T499 – C. La procédure différenciée pour ordonner une mesure de surveillance, l’utilisation d’un autre dispositif technique, l’observation, l’investigation secrète et les recherches secrètes

  • Deux points ont été relevés durant l’analyse des diverses techniques. Premièrement, les listes des infractions sur lesquelles doivent porter les soupçons ne sont pas identiques[1]. Deuxièmement, l’autorisation n’est pas toujours exigée[2].
  • Le législateur justifie – généralement – les divergences de procédure selon l’ingérence et la nature de l’atteinte créées par la mesure de contrainte considérée.
  • Néanmoins, nous avons vu que dans le cadre des moyens de localisation des divergences procédurales ne se justifient guère.
  • Premièrement et pour des raisons historiques, le législateur a différencié la localisation à l’aide des champs d’antennes et la localisation par satellite. Alors que ces deux techniques ont la même intensité dans l’atteinte aux droits fondamentaux et qu’elles ont toutes deux pour conséquence de positionner dans l’espace et dans le temps une personne ou un objet, la localisation à l’aide d’un appareil mobile peut être ordonnée plus largement que la localisation GPS qui nécessite des soupçons sur une des infractions listées à l’art. 269 al. 2 CPP.
  • Deuxièmement, le législateur différencie les cas d’utilisation d’autres dispositifs techniques et l’observation. La première de ces mesures de contrainte nécessite une autorisation du tribunal des mesures de contrainte, la deuxième ne requiert l’octroi d’une autorisation qu’après un mois et non pas d’une autorité judiciaire indépendante, mais du ministère public. Il est vrai que, même si globalement, une mesure de surveillance à l’aide d’un autre dispositif technique est plus intrusive dans la vie privée qu’une observation, tel n’est pas le cas dans le cadre de la localisation par GPS. En effet, contrairement à la filature qui permet de localiser et de visualiser les faits, la localisation par GPS ne fait que positionner la personne et par conséquent atteint moins gravement à la sphère privée. Il n’en reste pas moins que la localisation GPS est soumise aux régimes des art. 280 ss CPP, soit à des conditions d’exécution plus strictes que la filature.
  • Ainsi, la différenciation des procédures prévues dans le cadre de mesure de surveillance technique n’est pas toujours justifiée et crée quelques incompréhensions.
[1] Supra Partie II, Chapitre 3, I, A, 2, a, ii, n° 1129; Supra Partie II, Chapitre 3, I, A, 2, c, ii, a) n° 1146; Supra Partie II, Chapitre 3, I, A, 4, c, i, c) n° 1348; Supra Partie II, Chapitre 3, II, C, 2, a, ii, a), n° 1754-1755; Supra Partie II, Chapitre 3, III, A, 3, c, i, b), 4 n° 2015.

[2] Supra Partie II, Chapitre 3, I, A, 2, b, ii, n° 1138; Supra Partie II, Chapitre 3, I, A, 2, a, iv, b), n° 1173 ss; Supra Partie II, Chapitre 3, I, A, 2, a, v, d), n° 1216 et 1220; Supra Partie II, Chapitre 3, I, A, 4, c, ii, c), n° 1365; Supra Partie II, Chapitre 3, II, C, 2, a, i, d), n° 1750; Supra Partie II, Chapitre 3, III, A, 3, c, i, b), 4, n° 2010 ss; Supra Partie II, Chapitre 3, III, A, 3, c, i, c), 2, b), n° 2040 et 2044-2045.

T498 – B. Les lacunes législatives depuis l’entrée en vigueur du Code de procédure pénale

  • Nous pouvons regretter que le Code de procédure pénale soit parfois lacunaire pour envisager l’usage de quelques techniques nouvelles.
  • Actuellement, par exemple, la simple utilisation d’un logiciel espion n’est pas prévue par la législation suisse, alors même que ce moyen technique est connu et usité depuis de nombreuses années.
  • Au vu de l’exemple qui précède, l’évolution technologique ne semble pas totalement intégrée à la nouvelle procédure pénale. Il est vrai que les art. 280 ss CPP prévoient de façon générale l’utilisation « d’autres dispositifs techniques » ou que les art. 282 ss CPP ne limitent pas l’observation à des moyens techniques particuliers. Néanmoins si la problématique des logiciels espions et/ou des claviers espions se pose, nous pourrions envisager que bien d’autres technologies importantes pour les autorités pénales ne puissent être employées immédiatement à défaut de base légale justifiant l’ingérence aux droits fondamentaux.
  • Nous pouvons également largement regretter le vide juridique causé par la mise en vigueur du Code de procédure pénale concernant l’emploi de mesure de surveillance préventive[1]. Même si quinze cantons ont – ou sont sur le point d’avoir – une législation en la matière, d’autres comme Genève, se trouvent dépourvus partiellement de moyens d’enquête essentiels, à tout le moins jusqu’à la mise en vigueur de la nLPol, et certains cantons sont même totalement dépourvus de dispositions légales autorisant les mesures préventives.
  • En outre, pour la sécurité juridique et afin que la population sache à quoi s’attendre d’un canton à l’autre, une harmonisation dans ce domaine serait idéale ou à tout le moins, dès lors que les législations sur la police sont du ressort des cantons, qu’un concordat intercantonal fixant des modalités générales sur le sujet soit ratifié par tous les cantons.
[1]Supra Partie II, Chapitre 3, I, A, 2, c, i, n° 1143 ; Supra Partie II, Chapitre 3, I, A, 2, c, ii, a), n° 1149; Supra Partie II, Chapitre 3, I, A, 3, ii, n° 1242 ss; Supra Partie II, Chapitre 3, I, A, 4, c, ii, n° 1356 ss.

T497 – IV. La synthèse des débats et conclusion – A. Les constatations générales

  • De manière générale, nous constatons que les techniques sont des moyens adéquats d’aide à l’enquête, de recueil d’indices et d’éléments de preuve. Employées à bon escient, les modes de surveillance, de localisation et informatiques apportent de bons résultats pour élucider des faits ou pour identifier des auteurs sans toutefois constituer des preuves irréfutables qui se suffisent à elles-mêmes. En effet, nous l’avons largement démontré, toutes les techniques ont des failles qui les rendent vulnérables et qui diminuent quelque peu leur force probante.
  • En outre, pour être utile, une mesure de surveillance – surveillance secrète de la correspondance par poste et télécommunication, les autres mesures de surveillance, l’observation, l’investigation secrète et la perquisition des supports informatiques – doit être ciblée afin d’éviter que le nombre de données recueillies soit tel qu’il n’est plus possible d’en faire usage efficacement. En effet, un nombre trop important de données ne permet pas un traitement adéquat, extensivement la détection des informations pertinentes.
  • Le faible coût et l’utilisation aisée des moyens techniques renforcent leur position comme éléments probatoires, dès lors qu’ils sont facilement accessibles à l’autorité pénale et aux particuliers.
  • Ainsi, l’avantage des moyens techniques dans le cadre de la procédure pénale n’est plus à démontrer.

T496 – b. Le potentiel inexploité du mode Light out par le système automatique d’identification des empreintes digitales

  • Jusqu’à maintenant – et peut-être pour de longues années encore –, l’expertise dactyloscopique s’effectue manuellement, la base de données dactyloscopique ne fournissant qu’une liste de candidats potentiels. L’AFIS n’est qu’un système de tri qui laisse toute latitude au dactyloscope pour fournir un résultat identificatoire[1].
  • Les capacités de l’outil de comparaison automatique sont plus importantes que l’usage actuel. Le système informatisé pourrait – notamment – être exploité de manière totalement automatique. En mode light-out, la base de données travaillerait indépendamment du concours de l’expert dactyloscope sur des identifications dites « faciles ». Ainsi, le dactyloscope pourrait se consacrer au processus identificatoire plus complexe.
  • Même si le mode light-out implique un gain de temps, une optimisation des ressources informatiques et une répartition favorable du personnel scientifique, des difficultés dans sa mise en œuvre doivent être prises en considérations. L’enjeu d’une telle utilisation du système AFIS est de permettre l’identification automatique. Cependant, il est notoire que les systèmes informatisés ne sont pas infaillibles.
  • Ainsi, avant de pouvoir utiliser le système AFIS en mode light-out, il faut impérativement déterminer le taux d’erreur lors d’analyses automatiques des empreintes digitales, fixer un taux de vraisemblance devant être atteint pour qu’aucune vérification manuelle subséquente n’intervienne ainsi que de créer un algorithme de qualité définissant si oui ou non la trace indiciale peut être soumise à une décision automatique[2].
  • Dans l’hypothèse où un tel processus ne serait pas respecté, des risques trop importants de fausse identification ou de faux-négatif seraient à prévoir, ce qui diminuerait sensiblement la force et la valeur probatoire de la dactyloscopie.
[1] Bochet, p. 107; Remy, p. 91; Informations obtenues par Monsieur Axel Glaeser, Chef de division du service AFIS ADN. Supra Partie II, Chapitre 2, I, B, 1, b, ii, n° 579 ss ; Supra Partie II, Chapitre 2, I, C, 3, n° 739 ss.

[2] Supra Partie II, Chapitre 2, I, A, 2, c, i, n° 544-548.

T495 – ii. La reconnaissance vocale des enregistrements issus de la surveillance des télécommunications

  • La voix en tant que caractéristique biométrique bénéficie d’une grande fiabilité identificatoire à l’aide de l’intonation et des sons émis[1].
  • Lors d’une surveillance des télécommunications, principalement d’écoutes des conversations, la voix est un indice important permettant, notamment, de s’assurer que l’interlocuteur est bien la personne surveillée. L’expertise en reconnaissance de locuteurs joue alors un rôle primordial[2].
  • L’indice matériel obtenu par l’enregistrement vocal est converti à l’aide d’une méthode de codage analogique ou numérique et peut être comparé avec d’autres enregistrements sonores enregistrés dans une base de données.
  • Actuellement, la qualité de la technologie de reconnaissance vocale n’est pas employée à large échelle vu son manque de maturité[3]. Généralement, l’identification à l’aide d’autres caractéristiques biométriques est privilégiée et l’utilisation de la reconnaissance vocale est une ultima ratio.
  • Néanmoins, l’empreinte vocale étant reconnue comme individuelle et l’intérêt des chercheurs se portant sur l’amélioration de la reconnaissance à l’aide des effets sonores et de l’intonation, il ne semble pas absurde d’envisager que les progrès dans cette technologie vont tôt ou tard impliquer son utilisation en science forensique à des fins identificatoires.
[1] Meuwly, p. 6.

[2] Meuwly, p. 11.

[3] Métille, Thèse, p. 61; Meuwly, p. 143.

T494 – a. Les données biométriques comme aide à l’investigation criminelle

  • La biométrie se constitue de diverses méthodes qui consistent à convertir les caractéristiques physiologiques – empreintes digitales, corps, visages, voix, etc. – en empreintes numériques[1]. Grâce aux bases de données et à la numérisation des caractéristiques physiques, il est possible de faire des recoupements, notamment, avec des images capturées pas une caméra de vidéosurveillance ou le son d’une voix enregistrée lors d’une surveillance des télécommunications pour identifier un ou des auteurs.
  • Dans le cadre de notre étude, deux techniques nous intéressent donc particulièrement: la reconnaissance faciale et la reconnaissance vocale qui ne sont pour l’heure pas ou peu exploitées par les autorités pénales.
i. La reconnaissance faciale des images de vidéosurveillance
  • Avec la démocratisation de la vidéosurveillance, le nombre d’images ou de séquences vidéo disponibles à des fins judiciaires a explosé. Selon la qualité de l’image, leur potentiel d’exploitation s’accroît.
  • La reconnaissance faciale se base sur la structure et la forme du visage. A l’aide d’un programme informatique, les données faciales – forme générale du visage, distances entre les yeux, le nez et la bouche, forme des yeux, de la bouche, du menton, etc. – sont calculées automatiquement[2]. Une fois ces images intégrées dans la base de données, il est possible, à l’aide d’une photo ou d’une vidéo de bonne qualité, de comparer les visages et ainsi d’identifier les auteurs d’infraction.
  • Dans le cadre d’identification des personnes ayant commis une infraction, le système d’information HOOGAN – collectant les données relatives aux personnes qui ont fait preuve d’un comportement violent lors de manifestations sportives organisées en Suisse ou à l’étranger – emploie le potentiel de la reconnaissance faciale. En effet, l’art. 10 al. 2 de l’Ordonnance sur les mesures de police administrative de l’Office fédéral de la police et sur le système d’information HOOGAN[3] prévoit que les images collectées dans le système informatisé peuvent être traitées dans des systèmes électroniques de reconnaissance des personnes.
  • Ce système a été le premier à utiliser le potentiel biométrique de la reconnaissance faciale. Dorénavant, l’Office des migrations emploie également cette méthode (art. 22 et 99 LAsi). La facilitation offerte par l’informatique devrait petit à petit et de plus en plus être intégrée dans les fichiers de police afin d’obtenir des résultats identificatoires plus fréquents et probants. Notons toutefois que la reconnaissance faciale s’apparente à un traitement de données personnelles et que des lois doivent être édictées pour permettre l’usage de cette possibilité biométrique.
[1] CAI, biométrie, p. 10-19; Ceyhan, p. 34; PFPDT, Biométrie.

[2] CAI, biométrie, p. 13-14.

[3] Ordonnance du 4 décembre 2009 sur les mesures de police administrative de l'Office fédéral de la police et sur le système d'information HOOGAN (OMAH), RS 120.52.

T494 – 5. Des perspectives d’avenir – Quelques orientations possibles de l’exploitation des bases de données par les autorités pénales

  • Les indices qui découlent des diverses sciences et techniques s’intègrent nécessairement dans l’ensemble des éléments permettant d’élucider les faits et d’identifier les auteurs d’infractions. Ainsi, les bases de données, aujourd’hui déjà, améliorent considérablement l’efficacité de l’investigation criminelle grâce à l’organisation et à l’exploitation des données pertinentes.
  • Dans la présente partie, nous désirons exposer deux potentialités des bases de données et de l’informatique dans la phase de comparaison qui ne sont pour l’heure pas exploités, mais qui mériteraient de retenir l’attention des autorités pénales à des fins identificatoires.

T491 – 4. La fiabilité des bases de données dans la recherche criminelle

  • Pour offrir une assistance efficace à l’autorité pénale, un système informatisé et les données qu’il contient doivent revêtir une certaine fiabilité et qualité.
  • La présente partie expose les risques humains ou techniques qui peuvent affaiblir la valeur des données conséquemment l’utilisation des bases de données par l’autorité pénale.
a. Les risques humains
  • Le facteur humain est le principal facteur de risque dans l’utilisation, l’exploitation et la gestion d’une base de données.
i. L’adéquation et la qualité des données
  • Le principe d’adéquation des données repose sur le postulat qu’une information enregistrée dans une base de données n’est utile que si elle est exacte[1]. Ainsi, l’intégration ne doit pas être erronée et une donnée fausse ou devenue obsolète ne doit pas être conservée.
  • La LPD et la LIPAD/GE intègrent ce principe dans leurs modalités d’exploitation des fichiers automatisés. L’art. 5 al. 1 LDP prévoit que le maître du fichier « doit s’assurer qu[e les données] sont correctes. Il prend toute mesure appropriée permettant d’effacer ou de rectifier les données inexactes ou incomplètes […]« , et l’alinéa 2 prévoit le droit de rectification par le titulaire des données. Quant à l’art. 36 al. 1 LIPAD, la disposition prévoit que « [les] institutions publiques veillent […] à ce que [les données personnelles] soient exactes et si nécessaire mises à jours et complétées, autant que les circonstances permettent de l’exiger.« . Cette dernière disposition prévoyant l’adéquation des données selon les circonstances, le régime juridique applicable aux bases de données cantonales est moins strict que celui applicable aux systèmes informatisés fédéraux, mais l’exactitude des données reste une préoccupation des autorités.
  • Malgré ces dispositions, il n’est pas rare que les informations collectées soient fausses ou deviennent obsolètes. A l’appui de ce constat, nous pouvons nous référer à une étude réalisée en France. La loi française prévoit qu' »un traitement ne peut porter que sur des données à caractère personnel [qu’à condition qu’elles soient] adéquates […]« . Le CNIL a contrôlé, en 2009, le système de traitement des infractions constatées – STIC. Durant ce contrôle, il a été constaté que 70% des fiches nouvellement enregistrées comprenaient des erreurs et que 83% des fiches personnelles faisant l’objet d’une demande de droit d’accès étaient incorrectes[2].
  • La conclusion du CNIL démontre qu’un nom mal orthographié, une donnée saisie dans une mauvaise fiche, une information non confirmée ou non vérifiée s’avérant fausse, etc. ne sont pas des erreurs anodines et rares.
  • Une inadéquation des données peut avoir des répercussions importantes sur le résultat du traitement informatisé. En effet, un nom faux ou, par exemple, l’intégration d’une empreinte digitale dans une mauvaise fiche peut fournir un hit après analyse qui amènera la suspicion d’une personne innocente.
ii. Le vol, la perte de maîtrise des informations de connexion et la malveillance des utilisateurs des bases de données
  • La confidentialité, notamment de l’accès aux données collectées par les systèmes informatisés, est un facteur important pour assurer la sécurité des informations afin d’éviter qu’elles soient modifiées, détruites ou consultées indûment.
  • Dans les environnements numériques, les êtres humains sont la faille la plus importante de sécurité[3].
  • L’ingénierie sociale, dont nous avons fait état précédemment[4], exploite le facteur humain et la vulnérabilité dont les utilisateurs d’un système automatisé peuvent faire preuve. Afin d’éviter les pare-feux et les anti-virus, les hackers ou autres personnes malveillantes introduisent des chevaux de Troie non pas directement, mais par l’entremise des utilisateurs autorisés.
  • La vulnérabilité humaine est également exploitée pour simplement extirper frauduleusement un mot de passe et/ou un nom d’utilisateur. Sans parler de l’inconscience de certains employés qui notent sur un post-it collé sous le clavier, sous le tapis de souris, inscrivent dans un cahier leur mot de passe ou quittent leur place de travail sans verrouiller leur session informatique.
  • En outre, la non-actualisation des logiciels anti-virus ou le refus d’installer une mise à jour immédiatement laisse la porte aux attaques pirates et à l’introduction de virus, de portes dérobées ou de chevaux de Troie.
  • Tous ces éléments démontrent une nouvelle fois que le facteur humain cause des risques pour l’adéquation des données et la sécurité des systèmes informatisés et, conséquemment, réduit la valeur des résultats obtenus par le traitement des données, leur analyse et leur corrélation. C’est pourquoi la mise en œuvre d’une sécurité informatique adéquate, la mise à jour automatisée des logiciels de sécurité et la sensibilisation ainsi que la formation du personnel doivent être une priorité pour tout maître de fichier.
b. Les risques techniques
  • Les bases de données même sécurisées ne sont pas complètement fiables. Le risque zéro n’existe pas. Toute mise en œuvre sécuritaire ou organisationnelle a son talon d’Achille. Les hackers, les pirates ou autres petits délinquants se connaissant en informatique ou ayant une connaissance spécialisée dans le domaine trouvent – généralement rapidement – comment procéder pour mettre à mal le réseau et la sécurité d’un système informatisé en utilisant leurs failles.
  • Les bases de données étant un dispositif informatique, elles fonctionnent à l’aide d’un système d’exploitation. Ainsi, la discussion sur la vulnérabilité des systèmes d’exploitation lors de l’analyse des faiblesses des fichiers informatiques perquisitionnés s’applique par analogie aux risques techniques des bases de données[5].
  1. Des perspectives d'avenir – Quelques orientations possibles de l'exploitation
[1] Etizoni, p. 49-51; Martin D., p. 26; Métille, Thèse, p. 73.

[2] CNIL, Conclusion du contrôle du STIC, p. 26.

[3] Bondallaz, protection des personnes, p. 36; Caprioli, p. 5.

[4] Supra Partie II, Chapitre 3, III, A, 5, c, i, n° 2164.

[5] Supra Partie II, Chapitre 3, III, A, 5, c, i, n° 2164 ss.

T484 – 3. L’utilisation des bases de données et la protection des données personnelles

a. Les atteintes à la sphère privée et à l’autodétermination informationnelle
  • La naissance et le développement de l’informatique, sa diffusion progressive et son intégration dans le travail de la police et des autorités judiciaires ont soulevé des problèmes – notamment sur la collecte et la sécurité des données – et suscité quelques débats, notamment, sur l’ingérence aux droits fondamentaux.
  • Les facilités et la rapidité du processus de détection ou de confirmation via les bases de données couplées avec la nécessité de recourir à moins de ressources humaines sur un même dossier ont immanquablement développé les recherches et traitements informatisés par la police. Ces dernières années, le nombre et la nature des bases de données gérées et exploitées par les autorités pénales s’étant accrus[1], les atteintes à la vie privée sont devenues plus fréquentes et d’une intensité plus importante dès lors que les données recueillies s’étendent à tous les aspects de la vie publique, privée et aux informations personnelles[2].
i. Quelles menaces pour la vie privée et les libertés fondamentales?
  • Le traitement des informations pertinentes pour une enquête pénale et pour l’administration de la justice existe depuis longtemps. D’abord effectués manuellement, l’enregistrement et le traitement des données se sont informatisés. Les possibilités de stockage ont augmenté, la vitesse de traitement s’est accrue, l’architecture des bases de données s’est améliorée et l’utilisation a été facilitée au fur et à mesure de l’évolution dans le monde informatique.
  • La caractéristique principale d’une base de données est de recueillir et d’enregistrer des informations généralement personnelles. Pour rappel, grâce aux traitements informatisés, il est possible de trier, de fusionner, d’effectuer des regroupements avec des informations d’une autre base de données, de sélectionner, de mettre à jour, etc. les données enregistrées dans un système[3]. Toutes ces possibilités engendrent l’accumulation des informations. En effet, avant, le traitement manuel nécessitait de ne conserver que certaines données sans quoi le travail était impossible ou gargantuesque; aujourd’hui, si nous regroupons la totalité des données collectées dans une unique base de données, nous ne pourrions que constater qu’il est possible de nous suivre et de contrôler tous nos faits et gestes.
  • Le simple citoyen peine parfois à se rendre compte quelles autorités, entreprises ou personnes privées détiennent des informations personnelles, mais aussi quelles sont ses données personnelles qui sont enregistrées, traitées, voire regroupées. Ainsi, l’accroissement des environnements informationnels crée le risque de perdre peu à peu la maîtrise des données qui nous concernent et de voir sa vie privée violée de manière inadmissible.
  • La Cour européenne des droits de l’Homme[4] et le Tribunal fédéral[5] ont à plusieurs reprises reconnu que l’enregistrement et le traitement d’informations personnelles dans une base de données créent une ingérence au droit à l’autodétermination informationnelle (art. 8 § 1 CEDH et 13 al. 2 Cst). Il va sans dire que le regroupement des données permettant de créer des profils de la personnalité (art. 3 let. d LPD et art. 4 let. c LIPAD/GE) engendre un risque plus élevé pour le respect des garanties des droits personnels.
  • Lors de l’analyse de la preuve dactyloscopique et celle de la preuve génétique, nous avons abordé la nature et la gravité des ingérences aux droits fondamentaux consécutives à l’emploi des bases de données AFIS et CODIS[6]. Les informations concernant l’atteinte aux droits fondamentaux par l’utilisation de ces deux bases de données sont généralisables à toutes les bases de données exploitées par une autorité pénale.
  • Ainsi, plus le nombre de bases de données et de recoupements entre elles augmentent, plus il y a de risque d’une ingérence disproportionnée à la vie privée, au droit à l’autodétermination informationnelle et plus le risque de violation de la présomption d’innocence est important.
ii. Comment limiter des ingérences inacceptables et les craintes suscitées par l’exploitation des bases de données?
  1. a) Les principes généraux
  • L’évaluation de la justification de l’ingérence causée par le traitement informatisé des bases de données AFIS et CODIS fournit un premier élément de réponse[7].
  • Toute exploitation d’une base de données par une autorité pénale doit reposer sur une disposition légale, être justifiée par un intérêt public prépondérant et respecter le principe de proportionnalité.
  • La limitation à un certain cercle d’individus ou à certaines circonstances, la limitation de la conservation et la destruction des données sont des points essentiels pour reconnaître l’atteinte à l’autodétermination comme proportionnée[8].
  1. b) La surveillance, la transparence et l’harmonisation des procédures
  • Trois autres points peuvent limiter les craintes suscitées par l’exploitation des bases de données et le risque d’ingérences inacceptables: la mise en place d’une surveillance drastique et complète dans la gestion des fichiers, l’obligation du respect de la transparence et l’harmonisation des dispositions liées à la constitution et à l’exploitation des données personnelles[9].
  • Grâce à ces éléments, les particuliers peuvent mieux appréhender le traitement des données personnelles qui les concernent et mieux comprendre la procédure applicable à la gestion des bases de données.
  1. La surveillance de la gestion des bases de données
  • La mise en place d’une surveillance doit permettre de contrôler les données qui sont enregistrées, traitées et conservées, de découvrir si des informations inutiles devant être détruites ou ne respectant pas le principe de finalité sont recueillies et conservées, et si les conditions légales pour l’exploitation et la conservation des données sont respectées.
  • Le préposé fédéral à la protection des données personnelles et à la transparence (art. 27 LPD) et les services cantonaux compétents – le préposé à la protection des données à Genève en ce qui concerne les bases de données cantonales (art. 56 LIPAD/GE) – sont chargés de vérifier le respect des normes en vigueur.
  • Néanmoins, vu l’ampleur de leurs tâches, il ne leur est pas possible d’avoir un œil sur toutes les données intégrées et conservées. C’est pourquoi, la surveillance n’est qu’un garde-fou qui n’empêche pas en soi les craintes de l’opinion publique sur la gestion des fichiers.
  1. Le devoir d’informer
  • Le respect du principe de transparence contient deux aspects. D’une part, il s’agit d’informer le public et, d’autre part, de leur octroyer un droit d’accès[10].
  • Concernant l’information, il s’agit de porter à la connaissance de la population la création d’une base de données et les informations qu’elle peut contenir. En droit fédéral et en droit cantonal genevois, un registre, respectivement un catalogue, est tenu par le préposé (art. 11a et 14 LPD et 43 LIPAD/GE)[11]. En outre, l’organe fédéral a le devoir d’informer les personnes concernées par toute collecte de données la concernant (art. 11a et 18a LPD et 18 LIPAD/GE)[12].
  1. Le droit d’accès
  • Il faut différencier l’exercice du droit d’accès en dehors d’une procédure pénale et le droit d’accès dans le cadre d’une telle procédure.
  1. Le droit d’accès en dehors d’une procédure pénale
  • L’ordonnance RIPOL, l’Ordonnance IPAS, la Loi sur les profils d’ADN et l’Ordonnance sur les profils d’ADN ne règlent pas expressément le droit d’accès aux données. En l’absence de dispositions spéciales, le droit d’accès prévu aux art. 8 et 9 LPD, soit un droit d’accès direct[13], est applicable. D’ailleurs, la LSIP y renvoie expressément (art. 7 LSIP).
  • Ainsi, toute personne peut demander au maître du fichier – la Fedpol – si des données la concernant sont traitées dans les systèmes automatisés RIPOL, IPAS ou CODIS.
  • Le système JANUS a une réglementation particulière. L’accès direct est octroyé en ce qui concerne les saisies dans le système d’appui aux enquêtes de la police judiciaire (art. 2 al. 2, 3 al. 2 et 25 let. c O-JANUS cum 7 al. 4 et 10 LSIP).
  • En revanche, l’accès est limité en ce qui concerne les données saisies dans le système informatisé des Offices centraux de police (art. 3 al. 1 et 3 et 25 let. a et b O-JANUS), exception faite des données transmises dans le cadre de la coopération avec d’autres Etats Schengen (art. 3 al. 4 et 25 let. b O-JANUS) et des données cantonales (art. 3 al. 5 et 25 let. d O-JANUS).
  • Quant aux systèmes AFIS, il ne contient aucune disposition relative aux droits d’accès. Cette absence s’explique par le fait qu’aucune donnée nominale n’est intégrée dans cette base de données[14].
  1. Le droit d’accès dans le cadre d’une procédure pénale pendante
  • La Loi fédérale sur la protection des données et la loi cantonale genevoise sur l’information du public, l’accès aux données et la protection des données personnelles ne s’appliquent pas aux procédures pénales pendantes (art. 2 al. 2 let. c LPD et art. 3 al. 3 let. b LIPAD).
  • Dès lors, seul celui qui fait valoir un intérêt à la procédure – soit celui qui participe à la procédure pénale – peut bénéficier du droit de consulter le dossier (art. 101 cum 107 CPP).
  • Ainsi, une personne qui ne participe pas à la procédure doit attendre sa clôture définitive pour pouvoir bénéficier du droit d’accès sur les données recueillies qui la concernent. Ce cas de figure est plutôt rare, les éléments du dossier de procédure concernent généralement une partie. Néanmoins, il peut se présenter. Dès lors, nous pourrions nous interroger si l’inapplicabilité générale de la LPD en cas de procédure pendante ne contrevient pas aux art. 8 § 1 CEDH et 13 al. 2 Cst.
  • En accord avec une partie de la doctrine[15], il nous semble préférable d’instaurer un droit d’accès même durant une procédure pénale pendante pour les non-participants, étant précisé qu’il serait possible de le limiter ou le différer en appliquant par analogie l’art. 9 LPD.
  1. L’harmonisation des procédures
  • La LPD – pour les systèmes informatisés fédéraux – et la LIPAD/GE – pour les systèmes automatisés cantonaux genevois – soumettent quelques exigences d’ordre général. Pour le surplus, la procédure diffère pour chaque base de données, dès lors qu’elles sont réglementées par des ordonnances spécifiques.
  • L’harmonisation du droit offre une meilleure sécurité juridique. Certes, certaines dispositions doivent rester spécifiques aux diverses bases de données: leur champ d’application, leur contenu, les compétences pour gérer, avoir accès, enregistrer ou traiter des données. En revanche, il ne nous paraît pas souhaitable, notamment, que le droit d’accès des particuliers diffère d’une base de données à l’autre.
  • Le droit d’accès est un droit primordial des particuliers dans le respect de leur vie privée et dans l’exercice de leur droit à l’autodétermination informationnelle[16]. Il doit permettre à chacun de contrôler les autorités et de les obliger à transmettre les informations collectées à l’insu de la personne, éventuellement à corriger ou effacer des données.
  • C’est pourquoi, dans l’idéal, les art. 8 et 9 LPD et leurs corollaires au niveau cantonal, les art. 24 et 26 LIPAD/GE, devraient être appliqués[17]. Ainsi, les particuliers pourraient exercer leurs droits avec une meilleure aisance, compléter le contrôle des autorités effectué par le préposé fédéral et les préposés cantonaux, et, ainsi, amoindrir leur crainte du « Big Brother ».
b. L’utilité des bases de données
  • L’automatisation et la création de bases de données comprenant des données personnelles menacent certes le respect à la vie privée ainsi que toutes les libertés personnelles, mais, en contrepartie, l’influence des ordinateurs sur la société a eu un bienfait quant à la facilitation de l’enregistrement, du traitement, de l’analyse, etc. des informations.
  • La prévention et la répression des infractions commandent que les autorités pénales puissent agir rapidement et efficacement. En disposant de renseignements détaillés, valables et actuels, il est possible de cibler les soupçons sur une ou plusieurs personnes, de confondre un auteur d’infraction ou de lier deux affaires entres elles et de bénéficier notamment de plus d’informations, voire d’indices.
  • De manière générale en procédure pénale, la surveillance, la recherche d’indice ou de preuve et leur analyse ne sont utiles que si le but recherché – prouver un fait, identifier ou confondre l’auteur de l’infraction – peut être atteint. Pour ce faire, la récolte des informations susceptibles de prouver un fait allégué doit se poursuivre avec le traitement et l’analyse de ladite information.
  • La croissance constante du volume de données recueillies à montrer les limites du classement manuel. La technologie du traitement automatisé de données offre la possibilité de conserver une quantité presque illimitée de données, de rechercher des informations rapidement et d’effectuer des liens qui étaient jusqu’alors impossibles ou extrêmement longs[18].
  • Toutes les techniques ou sciences présentées dans notre étude peuvent faire l’objet de fiches informatisées et être intégrées à une base de données. Ainsi, en enregistrant les indices dactyloscopiques, les prélèvements ADN et les données de localisation, en traitant les données de facturation, les images de vidéosurveillance, etc. et en couplant toutes les informations recueillies – moments et lieux de commission des infractions, modes opératoires, éléments pertinents, etc. –, l’autorité pénale peut développer ou gérer des hypothèses de travail.
  • A partir des faits constatés, les informations obtenues peuvent par exemple permettre d’affirmer que deux scènes de crimes sont liées entre elles, parce que la présence d’un même individu est constatable ou simplement parce que le mode opératoire est similaire.

Néanmoins, les bases de données ne sont pas et ne seront jamais des « créatrices » de preuve[19]. Elles ne font que confirmer une hypothèse issue du travail d’enquête et du raisonnement des enquêteurs, ou, si aucune hypothèse n’est préalablement formulée, elles peuvent mettre en évidence une voie possible de raisonnement en suggérant de s’intéresser

[1] Cornu, p. 257 ; DSG-Belser, p. 40. Supra Partie II, Chapitre 3, III, B, 2, n° 2208 ss.

[2] Cornu, P. 257; Paoletti, p. 54; Ribaux, p. 148; Vitalis, p. 137-139.

[3] DSG-Waldmann, Oeschger, p. 842; Vitalis, p. 55.

[4] CourEDH, Affaire Leander c. Suède, arrêt du 26 mars 1987, § 48; ComEDH, Affaire Herbecq et l'association ligue des droit de l'Homme c. Belgique, arrêt du 14 janvier 1998, 32200/96 et 32201/96, p. 92; CourEDH, Affaire Amann c. Suisse, arrêt du 16 février 2000, 27798/95, § 65; CourEDH, Affaire Rotaru c. Roumanie, arrêt du 4 mai 2000, 28341/95, § 43-44; CourEDH, Affaire Khelili c. Suisse, arrêt du 18 octobre 2011, 16188/07, § 55-56; CourEDH, Affaire M.M c. Royaume-Uni, arrêt du 13 novembre 2012, 24029/07, § 187-188.

[5] ATF 120 Ia 147, 149 = JdT 1996 IV 61, 61; ATF 124 I 80, 81-82 = JdT 2000 IV 24, 25-26; ATF 128 II 259, 269 = JdT 2003 I 411, 420 = SJ 2002 I 531, 531-532; ATF 133 I 77, 80-81; ATF 137 I 167, 172-173.

[6] Supra Partie II, Chapitre 2, I, B, 1, b, ii, n° 579 ss; Supra Partie II, Chapitre 2, I, C, 3, n° 739 ss; Supra Partie II, Chapitre 2, II, B, 1, a, ii et iii, n° 850 ss et 853 ss; Supra Partie II, Chapitre 2, II, C, 2, a, ii, n° 1040 ss; Supra Partie II, Chapitre 2, II, C, 2, c, n° 1060 ss.

[7] Supra Partie II, Chapitre 2, I, B, 1, b, ii, n° 579 ss; Supra Partie II, Chapitre 2, I, C, 3, n° 739 ss; Supra Partie II, Chapitre 2, II, B, 1, a, ii et iii, n° 850 ss et 853 ss; Supra Partie II, Chapitre 2, II, C, 2, a, ii, n° 1040 ss; Supra Partie II, Chapitre 2, II, C, 2, c, n° 1060 ss.

[8] TF 1C_363/2014 du 13 novembre 2014, c. 2 = SJ 2015 I 128, 129-130.

[9] Bondallaz, protection des personnes, p. 440, Métille, Thèse, p. 295-300; Message, CPP, p. 1138; Vitalis, p. 144.

[10] DSG-Epiney, p. 544; Meier P., p. 275.

[11] DSG-Epiney, Fasnacht, p. 544; Meier P., p. 347; Rosenthal, Jöhri, art. 7a N 11.

[12] DSG-Epiney, Fasnacht, p. 608; DSG-Waldmann, Bickel, p. 691; Rosenthal, Jöhri, art. 4 N 51.

[13] A ce sujet: DSG-Epiney, Fasnacht, p. 612-613; Meier P., p. 370-372.

[14] Supra Partie II, Chapitre 2, I, B, 1, b, ii, a), n° 582 ss; Supra Partie II, Chapitre 2, I, C, 3, b, n° 747 ss.

[15] BSK-DSG-Maurer-Lambrou, Kunz, art. 2 N 27; Rosenthal, Jöhri, art. 2 N 31-32.

[16] BSK-DSG-Gramigna, Maurer-Lambrou, art. 8 N 1 ; Meier P., p. 361.

[17] A ce sujet, voir: DSG-Waldmann, Oeschger, p. 865 ; Métille, Thèse, p. 305-308.

[18] Cornu, p. 258; Métille, Thèse, p. 74; Ribaux, p. 136-137; Rossy, p. 73.

[19] Ribaux, p. 142.

T479 – 2. Quelques bases de données fédérales

  • Proposé en 1970 par le chercheur Edgar F. Codd d’IBM[1], le modèle de base de données relationnelle, composée de diverses tables contenant des données et étant liées en entre-elles, s’est propagé rapidement. Le système JANUS, le système RIPOL, le système IPAS, la base de données AFIS, la base des données ADN CODIS, tous ces fichiers des autorités suisses utilisent un système de gestion relationnelle.
  • Néanmoins, en vertu de la nature des données collectées, du nombre d’utilisateurs potentiels et du type d’utilisation désirée, une même information peut être présentée et/ou classée de diverses manières en fonction de l’usage qui en est fait et de sa mise en œuvre, notamment quant aux critères principaux ou secondaires de traitement et de recherche. Les bases de données sont donc de facto toutes différentes[2].
  • En Suisse, il existe un certain nombre de bases de données: privées ou publiques, communales, cantonales, intercantonales ou fédérales, etc. Physiquement et juridiquement, toutes ces bases de données ont leurs propres particularités. Il est difficile, voire impossible, d’être exhaustif quant au contenu matériel de ces systèmes informatisés ou au champ d’application juridique. Nous présenterons brièvement les principales bases de données intéressantes dans le cadre de notre étude et de la procédure pénale.

Continuer la lecture de « T479 – 2. Quelques bases de données fédérales »