I A - La surveillance des télécommunications Archives - Me Cyrielle friedrich

17 novembre 201720 mai 2017

T338 – b) Le droit au respect de la sphère privée

Le droit au respect de la sphère privée protège toutes les informations relatives à une personne qui ne sont pas accessibles au public, notamment les données d’identification[1]. Extensivement, le droit au respect de la sphère privée garantit la protection du domicile contre les ingérences non-consenties[2].
L’enregistrement d’images de surveillance prises sur la voie publique ou sur des places et la conservation de ces données portent donc atteinte à la sphère privée, si un intérêt à la confidentialité existe, corrélativement aux données signalétiques[3]. Au contraire, un fait filmé publiquement visible et sans qu’il existe un intérêt à ce qu’il reste secret ne tombe pas sous le coup d’une violation de la sphère privée.
La Commission européenne des droits de l’Homme a en outre précisé qu’un système de surveillance installé dans un lieu public dépourvu de moyen d’enregistrement ne porte pas atteinte à la vie privée. Les données ne peuvent en effet pas être portées à la connaissance du public et les observateurs des images ne voient rien de plus que ce qu’ils auraient obtenu par une présence sur place[4].
Relevons encore que, malgré l’évolution technologique permettant de visualiser une multitude de caméras et la détection automatique par un programme informatique des événements, la jurisprudence précitée de la Cour européenne reste d’actualité,

[1] ATF 124 I 34, 36-37; ATF 124 I 85, 87 = JdT 2001 I 318, 319-320; ATF 137 II 371, 380-381.

[2] Auer, Flückiger, p. 926; Goldschmid, Überwachung, p. 21-22; Müller, Schefer, p. 195-196.

[3] ATF 133 I 77, 80-81 = JdT 2008 I 418, 421-422; ATF 136 I 87, 101 = JdT 2010 I 367, 379; CourEDH, Affaire Peck c. Royaume-Uni, arrêt du 28 janvier 2003, 44647/98, § 57-59.

[4] ComEDH, Affaire Herbecq et l'association ligue des droit de l'Homme c. Belgique, arrêt du 14 janvier 1998, 32200/96 et 32201/96, p. 92; CourEDH, Affaire Amann c. Suisse, arrêt du 16 février 2000, 27798/95, § 65-67; CourEDH, Affaire P.G et J.H c. Royaume-Uni, arrêt du 25 septembre 2001, 44787/98, § 59-60; CourEDH, Affaire Calmanovici c. Roumanie, arrêt du 1^er juillet 2008, 42250/02, § 130.

15 novembre 201720 mai 2017

T330 – a. Les droits fondamentaux, les libertés et leur protection

La vidéosurveillance implique de capturer et éventuellement d’enregistrer des images filmées dans la vie de tous les jours. Ainsi, corrélativement aux autres mesures de surveillance, cette technique s’immisce dans la vie privée des individus protégée par la Convention européenne des droits de l’Homme et la Constitution fédérale.

i. La protection des droits fondamentaux et l’atteinte aux libertés causée par la vidéosurveillance

La mise en place et l’exploitation d’un système de surveillance caméra met potentiellement en cause diverses libertés dont la liberté personnelle (art. 8 § 1 CEDH, art. 17 § 1 Pacte II et art. 10 al. 2 Cst), le droit au respect de la sphère privée (art. 8 § 1 CEDH, art. 17 § 1 Pacte II et art. 13 al. 1 Cst), le droit d’être protégé contre l’emploi abusif de ses données personnelles (art. 13 al. 2 Cst), la liberté de réunion (art. 11 CEDH, art. 21 Pacte II et art. 22 Cst), sans oublier le respect de la dignité humaine (art. 3 CEDH, art. 7 Pacte II et art. 7 Cst) qui se conçoit comme un pendant de la liberté personnelle[1].

Continuer la lecture de « T330 – a. Les droits fondamentaux, les libertés et leur protection »

30 octobre 201720 mai 2017

T317 – iii. L’IMSI- Catcher

a) La technique de l’IMSI-Catcher en quelques mots
La description de l’IMSI-Catcher

L’IMSI-Catcher est un nouveau dispositif de surveillance des téléphones mobiles.
Techniquement, l’IMSI-Catcher est un boîtier qui simule une antenne GSM et se place virtuellement entre l’antenne relais et celle du téléphone mobile[1]. Ainsi, tout téléphone mobile se trouvant dans la zone de couverture de l’IMSI-Catcher est automatiquement mis en contact avec le dispositif. Le numéro IMSI et IMEI est alors à la portée de l’appareil, ce qui permet de connaître l’utilisateur du téléphone, de le localiser et, depuis la seconde version de l’appareil, d’écouter les conversations[2].
Relevons encore que cette technique ne nécessite pas l’intervention de l’opérateur[3]. Ainsi, cette méthode de surveillance offre une plus grande liberté et une facilité pour le service d’enquête.

Les limites techniques

Actuellement, l’IMSI-Catcher a quelques limites techniques que nous n’exposerons pas exhaustivement[4].
En premier lieu, l’IMSI-Catcher fonctionnant à l’aide d’une simulation d’antenne, le téléphone mobile n’est plus en contact avec l’opérateur. Aussi, aucune communication entrante ne peut parvenir à l’utilisateur qui fait l’objet de la surveillance.
En second lieu, le dispositif de surveillance ne peut être activé que si le téléphone est au moins en veille. Il faut par conséquent que le téléphone soit nécessairement actif, ce qui restreint un certain nombre de cas où l’IMSI-Catcher est réellement utile.
En troisième lieu, certains téléphones mobiles affichent un symbole lorsque l’IMSI-Catcher est activé et qu’il capte le téléphone. Toute personne un tant soit peu attentive peut donc voir le symbole sur son appareil mobile et savoir qu’elle est surveillée.
En quatrième lieu, plus il y a de téléphones mobiles dans le périmètre de fonctionnement de l’IMSI-Catcher, plus le nombre d’interceptions de numéros IMSI ou IMEI est important[5]. Il faut alors faire des recoupements pour trouver la personne cible de la surveillance. Par conséquent, la surveillance à l’aide de cette technique peut apporter son lot de difficultés et d’incertitudes.
Enfin, l’IMSI-Catcher ne peut fonctionner que sur le réseau GSM puisqu’il exploite une faille de ce protocole. Néanmoins, actuellement, deux protocoles sont souvent employés pour la téléphonie mobile: le protocole GSM et l’UMTS[6]. Dès lors, si le protocole UMTS se développe aux dépens du protocole GSM, l’utilisation d’IMSI-Catcher sera totalement obsolète[7].

Continuer la lecture de « T317 – iii. L’IMSI- Catcher »

27 octobre 201720 mai 2017

T311 – ii. La surveillance préventive

a) La réglementation prévue par le CPP

En vertu des art. 269 ss CPP, la surveillance pénale de la correspondance a pour but de rechercher l’auteur d’une infraction ou de prouver l’existence d’une infraction préalablement commise. Ces dispositions n’ont pas pour but de servir à créer un soupçon excluant la possibilité d’effectuer une surveillance préventive[1].

b) La réglementation prévue dans la LMSI

La loi instituant des mesures visant au maintien de la sûreté intérieure (LMSI) est la norme principale réglant la surveillance préventive civile. Cette norme fédérale prévoit uniquement la surveillance aux fins de détecter un danger ou une menace pour la sécurité du pays.
Les informations recherchées doivent permettre de prévenir et de lutter contre les dangers liés au terrorisme, au service de renseignements prohibé, à l’extrémisme violent ou à la violence lors de manifestations sportives (art. 2 al. 1 LMSI). En outre, ce type de surveillance ne peut être mis en œuvre sans des soupçons de commission d’une future infraction[2].
En revanche, la LMSI ne permet pas d’autoriser une surveillance aussi intrusive que celle connue dans le cadre de la procédure pénale[3]. Cette limitation s’explique par le fait que, faute de commission d’une infraction, l’atteinte à la vie privée serait disproportionnée, et que la personne surveillée ne bénéficie pas des moyens de la procédure pénale pour remettre en cause la décision de surveillance.
Par conséquent, en dehors du cadre de l’art. 2 LMSI, cette loi n’autorise pas la surveillance préventive dite de police.

Continuer la lecture de « T311 – ii. La surveillance préventive »

26 octobre 201720 mai 2017

T300 – c. Quelques pistes de réflexion

i. La surveillance des communications VoIP

a) La technologie VoIP et les chevaux de Troie

La technologie VoIP – Voice over Internet Protocol – est utilisée pour communiquer par la voix – similairement à la téléphonie fixe ou mobile – en recourant au protocole TCP/IP[1]. Ce type de téléphonie a la particularité de pouvoir exister via le réseau internet, filaire ou non, ou sur d’autres réseaux compatibles IP, soit les réseaux privés.
L’utilisation de la technologie VoIP pour communiquer pose deux difficultés quant à sa surveillance. Premièrement, il s’agit d’une téléphonie « sans connexion », c’est-à-dire que le protocole TCP/IP ne prédétermine par un chemin pour permettre un échange, contrairement à la téléphonie traditionnelle qui n’est ouverte que lorsque le destinataire a décroché[2]. Deuxièmement, les communications VoIP sont bien souvent cryptées et donc inutilisables en l’état[3]. Pour surveiller secrètement les communications utilisant le protocole TCP/IP, la technique de surveillance classique n’est dès lors pas adéquate. L’unique solution est d’installer un logiciel espion dans l’ordinateur ou le Smartphone qui permet d’intercepter la communication à sa source avant tout cryptage[4].
Grâce à la technique dite du cheval de Troie, il est possible d’introduire à distance un logiciel dans l’ordinateur ou le Smartphone d’un utilisateur. Pour se faire, il suffit notamment d’envoyer un message électronique contenant une pièce jointe avec une dénomination suffisamment intéressante pour que l’utilisateur l’ouvre et que le programme s’installe automatiquement sur l’ordinateur, ou d’introduire le logiciel avec l’aide du fournisseur d’accès ou d’un fabriquant dans une mise à jour de programme. Il est ainsi possible de capturer les échanges de flux entre l’appareil et le réseau dans leur entier ou seulement les échanges liés à certains services spécifiques, voire de surveiller les entrées clavier, soit par exemple les mots de passe tapés.

b) Les normes actuelles sont-elles suffisantes pour autoriser l’utilisation des logiciels espions?

L’art. 15 al. 1 LSCPT permet d’exiger la surveillance des communications via le réseau Internet, et la OSCPT réglemente explicitement la question (art. 24 al. 2 let. b OSCPT). Les médias numériques, tels que la technologie VoIP, peuvent donc faire l’objet d’une surveillance des télécommunications.
Néanmoins, un problème subsiste quant à la mise en œuvre d’une telle surveillance via le réseau IP. En effet, à ce jour aucune réponse définitive n’est donnée quant à savoir si le CPP permet ou non l’installation d’un logiciel espion, mais cette problématique sera réglée si le référendum de la nouvelle LSCPT n’aboutit pas et/ou si le législateur se détermine positivement sur l’introduction des nouveaux articles du CPP (art. 269bis CPP).
A teneur de l’art. 280 let. a CPP, le ministère public peut utiliser des dispositifs techniques de surveillance aux fins d’écouter ou d’enregistrer des conversations non publiques.
La disposition légale et le message du Conseil fédéral ne définissent pas ce qu’il faut entendre par « dispositifs techniques« [5].
Le Tribunal fédéral, dans un arrêt récent, a élargi la notion de « dispositifs techniques« . Par ces termes, il faut entendre tout moyen utilisé dans un cas concret qui permet d’écouter une conversation non publique[6]. Cette interprétation large de la norme inclut donc l’emploi de logiciel espion. En effet, même si un cheval de Troie est un programme, il est installé sur un ordinateur, soit un appareil, ce qui est suffisant au regard de l’interprétation du Tribunal fédéral puisque le texte légal ne stipule pas que l’appareil doit appartenir à l’autorité[7].
A notre sens, l’avis du Tribunal fédéral est erroné tant au regard de l’interprétation littérale, historique, systématique que théologique de la norme[8].
Littéralement, le libellé de l’art. 280 CP est clair et parle de dispositif technique de surveillance. Thomas Hansjakob[9] précise que l’art. 280 let. a CPP se réfère à l’utilisation d’appareils d’écoute et d’enregistrement évoqués aux art. 179bis et 179quater Nous sommes du même avis.
Les logiciels de type Govware ne sont en aucun cas des appareils et ne permettent pas l’écoute de la communication, mais uniquement le traitement des données ou l’espionnage des fichiers. Un tel programme permet d’intercepter non seulement les communications orales ou écrites, mais aussi tout type de fichiers contenus dans l’ordinateur allant donc plus loin que l’usage d’un dispositif technique classique. Ainsi, même si nous acceptions la notion large de « dispositifs techniques » réalisée par le Tribunal fédéral, il n’en reste pas moins que l’interception par un cheval de Troie ne se limite pas qu’à l’écoute et à l’enregistrement des conversations[10].
Historiquement, l’art. 280 let. a CPP a été édicté pour servir de justification aux articles 179bis et 179quater En revanche, les travaux parlementaires lors de la création de cet article ne font aucune référence à l’utilisation de chevaux de Troie.
En outre, toujours selon l’interprétation historique, ou plus exactement selon une interprétation temporelle, le Tribunal fédéral a reconnu que, pour cette règle d’interprétation, il était acceptable de s’intéresser aux travaux préparatoires sur les projets de loi non-entrés en vigueur[11]. Les changements de circonstances peuvent permettre de révéler des lacunes dans la loi et être utiles pour interpréter une norme.
In casu, la révision de la LSCPT, en procédure de navette entre le Conseil national et le Conseil des Etats, est en cours avec pour point d’orgue l’introduction d’un nouvel article dans le Code de procédure pénale prévoyant spécifiquement l’introduction de logiciel espion pour une surveillance secrète. Ce constat nous conforte dans l’idée que le législateur n’a, lors de l’édiction de l’art. 280 CPP, pas prévu le cas de l’installation de programmes informatiques à des fins de surveillance.
Selon l’interprétation systématique, il faut se référer à la cohérence et l’harmonie de l’ordre juridique. Les mesures de surveillance font partie des mesures de contrainte (Chapitre 8 du Titre 5 du Code de procédure pénale). A teneur de l’art. 196 CPP, la surveillance des télécommunications porte donc atteinte aux droits fondamentaux. Selon la jurisprudence, la sécurité juridique commande que la détermination de la norme et sa prévisibilité dépendent étroitement de la complexité de la mesure, voire de la gravité de l’atteinte.
Lors de l’installation d’un cheval de Troie, l’autorité s’infiltre dans un ordinateur ou un Smartphone à l’insu de l’utilisateur. Il ne fait aucun doute que l’atteinte à la vie privée est grave[12]. En outre, les chevaux de Troie sont des programmes spécifiques et relativement complexes dont la portée et le fonctionnement sont inconnus de nombreuses personnes pouvant occasionner une grande méfiance. C’est pourquoi l’édiction de normes claires réglant les circonstances et les conditions dans lesquelles un logiciel espion peut être utilisé est nécessaire afin de garantir la prévisibilité.
Enfin, dans la perspective téléologique, il faut se demander si la volonté du législateur était d’admettre que l’art. 280 let. a CPP constitue une norme suffisante pour les chevaux de Troie. L’analogie dans le contexte de l’interprétation des lois n’est pas interdite[13]. Nous pouvons donc nous demander si tel pourrait être le cas pour admettre l’utilisation des chevaux de Troie. Néanmoins, pour deux raisons, nous rejetons l’application analogique de l’art. 280 let. a CPP pour les logiciels de surveillance.
Premièrement, lors de l’adoption de l’art. 280 CPP, il existait déjà des logiciels d’espionnage et, pourtant, le législateur n’a fait aucune référence à ces programmes lors de l’édiction de la norme[14]. Il apparaît donc par conséquent qu’il n’a pas voulu autoriser l’utilisation de ce type de surveillance.
Deuxièmement, Thomas Hansjakob relève que le comportement visant à introduire un programme informatique dans un ordinateur est constitutif d’une infraction à l’art. 143bis CP[15]. L’intrusion informatique est en effet réalisée « sans droit« [16]. La mesure étant secrète la question de l’intervention de l’assentiment de l’ayant-droit n’intervient pas pour exclure la typicité, et le législateur a introduit l’art. 280 CPP pour justifier les infractions prévues aux art. 179bis, 179quater et 179octies CP CP, et non celle de l’art. 143bis Dès lors, il n’a pas été désireux de prévoir la surveillance aux moyens de logiciels espions.
Par conséquent, à notre avis, l’art. 280 let. a CPP ne nous semble pas suffisant pour admettre ni l’introduction d’un cheval de Troie, ni la possibilité d’utiliser les données VoIP hors transmission externe, et ne respecte vraisemblablement pas la prévisibilité commandée par les droits fondamentaux[17].
Relevons encore que Sylvain Métille, Olivier Jotterand, Jérémie Müller et Jean Treccani différencient l’emploi de chevaux de Troie pour l’interception du flux d’informations échangées ou pour la surveillance de l’environnement informatique. Dans le premier cas, notamment pour la surveillance VoIP, ces auteurs estiment qu’il s’agit d’une simple surveillance de la correspondance au sens de l’art. 269 ss CPP. Dans le second cas, il s’agit d’un dispositif technique de surveillance prévu à l’art. 280 CPP.
Nous réfutons cette distinction puisqu’il ne s’agit pas de surveiller un raccordement ou une communication mais un flux de données.
Dans un arrêt récent, la Cour constitutionnelle allemande a considéré que l’introduction d’un cheval de Troie n’était pas une simple mesure de surveillance des télécommunications, mais ressemblait davantage à une « perquisition en ligne »[18]. Par conséquent, il s’agit d’une mesure nettement plus invasive que ce que permet l’art. 269 ss CPP qui ne peut pas non plus se justifier au regard de l’art. 245 CPP sur l’exécution d’une perquisition puisque la surveillance est réalisée à l’insu de l’utilisateur.
Dans tous les cas, une base légale spécifique semble nécessaire pour autoriser l’utilisation de chevaux de Troie.

c) La révision de la LSCPT et l’introduction de l’art. 269ter CPP

La révision de la LSCPT prévoit l’introduction d’un article 269ter CPP autorisant l’introduction de logiciel d’espionnage et de décryptage des données, ainsi qu’une précision et un complément concernant les personnes soumises à la LSCPT[19].

Le projet de modification de la LSCPT en quelques mots

Le P-LSCPT précise et complète le champ d’application matériel (art. 1 P-LSCPT) et personnel (art. 2 P-LSCPT) pour tenir compte de l’évolution technologique et de l’usage grandissant des télécommunications par Internet.
L’art. 2 al. 1 P-LSCPT ne se limite plus à soumettre les fournisseurs d’accès Internet à l’exécution de la surveillance. Les intermédiaires ou les personnes mettant à disposition une infrastructure de communication sont également concernés. Ainsi, les fournisseurs d’hébergement – Service-provider ou Hosting-provider, soit les fournisseurs d’application en ligne – ni soumis à concession, ni à l’obligation d’annoncer sont tenus d’exécuter la surveillance. Cette modification évite ainsi que certains se retranchent derrière la notion « fournisseur d’accès Internet » pour refuser la mise en œuvre de la surveillance, notamment VoIP, lorsque la communication ne fait qu’utiliser le réseau sans qu’il y ait d’accès.
Le P-LSCPT est actuellement en examen auprès du parlement. Suite à la session d’automne 2015, les délibérations du Conseil national ont soulevé des divergences, si bien que le P-LSCPT a été renvoyé au Conseil des Etats.

La création de l’art. 269ter CPP

La surveillance à l’aide d’un logiciel espion, communément appelé GovWare, nécessitant de pénétrer activement dans le système informatique de la personne surveillée est nettement plus invasive qu’un simple détournement des données ou du recueillement de celles stockées. La sphère privée dans sa perspective de droit au secret des télécommunications et à la protection du domicile électronique est mise à mal.
La protection du domicile électronique est le droit le plus touché par l’utilisation des chevaux de Troie[20]. Il vise à garantir la confidentialité et l’intégrité des informations stockées par les usagers ou les tiers à leur intention dans un espace numérique[21]. Ce sont ces mêmes informations qui sont interceptées par l’utilisation de logiciels espions ou d’autres dispositifs analogues. Ce droit à la protection du domicile électronique ne fait néanmoins par partie du catalogue des droits fondamentaux institués dans la Constitution. Afin d’assurer la sauvegarde des droit fondamentaux et malgré que le droit au domicile électronique trouve son fondement à l’art. 28 al. 1 CC, il serait préférable que l’art. 13 al. 1 Cst explicite ce droit.
Relevons encore que, comme la déclaré la Cour constitutionnelle allemande[22], le comportement visant à introduire un cheval de Troie pour surveiller un ordinateur ou un Smartphone constitue une grave atteinte aux droits fondamentaux de la confidentialité, de l’intégrité des données et de la sphère privée. Ce type de surveillance ne peut se justifier que si le recours à cette méthode est prévu par une base légale suffisamment claire et prévisible, respecte la proportionnalité et est strictement nécessaire.
Comme nous l’avons vu[23], à la lumière de la législation en vigueur, la surveillance effectuée par l’introduction d’un cheval de Troie est illicite, malgré qu’à de rare reprise un logiciel GovWare a été utilisé par les autorités policière ou judiciaire avant l’entrée en vigueur, conformément aux dispositions de droit cantonal ou fédéral en vigueur[24]. C’est pourquoi la modification de la LSCPT ajoute un art. 269ter CPP aux mesures de surveillance secrète. Cet article sert non seulement de base légale justifiant l’atteinte à l’art. 143bis CP, mais fixe également le cadre de mise en œuvre de la surveillance à l’aide d’un logiciel espion[25].
L’art. 269ter CPP offre une base légale expresse et précise pour recourir aux logiciels d’espionnage, soit des programmes informatiques infiltrés dans le but d’intercepter et de permettre la lecture des données à l’insu de la personne surveillée. Plus spécifiquement, grâce au programme informatique, l’autorité pénale peut surveiller un ordinateur ou un Smartphone et avoir accès à toutes les informations échangées sans qu’elles soient cryptées, permettant notamment de surveiller la téléphonie par Internet et la correspondance par e-mails[26]. Néanmoins, la disposition légale interdit l’usage d’un logiciel Govware pour perquisitionner en ligne un ordinateur ou tout autre système informatique (téléphone mobile ou fixe, tablette, etc.) ainsi que pour utiliser la caméra ou le micro intégré[27]. En outre, dans l’hypothèse où un antivirus bloque le programme de surveillance, cette disposition légale permet de mettre en place, pour déjouer le blocage, un second logiciel complémentaire[28].
Conformément aux obligations légales, le ministère public doit en premier lieu spécifier le type d’informations pouvant être interceptées[29]. Cette condition fixe une limite dans l’obtention des données issues de la surveillance et doit permettre d’éviter les abus. Néanmoins, l’introduction d’un logiciel informatisé permet d’obtenir non seulement des données précises et utiles à la procédure, et toutes les données stockées sur l’ordinateur même sans rapport avec la procédure de surveillance. Ainsi, la limite légale reste franchissable par l’autorité chargée de la mesure même si les données recueillies ne sont alors pas exploitables (art. 277 CPP)[30].
En outre, au vu de la gravité de l’atteinte à la vie privée, la mesure de surveillance consistant à agir activement sur le système informatisé ne peut être utilisée qu’en dernier recours lorsque les autres modes de surveillance sont restés sans succès, ou qu’ils n’auraient aucune chance d’aboutir ou rendraient la surveillance excessivement ardue[31]. En somme, le législateur instaure une sorte de double subsidiarité, la première consistant à recourir aux autres moyens de contrainte prévus par le Code de procédure pénale avant d’employer les moyens de surveillances classiques, et la seconde de n’utiliser le logiciel d’espionnage qu’en dernier recours.
Afin de limiter les risques d’atteinte considérable aux droits fondamentaux et/ou s’assurer que le Ministère public recourt à la surveillance au moyen de logiciels espions trop facilement, ce dernier doit tenir des statistiques sur l’utilisation de cette mesure de contrainte (art. 269ter 4 CPP), ce qui devrait permettre d’évaluer l’atteinte à la liberté personnelle, avec la précision que le coût d’utilisation devrait également limiter le recours à ces méthodes de surveillance[32]. De même, l’art. 269quater CPP a été intégré au P-LSCPT qui prévoit notamment que seuls les programmes qui établissent des procès-verbaux peuvent être exploités afin d’éviter que les résultats soient alterés ou encore que le système de transmission soit sécurisé[33].
Nonobstant la nécessité d’édicter une base légale pour autoriser l’utilisation des chevaux de Troie dans le cadre de la surveillance secrète, quelques critiques ont été émises sur la base légale proposée au parlement dans l’avant-projet. En effet, une base légale qui autorise l’introduction d’un programme informatique doit respecter rigoureusement la précision. Or, la disposition proposée éludait quelques points qui ont été, en partie, rectifiés dans la P-LSCPT.
Premièrement, malgré le fait que le ministère public doive indiquer quelles données il souhaite obtenir, la surveillance ne se limitait pas à un ou des programmes précis. Lors de la procédure de consultation, certains partis politiques ont émis l’idée de restreindre à certains secteurs, voire de déterminer si une « perquisition électronique » était acceptable ou si seules les données relatives au trafic pouvaient être relevées[34].
En effet, ni le rapport explicatif du Conseil fédéral, ni la base légale elle-même ne limitait la portée de l’utilisation du cheval de Troie. La seule contrainte qui existait concernait la nature des données qui devaient être utiles à la procédure.
Ce constat engendrait la crainte de voir le logiciel d’espionnage utilisé comme une méthode de perquisition en ligne à l’insu de l’utilisateur, ce qui aurait constitué une atteinte extrêmement grave aux droits personnels et serait contraire à la pratique actuelle s’appuyant sur l’art. 245 CPP pour perquisitionner un ordinateur[35].
C’est pourquoi, l’art. 269ter CPP précise que la perquisition en ligne est interdite. L’introduction de GovWare ne pouvant être réalisé que pour lire des communications relevant de la téléphonie par Internet, intercepter les données communiquées, par exemple des messageries instantanées, et accéder aux e-mails[36].
Deuxièmement, aucune disposition ne prévoit les modalités d’effacement du cheval de Troie. Par conséquent, il n’est pas improbable qu’une fois la surveillance terminée, le logiciel reste actif sur l’ordinateur, ce qui, au regard du respect du droit à la vie privée, n’est pas tolérable. L’art. 269ter CPP n’introduit toujours pas de procédure d’effacement et le message du Conseil fédéral se limite à déclarer que l’autorité policière peut activer ou non le GovWare installé[37].
Troisièmement, la problématique la plus importante par rapport au principe de proportionnalité était le manque d’indication sur les infractions commises susceptibles d’enclencher la procédure de surveillance basée sur un logiciel espion.
Le rapport explicatif de l’avant-projet précisait qu’au vu de la « double subsidiarité », toutes les infractions qui pourraient autoriser une surveillance classique de la correspondance « sont susceptibles, dans un cas particulier, de présenter une gravité justifiant le recours au procédé de surveillance« . Néanmoins, aucune indication ne permettait de savoir en quoi consiste la gravité particulière qui est demandée[38].
De l’avis de certains parlementaires, il était préférable d’édicter une liste d’infractions corrélativement à ce qui prévaut pour la surveillance classique, ou tout du moins expliciter dans l’art. 269ter CPP que seules les infractions listées à l’art. 269 al. 2 let. a CPP étaient concernées. En effet, vue la gravité de l’atteinte à la sphère privée, l’interception et le décryptage des données devaient être autorisés dans des conditions très strictes. La liste des infractions énumérées à l’art. 269 al. 2 let. a à i CPP devaient par conséquent être limitée à des infractions très graves contre la vie ou l’intégrité corporelle, voire contre l’intégrité de l’Etat[39]. Le législateur a été plus loin puisqu’il a réduit la liste des infractions à celles de l’art. 286 al. 2 CPP, plus restrictive, et donc plus conforme à la nature intrusive de ce mode de surveillance, largement supérieure à celle des méthodes classiques de surveillance[40].

d) Les risques de l’utilisation des chevaux de Troie pour la valeur probante des données recueillies

Aux fins de la preuve pénale, les remarques sur l’efficacité et les risques concernant la validité probatoire des autres modes de télécommunication valent de même pour les communications VoIP[41]. S’ajoutent à ces remarques les risques provenant directement de la surveillance.
L’intégration d’un programme pour intercepter et décrypter les données et accéder au système informatique n’est pas sans danger. Si l’autorité pénale utilise aisément l’introduction d’un logiciel espion, un tiers peut également y recourir pour contrôler, utiliser, voire modifier, le système d’un tiers surtout que l’art. 269ter CPP offre la possibilité d’introduire un programme complémentaire pour déjouer l’antivirus mettant à mal la sécurité de l’ordinateur ou du Smartphone[42]. Ainsi, l’autorité crée une brèche importante tant dans la protection des données que dans la sécurité informatique. En niant ce fait et en expliquant que chaque programme est spécifique et n’est pas réalisé pour durer[43], les spécialistes du domaine policier n’ont pas pris en considération tous les risques de fragilisation d’un système, les capacités des hackers et le fait que la structure du logiciel reste la même[44].
En outre, il n’est pas impossible que le logiciel espion utilisé par les autorités puisse faire son apparition sur la toile. Par exemple, si le logiciel est introduit dans l’ordinateur ou le Smartphone à l’aide d’un e-mail contenant une pièce jointe, il se peut que ledit e-mail soit transféré et contamine d’autres appareils. Dans cette hypothèse, tout un chacun pourra employer le cheval de Troie à titre particulier pour s’introduire et contrôler un appareil tiers.
Les risques de voir des données personnelles à la portée de tiers n’est pas inexistant, ce qui peut laisser sceptique quant à l’emploi d’un tel système par l’autorité. Qui sera alors responsable des abus, du vol de données ou simplement de la brèche de sécurité informatique créée? Le législateur nie également le problème des risques. Or, les spécialistes du monde scientifique ont uniquement déclaré que le programme finira tôt ou tard par se confronter à d’autre(s) logiciel(s) et que même si aucun dommage n’est constatable immédiatement, ce dernier terme démontre que, dans la durée, tel pourrait être le cas[45].
Tout logiciel implanté sur un système met en péril celui-ci. Ce constat est une évidence qui se prouve par le nombre de logiciels mettant à mal la sécurité informatique ou détruisant des données, voire créant des bugs de l’appareil. Quant aux logiciels espions, ils permettent autant de lire que d’intercepter, d’écrire ou de modifier des données. Dans ce contexte, il faut alors se poser la question de savoir comment l’autorité peut prouver l’authenticité des données recueillies. Par exemple, comment démontrer que la donnée n’a pas été téléchargée ou installée par le logiciel espion lui-même? A ce jour, aucune réponse n’a été apportée laissant un doute important quant à la viabilité de la preuve recueillie par cette méthode.
Cela étant, nous le comprenons, ce mode de surveillance est essentiel au vu de l’utilisation toujours plus croissante de la téléphonie et/ou autre communication par Internet[46]. Il est alors essentiel que le juge en charge du dossier constate qu’une brèche créée peut causer des modifications considérables des données. Il n’est alors par exclu que la conversation interceptée ne provienne pas de l’utilisateur surveillé ou que la donnée ait été modifiée, etc. Pour ce qui est des communications orales, le magistrat a néanmoins la possibilité de reconnaître la voix de la personne pour certifier que les dires sont authentiques. Nonobstant ce cas, les communications écrites ne peuvent aujourd’hui pas être certifiées, de même pour toutes les données contenues dans un ordinateur ou un Smartphone.
En conséquence, la surveillance des communications VoIP se justifie au vu de l’informatisation de la société actuelle. Néanmoins, les risques qu’un tiers ait pris possession des données, ajoutés aux facteurs pouvant diminuer la preuve liée à la surveillance des autres types de communications[47], les informations pouvant être obtenues ne fournissent en aucun cas une preuve absolue.

[1] Biedermann August, p. 106; Bondallaz, protection des personnes, p. 511; Jean-Richard-dit-Bressel, BÜPF, p. 44; Piquerez, Traité de procédure pénale suisse, p. 616-617; Polizeiliche Ermittlung-Rhyner, Stüssi, p. 443.

[2] Bondallaz, protection des personnes, p. 511.

[3] Hansjakob, GovWare, n° 6-7; Jaggi, p. 277.

[4] Hansjakob, GovWare, n° 9; Jotterand, Müller, Treccani, n° 5.

[5] Message, CPP, p. 1234

[6] ATF 133 IV 249, 253-254 = JdT 2009 IV 10, 14-15.

[7] Jotterand, Müller, Treccani, n° 15.

[8] Dans le même sens: Riss, Zanon, n° 14-26.

[9] Hansjakob, GovWare, n° 17-18. A contrario Jotterand, Müller, Treccani, n° 15.

[10] Hansjakob, GovWare, n° 21; Message, P-LSCPT, p. 2468.

[11] ATF 124 II 193, 201; ATF 131 II 13, 31-32.

[12] Hansjakob, GovWare, n° 19; Message, P-LSCPT, p. 2389 et 2472; Riss, Zanon, n° 20.

[13] ATF 87 IV 115, 118-120; ATF 95 IV 68, 72-73; ATF 127 IV 198, 200.

[14] Riss, Zanon, n° 22.

[15] Conseil fédéral, Rapport modification LSCPT, p. 41; Hansjakob, GovWare, n° 16 et 18.

[16] A contrario: Jotterand, Müller, Treccani, n° 18; Métille, Jusletter, n° 37.

[17] Dans ce sens: Hansjakob, art. 269ter StPO; Hansjakob, GovWare; Riss, Zanon. A contrario: Jotterand, Müller, Treccani; Métille, Jusletter.

[18] BGH StB18/06 vom 31.1.2007, § 5 et 7; BVerfG, 1 BvR 370/07 vom 27.2.2008, § 11.

[19] Conseil fédéral, Rapport modification LSCPT, p. 41; FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 5; Hansjakob, Jusletter-IT, n°2; Message, P-LSCPT, p. 2466.

[20] BVerfG, 1 BvR 370/07 vom 27.2.2008, § 166.

[21] Bondallaz, Jusletter, n° 61.

[22] BVerfG, 1 BvR 370/07 vom 27.2.2008, § 245.

[23] Supra Partie II, Chapitre 3, I, A, 4, c, i, b), n° 1307 ss.

[24] Message, P-LSCPT, p. 2467.

[25] Message, P-LSCPT, p. 2466, 2468 et 2472-2474.

[26] Hansjakob, art. 269ter StPO, n° 2; Hansjakob, Jusletter-IT, n°1 et 10.

[27] Message, P-LSCPT, p. 2398 et 2466-2468 et 2671.

[28] Conseil fédéral, Rapport modification LSCPT, p. 41-42.

[29] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 13-14; Message, P-LSCPT, p. 2473.

[30] FF 2016 p. 1821; Message, P-LSCPT, p. 2467, 2471 et 2473.

[31] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 8; Message, P-LSCPT, p. 2473.

[32] Hansjakob, Jusletter-IT, n° 8 ; Jaggi, p. 280.

[33] Hansjakob, Jusletter-IT, n° 7, 11 et 12.

[34] Synthèse du résultat de la procédure de consultation LSCPT, p. 61-62.

[35] Infra Partie II, Chapitre 3, III, A, 3, c, iii, n° 2059 ss.

[36] Donatsch, Schwarzenegger, Wohlers, p. 232; FF 2016 p. 1821; Message, P-LSCPT, p. 2467, 2471 et 2473.

[37] FF 2016 p. 1821; Message, P-LSCPT, p. 2469.

[38] Synthèse du résultat de la procédure de consultation LSCPT, p. 60.

[39] Synthèse du résultat de la procédure de consultation LSCPT, p. 62.

[40] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 21-22; Jaggi, p. 279-280; Message, P-LSCPT, p. 2470 et 2472.

[41] Supra Partie II, Chapitre 3, I, A, 4, a et b, n° 1254 ss et 1270 ss.

[42] Hansjakob, art. 269ter StPO, n° 16; Message, P-LSCPT, p. 2468-2469.

[43] Jaggi, p. 280; Message, P-LSCPT, p. 2468-2469.

[44] Hansjakob, art. 269ter StPO, n° 8.

[45] Message, P-LSCPT, p. 2469.

[46] Hansjakob, art. 269ter StPO, n° 2, 3 et 24; Hansjakob, Jusletter-IT, n° 1; Message, P-LSCPT, p. 2470.

[47] Supra Partie II, Chapitre 3, I, A, 4, a et b, n° 1254 ss et 1271 ss.

25 octobre 201720 mai 2017

T294 – b. Les problématiques liées à l’exploitation et à l’administration des informations issues de la surveillance des télécommunications

i. La surveillance incomplète

Le Tribunal fédéral a déclaré que le but principal de la surveillance des télécommunications à des fins pénales est de garantir la lutte efficace et sans lacune contre la criminalité[1]. En pratique, ni la LSCPT ni le respect des droits fondamentaux ne permettent une telle lutte.
En premier lieu, la liste exhaustive des infractions poursuivies pouvant faire l’objet d’une surveillance rend impossible la poursuite des infractions n’y figurant pas alors même que le comportement pénalement répréhensible est directement lié aux télécommunications[2]. Par exemple, l’accès indu à un système informatique (art. 143bis CP) ne peut pas faire l’objet d’une surveillance (art. 269 al. 2 let. a a contrario CPP) quand bien même la surveillance numérique est un moyen adéquat pour identifier l’auteur de l’accès indu.
En second lieu, en vertu de la LSCPT, seuls les fournisseurs de services de télécommunication ou d’accès à Internet doivent collaborer à la surveillance des télécommunications.
Or, si un suspect communique par le biais d’un ordinateur se trouvant dans un cybercafé ou emploie le réseau téléphonique ou internet d’une entreprise, la surveillance n’est alors qu’indirecte dans l’hypothèse où le trafic transite par un opérateur, ce qui a pour effet une possible perte de données et contenus des communications utiles pour élucider l’enquête.
De même, un auteur qui change régulièrement de numéro, de carte SIM, de téléphone, d’ordinateur, d’adresse IP, etc. peut difficilement être surveillé sans encombre et sans perte d’informations.
En troisième lieu, le contenu des conversations pour ce qui est de la surveillance en temps réel est éphémère. Une communication qui n’a pas été enregistrée ne peut être conservée. De même, un email qui n’est pas intercepté avant sa transmission au destinataire ne peut plus faire l’objet d’une surveillance[3]. Là encore, certaines données nécessaires à l’enquête peuvent être absentes du dossier de surveillance.
Ces constats nous amènent à deux conclusions.
Premièrement, la surveillance des télécommunications n’est pas efficace dans certains cas. En effet, lorsqu’une surveillance ne peut pas se faire – par exemple parce que l’auteur change trop souvent de numéro sans que l’autorité appréhende ce fait, n’a pas d’abonnement à son nom, etc. –, la méthode de surveillance n’est pas viable. Lorsque la surveillance ne peut se réaliser que partiellement – par exemple, parce qu’un seul numéro est surveillé –, il ne fait aucun doute que des données sont perdues alors même qu’elles peuvent être essentielles.
Deuxièmement, il n’est pas impossible ni rare que des informations manquent au dossier – par exemple, suite à un problème technique – rendant imprécises, voire lacunaires les communications interceptées.
Dans ces deux circonstances, le résultat de la surveillance est alors plus ou moins approximatif apportant des doutes, des incohérences ou des incompréhensions qui peuvent influencer la valeur probatoire de la preuve liée à la surveillance des télécommunications.

Continuer la lecture de « T294 – b. Les problématiques liées à l’exploitation et à l’administration des informations issues de la surveillance des télécommunications »

24 octobre 201720 mai 2017

T291 – a. Le potentiel de la surveillance des télécommunications

i. La technicité de la preuve obtenue par le biais de la surveillance

Les interceptions téléphoniques ou de messageries constituant une technique scientifique, la preuve obtenue est par conséquent plus fiable que les preuves classiques telles que le témoignage[1]. La subjectivité du témoin laisse en effet place à l’objectivité de la technique d’interception et d’enregistrement.
Bien entendu, pour que la surveillance soit réalisée dans le respect du cadre légal et fournisse des informations en quantité suffisante sans rendre le tri des données gargantuesque, il est nécessaire que le SCPT maîtrise la technicité et choisisse la méthode la plus viable dans le cas concret.
Par exemple, pour éviter toute perte de données, si un usager utilise le même téléphone mobile avec diverses cartes SIM, ce n’est pas le numéro IMSI – identifiant la carte SIM, extensivement le titulaire du raccordement – qu’il faut surveiller; il est préférable d’effectuer la surveillance de l’appareil directement par son numéro IMEI[2]. De même, en cas d’accès à internet, si l’utilisateur emploie un même compte de messagerie ou plusieurs comptes surveillés, mais se déplace à l’aide d’un ordinateur portable, la surveillance de l’adresse IP occasionne une perte d’informations, alors que la surveillance du compte de messagerie ou de l’adresse MAC de l’ordinateur est plus adéquate.

Continuer la lecture de « T291 – a. Le potentiel de la surveillance des télécommunications »

23 octobre 201720 mai 2017

T291 – 4. La discussion sur la preuve obtenue à l’aide de la surveillance des télécommunications

La surveillance des communications fournit des informations qui sont sans conteste utilisables comme un moyen de preuve en apparence objectif. Même s’il est exact d’affirmer que les données recueillies revêtent une certaine qualité, il n’en reste pas moins qu’elles sont sujettes à traitement pour être administrées devant l’autorité pénale, et que, par conséquent, elles ne sont pas dénuées de toute subjectivité. Il ne s’agit ainsi pas d’une preuve irréfutable, mais d’un moyen probatoire ayant des forces et des faiblesses.

23 octobre 201720 mai 2017

T287 – 3. L’usage et le moyen probatoire

a. L’utilisation des informations recueillies

i. En cas de surveillance répressive ou mixte

Le but des mesures de surveillance prévue par le CPP est avant tout de récolter des informations afin de confondre un prévenu et de prouver les suspicions préalables à la mise sous surveillance. Elles peuvent ainsi être utilisées pour prouver des faits passés ou servir à la poursuite d’infractions en série s’étalant sur une période plus ou moins longue, par exemple pour les trafics de drogue[1].
En outre, en vertu des normes législatives fédérales et cantonales sur la police, la surveillance à titre préventif n’est pas exclue[2].
Selon qu’il s’agisse d’une surveillance répressive ou préventive, les normes d’application ne sont donc pas les mêmes.
Aux fins d’exploiter les informations recueillies pour l’enquête ou comme moyen probatoire, il est essentiel de différencier les mesures à but préventif ou de police et celles à dessein répressif ou judiciaire.
En théorie, la distinction entre surveillance répressive ou préventive est relativement aisée, soit elle sert à réprimer un acte délictuel donc à obtenir des indices, voire des preuves, soit elle est utile pour prévenir ou dissuader la commission d’infractions. En pratique, elle peut se confronter à quelques difficultés.
Dans l’hypothèse où l’autorité judicaire porte de forts soupçons sur la commission d’une infraction continue ou que la surveillance s’effectue en lien avec les actes préparatoires d’un acte délictuel non encore commis, la nature de la surveillance est à la fois préventive et répressive[3]. Dans de telles circonstances, la règle veut qu’à défaut de surveillance purement préventive et lorsqu’il y a suspicion d’actes délictueux, la législation procédurale s’applique et non la loi sur la police[4].
Ainsi, si la procédure prévue dans le CPP est respectée, les informations obtenues sont exploitables comme preuve.

Continuer la lecture de « T287 – 3. L’usage et le moyen probatoire »

20 octobre 201720 mai 2017

T285 – d. Les normes élémentaires à la surveillance privée des télécommunications

L’interception des communications par des privés est de plus en plus fréquente grâce aux facilités qu’offre l’évolution technologique. Alors qu’il y a quelques années, il était uniquement possible d’enregistrer à l’insu de son interlocuteur la conversation téléphonique ou éventuellement d’utiliser des moyens d’enregistrement pour écouter la conversation entre deux ou plusieurs tiers, il est aujourd’hui possible d’insérer des programmes dans l’ordinateur d’une personne ou dans son téléphone mobile pour dévier ou transférer toutes les données reçues. En outre, il est toujours possible de copier ou de transférer les messages écrits manuellement lorsque le téléphone mobile ou l’ordinateur n’est pas protégé par un mot de passe ou que ce dernier est connu par l’auteur de la prise de données. Néanmoins, ces divers comportements ne sont pas toujours licites.
Contrairement à la surveillance effectuée par les autorités, la surveillance privée – nous entendons par là : l’écoute, la transmission et/ou l’enregistrement des communications même ponctuel – n’est pas régie en tant que telle par la procédure pénale[1].

Continuer la lecture de « T285 – d. Les normes élémentaires à la surveillance privée des télécommunications »