence, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
add a comment

Au moment de la publication de l’ouvrage Instrumente zur Umsetzung des Rechts auf informationelle Selbstbestimmung / Instruments de mise en œuvre du droit à l’autodétermination informationnelle dans lequel j’ai commenté les décisions rendues en 2012-2013 en matière de protection des données, je me suis aperçu ne pas avoir parlé ici de l’Arrêt du Tribunal fédéral17 janvier 2013 (ATF 139 II 7, « Consortium de la protection civile »).

Dans cet affaire, un consortium tessinois de la protection civile soupçonnait un de ses employés d’utiliser à des fins personnelles les ressources informatiques mises à sa disposition. Le Consortium a installé pendant plus de trois mois et à l’insu de l’employé un logiciel espion qui a révélé que l’employé avait consacré une part considérable de son temps de travail à des activités privées ou au moins étrangères à son activité professionnelle.

Un espionnage sans limite
Grâce à des copies d’écran, effectuées à intervalles réguliers, le contrôle a également permis de prendre connaissance du contenu des pages Internet consultées et des messages électroniques, y compris des informations privées comme des opérations e-banking en relation avec la fonction de membre du conseil municipal de l’intéressé. En se basant sur les résultats de la surveillance informatique, l’employeur a résilié les rapports de travail avec effet immédiat.

Le Tribunal fédéral a retenu que l’utilisation clandestine d’un logiciel espion était illicite et constituait une mesure prohibée par l’art. 26 al. 1 de l’Ordonnance 3 du 18 août 1993 relative à la loi sur le travail (OLT 3), en tant qu’elle est assimilable à un système de contrôle destiné essentiellement à surveiller le comportement d’un travailleur. Cette mesure était au surplus disproportionnée.

Si l’employeur a un intérêt légitime à lutter contre les abus, il peut y parvenir à l’aide de moyens moins invasifs, comme le blocage à titre préventif de certains sites Internet, ou une analyse conformément aux modalités indiquées par le Préposé fédéral à la protection des données et à la transparence.

Vu la possibilité pour l’employeur de recourir à des moyens légaux pour défendre ses intérêts, le Tribunal fédéral a considéré que la surveillance était illégale et que les preuves recueillies l’étaient également, ce qui ne permettait pas de fonder le licenciement immédiat.

Publications: Reforming Surveillance Law: The Swiss Model 11 février 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

L’article “Reforming Surveillance Law: The Swiss Model”, co-écrit par Sylvain Métille et Susan Freiwald, vient d’être publié dans le réputé Berkeley Technology Law Journal.

Cet article compare principalement la loi américaine «ECPA» (Electronic Communications Privacy Act) qui règle la surveillance électronique par les autorités judiciaires et policières avec le Code suisse de procédure pénale (CPP). Cet article, qui fait suite à un projet de recherche mené depuis 2011, est le premier à analyser le droit suisse applicable à la surveillance avec un regard international. Il montre également les avantages de l’approche suisse qui contient dans le CPP une réglementation claire et uniforme, sur l’approche américaine beaucoup plus divisée et confuse.

Le problème, ce n’est pas les drones! 6 novembre 2013

Posted by Sylvain Métille in Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, Vidéosurveillance.
add a comment

Plusieurs médias se sont fait récemment l’écho de l’utilisation prochaine de drones par le Service de renseignement civil de la Confédération (SRC). Il risque pourtant d’y avoir encore un long chemin jusque-là et même si les drones sont relativement nouveaux en Suisse, ce n’est pas le principal changement à être au programme.

L’avant-projet de loi fédérale sur le renseignement (LRens) a été mis en consultation se printemps. La LRens s’appliquera dans des situations où aucun procédure pénale n’est en cours (parce qu’aucune infraction n’a été commise ou est en cours de commission). Au niveau des mesures de surveillance et de recherches d’informations, il prévoit deux nouveautés par rapport au droit actuel: la possibilité pour le SRC de faire des enregistrements vidéos et audios, de surveiller la correspondance postale et les télécommunications, utiliser des balises GPS, des chevaux de Troie et effectuer des perquisitions informatiques. Ce genre de mesures avait été clairement rejeté par le parlement fédéral dans le cadre des projets de révision de loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (en particulier le projet LMSI II).

Enregistrements audios et vidéos
La LRens permettra certes d’embarquer des caméras sur des drones, mais cela ne se limitera pas à des drones: la vraie nouveauté est que le SRC pourra utiliser des micros et des caméras dans n’importe quel espace public, sans aucun contrôle judiciaire. Le SRC pourrait procéder sans aucune autorisation à des enregistrements vidéos et audios dans les lieux publics (art. 12). Il aura en revanche besoin d’une autorisation judiciaire et politique pour de tels enregistrements dans des espaces privés ainsi que pour les mesures de surveillance de la correspondance postale et des télécommunications, l’utilisation de balises GPS, de chevaux de Troie, et des perquisitions informatiques (art. 22ss).

A titre de comparaison, dans le cas d’une enquête pénale faisant suite à la commission (avérée) d’une infraction pénale, la demande du procureur doit être validée par le tribunal des mesures de contraintes (une autorité judiciaire indépendante) avant qu’une caméra ne puisse être utilisée.

Le projet de LRens devrait être transmis prochainement au Parlement qui devra alors décider s’il autorise l’utilisation de moyens invasifs, parfois même plus invasifs que ce qui est admis dans le cadre d’enquêtes pénales, ou s’il continue à s’opposer à la surveillance préventive demandée par le Conseil fédéral.

Pour aller plus loin:
Projet de Loi fédérale sur le Service de renseignement civil (loi sur le renseignement; LRens)

Rapport sur les résultats de la procédure de consultation

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
3 comments

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 755 autres abonnés