Date post: | 07-Jul-2015 |
Category: |
Technology |
Upload: | application-security-forum-western-switzerland |
View: | 222 times |
Download: | 1 times |
Application Security Forum - 2014 Western Switzerland
05-06 November 2014 - Y-Parc / Yverdon-les-Bains http://www.appsec-forum.ch
Les mesures techniques de surveillance en droit Suisse, qu’est-ce qui est permis?
Sylvain Métille
Head of Technology and Privacy
BCCC avocats sàrl
Plan
De quoi parle-t-on?
La protection de la sphère privée
Les mesures de surveillance (investigation pénale)
– Quelles mesures et à quelles conditions?
Les projets légaux (CPP, LSCPT, LRens)
2
Mesure technique de surveillance: de quoi parle-t-on?
Méthode utilisée par l’homme au moyen d’un appareil lui permettant d’écouter, d’observer, de localiser, d’identifier ou de recueillir de n’importe quelle manière des informations sur un individu, un objet ou un lieu.
Méthode utilisée par l’Etat dans le cadre de ses compétences.
3
Quelques exemples 4
La surveillance privée est limitée par: Le droit du travail (26 OLT 3 et 328ss CO) La Loi sur la protection des données (LPD) Le Code civil (28ss CC) Le Code pénal (CP)
‒ Violation du secret des postes et des télécommunications (321ter CP) ‒ Violation de secrets privés (179 CP) ‒ Ecoute et enregistrement de conversations entre d'autres personnes
(179bis CP) ‒ Enregistrement non autorisé de conversations (179ter CP) ‒ Violation du domaine secret ou du domaine privé au moyen d'un appareil
de prise de vues (179quater CP) ‒ Soustraction de données personnelles (179novies CP) ‒ Soustraction de données (143 CP) ‒ Accès indu à un système informatique (143bis1 CP) ‒ Violation de domicile (186 CP)
5
Protection de la sphère privée
Constitution fédérale
– Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications (art. 13 al. 1 Cst).
Convention européenne des droits de l’Homme
– Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance (art. 8 § 1 CEDH).
6
L’activité de l’Etat doit reposer sur une loi
7
Restriction des droits fondamentaux (art. 36 Cst) – 1 Toute restriction d'un droit fondamental doit être fondée sur une base
légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés.
– 2 Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui.
– 3 Toute restriction d'un droit fondamental doit être proportionnée au but visé.
– 4 L'essence des droits fondamentaux est inviolable. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit
que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui (art. 8 § 2 CEDH).
U.S. Constitution, Fourth Amendment
The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.
8
La surveillance
Investigation pénale
– Une infraction pénale a été commise ou est en cours de commission
– Identifier l’auteur ou récolter des preuves
Renseignement – Recherche d’informations, en particulier à titre préventif
• Renseignement intérieur et extérieur
• Renseignement civil et militaire
9
Aujourd’hui en Suisse
Mesures de surveillance secrètes prévues par le Code de procédure pénale (CPP)
Pas de surveillance secrète prévue par la Loi visant au maintien de la sûreté intérieure (LMSI)
Une obligation de conserver les données accessoires pendant six mois (LSCPT)
10
Les mesures de surveillance secrètes prévues par le CPP
11
SCPT 269ss CPP
Autres dispositifs techniques
280s CPP
Observation 282s CPP
Surveillance des relations bancaires
284s CPP
Investigation secrète
286ss CPP
Les conditions «générales»
12
Contrôle a priori (autorisation)
La police suggère
Le ministère public ordonne
Le tribunal des mesures de contrainte autorise
Pour l’observation, la police ordonne. Si au-delà d’un mois, le ministère public doit autoriser.
13
L’information
Appelée «communication» par le CPP
Ouvre le droit de recours
Indépendamment du résultat de la surveillance
Joue un rôle déterminant dans la surveillance de la surveillance
Ministère public peut différer ou renoncer (sous conditions)
14
Contrôle a posteriori (le recours)
Recours (393ss CPP)
Délai: 10 jours dès notification de la communication
Plein pouvoir d’examen en fait et en droit Recours contre la communication
mais contrôle de l’ensemble de la surveillance
15
Les obligations découlant de la LSCPT
La Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) s'applique à tous les organismes étatiques, aux organismes soumis à concession ou à l'obligation d'annoncer qui fournissent des services postaux ou de télécommunication ainsi qu’aux fournisseurs d’accès à Internet (art. 1 al. 2 LSCPT).
Ils sont tenus de conserver durant six mois les données permettant l'identification des usagers ainsi que les données relatives au trafic et à la facturation (art. 15 al. 3 LSCPT).
16
Projet de révision de la LSCPT La LSCPT s’appliquera plus largement aux fournisseurs de services postaux, de services
de télécommunication (y compris d’accès à Internet), ainsi qu’aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers, etc.
Les autorités judiciaires et policières pourront consulter directement les résultats de la surveillance (plus d’envoi de CD-ROM par la poste).
La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
Les fournisseurs de services de communication dérivés devront tolérer une surveillance exécutée par le service SCPT ou la police et livrer les données secondaires en leur possession (sans obligation de les conserver).
17
Derniers développements 18
Le 19 mars 2014, le Conseil des Etats a accepté l’allongement de la durée de conservation des données secondaires par les fournisseurs de services de télécommunications de 6 à 12 mois.
Le 8 avril 2014 la CJUE a invalidé la directive européenne sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
Projet de révision de la LSCPT
Deux nouvelles dispositions du CPP: – Art. 269bis CPP: utilisation de dispositifs techniques spéciaux de surveillance
de la correspondance par télécommunication (IMSI-Catcher par exemple). – Art. 269ter CPP: utilisation de programmes informatiques spéciaux de
surveillance de la correspondance par télécommunication (Government Software).
• La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
• L’utilisation de chevaux de Troie (Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
19
La loi sur le renseignement (LRens)
20
Le Conseil fédéral a adopté le 19 février 2014 le projet de LRens :
– Mesures de surveillance secrètes préventives dans le domaine du terrorisme, de l'espionnage, de la prolifération et des attaques contre des infrastructures critiques ou en vue de la sauvegarde d'autres intérêts essentiels de la Suisse (autorisation du TAF et chef du DDPS).
– Enregistrement visuels et sonores dans les lieux publics ou librement accessibles, y compris à l’aide de drones ou satellites (pas besoin d’autorisation).
– Exploration radio / exploration du réseau câblé (autorisation du TAF et chef du DDPS).
Conclusions
Pas de perquisitions à distance
Des règles strictes encadrent la surveillance
Des projets discutés au parlement pour:
– allonger la durée de conservation des données
– introduire des moyens de surveillance préventive (renseignement)
21
Encore des questions?
22
Merci!
Contact:
Twitter: @ntdroit
http://www.bccc.ch
https://ntdroit.wordpress.com
Slides: http://slideshare.net/ASF-WS/presentations
http://appsec-forum.ch
23