Application Security Forum - 2014 Western Switzerland

05-06 November 2014 - Y-Parc / Yverdon-les-Bains http://www.appsec-forum.ch

Les mesures techniques de surveillance en droit Suisse, qu’est-ce qui est permis?

Sylvain Métille

Head of Technology and Privacy

BCCC avocats sàrl

Plan

De quoi parle-t-on?

La protection de la sphère privée

Les mesures de surveillance (investigation pénale)

– Quelles mesures et à quelles conditions?

Les projets légaux (CPP, LSCPT, LRens)

2

Mesure technique de surveillance: de quoi parle-t-on?

Méthode utilisée par l’homme au moyen d’un appareil lui permettant d’écouter, d’observer, de localiser, d’identifier ou de recueillir de n’importe quelle manière des informations sur un individu, un objet ou un lieu.

Méthode utilisée par l’Etat dans le cadre de ses compétences.

3

Quelques exemples 4

La surveillance privée est limitée par: Le droit du travail (26 OLT 3 et 328ss CO) La Loi sur la protection des données (LPD) Le Code civil (28ss CC) Le Code pénal (CP)

‒ Violation du secret des postes et des télécommunications (321ter CP) ‒ Violation de secrets privés (179 CP) ‒ Ecoute et enregistrement de conversations entre d'autres personnes

(179bis CP) ‒ Enregistrement non autorisé de conversations (179ter CP) ‒ Violation du domaine secret ou du domaine privé au moyen d'un appareil

de prise de vues (179quater CP) ‒ Soustraction de données personnelles (179novies CP) ‒ Soustraction de données (143 CP) ‒ Accès indu à un système informatique (143bis1 CP) ‒ Violation de domicile (186 CP)

5

Protection de la sphère privée

Constitution fédérale

– Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications (art. 13 al. 1 Cst).

Convention européenne des droits de l’Homme

– Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance (art. 8 § 1 CEDH).

6

L’activité de l’Etat doit reposer sur une loi

7

Restriction des droits fondamentaux (art. 36 Cst) – 1 Toute restriction d'un droit fondamental doit être fondée sur une base

légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.

– 2 Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.

– 3 Toute restriction d'un droit fondamental doit être proportionnée au but visé.

– 4 L'essence des droits fondamentaux est inviolable. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit

que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui (art. 8 § 2 CEDH).

U.S. Constitution, Fourth Amendment

The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.

8

La surveillance

Investigation pénale

– Une infraction pénale a été commise ou est en cours de commission

– Identifier l’auteur ou récolter des preuves

Renseignement – Recherche d’informations, en particulier à titre préventif

• Renseignement intérieur et extérieur

• Renseignement civil et militaire

9

Aujourd’hui en Suisse

Mesures de surveillance secrètes prévues par le Code de procédure pénale (CPP)

Pas de surveillance secrète prévue par la Loi visant au maintien de la sûreté intérieure (LMSI)

Une obligation de conserver les données accessoires pendant six mois (LSCPT)

10

Les mesures de surveillance secrètes prévues par le CPP

11

SCPT 269ss CPP

Autres dispositifs techniques

280s CPP

Observation 282s CPP

Surveillance des relations bancaires

284s CPP

Investigation secrète

286ss CPP

Les conditions «générales»

12

Contrôle a priori (autorisation)

La police suggère

Le ministère public ordonne

Le tribunal des mesures de contrainte autorise

Pour l’observation, la police ordonne. Si au-delà d’un mois, le ministère public doit autoriser.

13

L’information

Appelée «communication» par le CPP

Ouvre le droit de recours

Indépendamment du résultat de la surveillance

Joue un rôle déterminant dans la surveillance de la surveillance

Ministère public peut différer ou renoncer (sous conditions)

14

Contrôle a posteriori (le recours)

Recours (393ss CPP)

Délai: 10 jours dès notification de la communication

Plein pouvoir d’examen en fait et en droit Recours contre la communication

mais contrôle de l’ensemble de la surveillance

15

Les obligations découlant de la LSCPT

La Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) s'applique à tous les organismes étatiques, aux organismes soumis à concession ou à l'obligation d'annoncer qui fournissent des services postaux ou de télécommunication ainsi qu’aux fournisseurs d’accès à Internet (art. 1 al. 2 LSCPT).

Ils sont tenus de conserver durant six mois les données permettant l'identification des usagers ainsi que les données relatives au trafic et à la facturation (art. 15 al. 3 LSCPT).

16

Projet de révision de la LSCPT La LSCPT s’appliquera plus largement aux fournisseurs de services postaux, de services

de télécommunication (y compris d’accès à Internet), ainsi qu’aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers, etc.

Les autorités judiciaires et policières pourront consulter directement les résultats de la surveillance (plus d’envoi de CD-ROM par la poste).

La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.

Les fournisseurs de services de communication dérivés devront tolérer une surveillance exécutée par le service SCPT ou la police et livrer les données secondaires en leur possession (sans obligation de les conserver).

17

Derniers développements 18

Le 19 mars 2014, le Conseil des Etats a accepté l’allongement de la durée de conservation des données secondaires par les fournisseurs de services de télécommunications de 6 à 12 mois.

Le 8 avril 2014 la CJUE a invalidé la directive européenne sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.

Projet de révision de la LSCPT

Deux nouvelles dispositions du CPP: – Art. 269bis CPP: utilisation de dispositifs techniques spéciaux de surveillance

de la correspondance par télécommunication (IMSI-Catcher par exemple). – Art. 269ter CPP: utilisation de programmes informatiques spéciaux de

surveillance de la correspondance par télécommunication (Government Software).

• La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.

• L’utilisation de chevaux de Troie (Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.

19

La loi sur le renseignement (LRens)

20

Le Conseil fédéral a adopté le 19 février 2014 le projet de LRens :

– Mesures de surveillance secrètes préventives dans le domaine du terrorisme, de l'espionnage, de la prolifération et des attaques contre des infrastructures critiques ou en vue de la sauvegarde d'autres intérêts essentiels de la Suisse (autorisation du TAF et chef du DDPS).

– Enregistrement visuels et sonores dans les lieux publics ou librement accessibles, y compris à l’aide de drones ou satellites (pas besoin d’autorisation).

– Exploration radio / exploration du réseau câblé (autorisation du TAF et chef du DDPS).

Conclusions

Pas de perquisitions à distance

Des règles strictes encadrent la surveillance

Des projets discutés au parlement pour:

– allonger la durée de conservation des données

– introduire des moyens de surveillance préventive (renseignement)

21

Encore des questions?

22

Merci!

Contact:

s.metille@bccc.ch

Twitter: @ntdroit

http://www.bccc.ch

https://ntdroit.wordpress.com

Slides: http://slideshare.net/ASF-WS/presentations

http://appsec-forum.ch

23