T491 – 4. La fiabilité des bases de données dans la recherche criminelle

  • Pour offrir une assistance efficace à l’autorité pénale, un système informatisé et les données qu’il contient doivent revêtir une certaine fiabilité et qualité.
  • La présente partie expose les risques humains ou techniques qui peuvent affaiblir la valeur des données conséquemment l’utilisation des bases de données par l’autorité pénale.
a. Les risques humains
  • Le facteur humain est le principal facteur de risque dans l’utilisation, l’exploitation et la gestion d’une base de données.
i. L’adéquation et la qualité des données
  • Le principe d’adéquation des données repose sur le postulat qu’une information enregistrée dans une base de données n’est utile que si elle est exacte[1]. Ainsi, l’intégration ne doit pas être erronée et une donnée fausse ou devenue obsolète ne doit pas être conservée.
  • La LPD et la LIPAD/GE intègrent ce principe dans leurs modalités d’exploitation des fichiers automatisés. L’art. 5 al. 1 LDP prévoit que le maître du fichier “doit s’assurer qu[e les données] sont correctes. Il prend toute mesure appropriée permettant d’effacer ou de rectifier les données inexactes ou incomplètes […]“, et l’alinéa 2 prévoit le droit de rectification par le titulaire des données. Quant à l’art. 36 al. 1 LIPAD, la disposition prévoit que “[les] institutions publiques veillent […] à ce que [les données personnelles] soient exactes et si nécessaire mises à jours et complétées, autant que les circonstances permettent de l’exiger.“. Cette dernière disposition prévoyant l’adéquation des données selon les circonstances, le régime juridique applicable aux bases de données cantonales est moins strict que celui applicable aux systèmes informatisés fédéraux, mais l’exactitude des données reste une préoccupation des autorités.
  • Malgré ces dispositions, il n’est pas rare que les informations collectées soient fausses ou deviennent obsolètes. A l’appui de ce constat, nous pouvons nous référer à une étude réalisée en France. La loi française prévoit qu'”un traitement ne peut porter que sur des données à caractère personnel [qu’à condition qu’elles soient] adéquates […]“. Le CNIL a contrôlé, en 2009, le système de traitement des infractions constatées – STIC. Durant ce contrôle, il a été constaté que 70% des fiches nouvellement enregistrées comprenaient des erreurs et que 83% des fiches personnelles faisant l’objet d’une demande de droit d’accès étaient incorrectes[2].
  • La conclusion du CNIL démontre qu’un nom mal orthographié, une donnée saisie dans une mauvaise fiche, une information non confirmée ou non vérifiée s’avérant fausse, etc. ne sont pas des erreurs anodines et rares.
  • Une inadéquation des données peut avoir des répercussions importantes sur le résultat du traitement informatisé. En effet, un nom faux ou, par exemple, l’intégration d’une empreinte digitale dans une mauvaise fiche peut fournir un hit après analyse qui amènera la suspicion d’une personne innocente.
ii. Le vol, la perte de maîtrise des informations de connexion et la malveillance des utilisateurs des bases de données
  • La confidentialité, notamment de l’accès aux données collectées par les systèmes informatisés, est un facteur important pour assurer la sécurité des informations afin d’éviter qu’elles soient modifiées, détruites ou consultées indûment.
  • Dans les environnements numériques, les êtres humains sont la faille la plus importante de sécurité[3].
  • L’ingénierie sociale, dont nous avons fait état précédemment[4], exploite le facteur humain et la vulnérabilité dont les utilisateurs d’un système automatisé peuvent faire preuve. Afin d’éviter les pare-feux et les anti-virus, les hackers ou autres personnes malveillantes introduisent des chevaux de Troie non pas directement, mais par l’entremise des utilisateurs autorisés.
  • La vulnérabilité humaine est également exploitée pour simplement extirper frauduleusement un mot de passe et/ou un nom d’utilisateur. Sans parler de l’inconscience de certains employés qui notent sur un post-it collé sous le clavier, sous le tapis de souris, inscrivent dans un cahier leur mot de passe ou quittent leur place de travail sans verrouiller leur session informatique.
  • En outre, la non-actualisation des logiciels anti-virus ou le refus d’installer une mise à jour immédiatement laisse la porte aux attaques pirates et à l’introduction de virus, de portes dérobées ou de chevaux de Troie.
  • Tous ces éléments démontrent une nouvelle fois que le facteur humain cause des risques pour l’adéquation des données et la sécurité des systèmes informatisés et, conséquemment, réduit la valeur des résultats obtenus par le traitement des données, leur analyse et leur corrélation. C’est pourquoi la mise en œuvre d’une sécurité informatique adéquate, la mise à jour automatisée des logiciels de sécurité et la sensibilisation ainsi que la formation du personnel doivent être une priorité pour tout maître de fichier.
b. Les risques techniques
  • Les bases de données même sécurisées ne sont pas complètement fiables. Le risque zéro n’existe pas. Toute mise en œuvre sécuritaire ou organisationnelle a son talon d’Achille. Les hackers, les pirates ou autres petits délinquants se connaissant en informatique ou ayant une connaissance spécialisée dans le domaine trouvent – généralement rapidement – comment procéder pour mettre à mal le réseau et la sécurité d’un système informatisé en utilisant leurs failles.
  • Les bases de données étant un dispositif informatique, elles fonctionnent à l’aide d’un système d’exploitation. Ainsi, la discussion sur la vulnérabilité des systèmes d’exploitation lors de l’analyse des faiblesses des fichiers informatiques perquisitionnés s’applique par analogie aux risques techniques des bases de données[5].
  1. Des perspectives d'avenir – Quelques orientations possibles de l'exploitation
[1] Etizoni, p. 49-51; Martin D., p. 26; Métille, Thèse, p. 73.

[2] CNIL, Conclusion du contrôle du STIC, p. 26.

[3] Bondallaz, protection des personnes, p. 36; Caprioli, p. 5.

[4] Supra Partie II, Chapitre 3, III, A, 5, c, i, n° 2164.

[5] Supra Partie II, Chapitre 3, III, A, 5, c, i, n° 2164 ss.