T327 – c. Le contexte technique de la vidéosurveillance

  • Le système de vidéosurveillance commande l’usage d’une caméra, d’une ligne de transmission, d’un ou de plusieurs moniteurs/écrans permettant la visualisation des images, et, fréquemment, d’un dispositif d’enregistrement[1].
  • La capture de l’image, appelée également l’imagerie, est réalisée par une caméra optique, numérique, radar, etc. Selon la caméra employée, la fluidité des mouvements, la précision de l’image et sa luminosité peuvent varier influant sur les possibilités identificatoires ou d’élucidation des faits.
  • La transmission permet la visualisation de l’image d’un lieu géographiquement distant de la caméra. Avec l’essor de l’informatique, les moyens de transmission ont largement évolué. Généralement, le signal vidéo – se définissant comme la capture de l’image prise par une caméra identifiée par son adresse IP – transite par le réseau informatique local ou internet à l’aide d’un faisceau laser, d’un réseau électrique, d’un satellite, etc.
  • L’archivage ou le stockage est une technologie employée dans certains types de systèmes de vidéosurveillance. Corrélativement à la transmission, l’évolution de l’informatique permet de stocker les informations visuelles recueillies à l’aide des caméras sur des disques durs ou des supports amovibles. Il est donc possible de garder – en tout cas un certain temps – les images filmées dans le but de les utiliser.

Continuer la lecture de « T327 – c. Le contexte technique de la vidéosurveillance »

T327 – iv. Excursus: l’enregistrement audiovisuel

  • Le Code de procédure pénale (art. 76 al. 4 et 154 al. 4 CPP) prévoit la possibilité d’enregistrer sur un support visuel, audio ou audiovisuel certains actes d’instruction, notamment les témoignages ou les déclarations effectuées par la partie plaignante. Dans ce cadre, la capture des images sert non seulement à compléter le procès-verbal (art. 77 let. e et g CPP) [1], mais peut également être administrée au procès.
  • L’utilisation d’une caméra doit permettre notamment: d’éviter la confrontation entre l’accusation et la défense, de fournir un moyen de preuve en évitant ainsi les ouïes-dires et de fournir à la Cour les passages exacts des déclarations faites lors de la procédure d’enquête ou d’investigation, voire de limiter le nombre d’auditions de la victime ou d’interrogatoires des témoins[2].
  • Grâce à la technologie audiovisuelle, les gestes, les mimiques physiques et le comportement général de l’individu entendu sont enregistrés. Ces indices peuvent permettre de déterminer si la vérité est réellement apportée ou si une gêne existe. Ainsi, le tribunal peut apprécier le degré de spontanéité des déclarations de la personne concernée et fonder sa décision sur ce qu’il peut voir à travers les images[3].
  • Outre le visuel directe des formulations et gestuelles de l’individu, l’enregistrement audiovisuel accroît la précision de la traduction et assure que la procédure encadrant l’interrogatoire ait bien été respectée[4].
  • Ainsi, l’enregistrement audiovisuel est un outil précieux pour obtenir la perception la plus exacte des interrogatoires, notamment lorsqu’aucune confrontation directe n’est exigible. Néanmoins, il faut garder à l’esprit, principalement pour l’interprétation de la gestuelle et la traduction, qu’un aspect subjectif n’est pas totalement absent[5].
[1] CR-CPP-Bomio, art. 77 N 1; Hauser, Schweri, Hartmann, p. 198; Schmid, Praxiskommentar, art. 78 N 9 et 11.

[2] Etrillard, p. 48; Vogt, p. 411.

[3] Büllesfeld, p. 32; McDonald, p. 78.

[4] Etrillard, p. 48; Ill, p. 166.

[5] Infra Partie II, Chapitre 3, I, B, 4, b, ii, c, n° 1642 ss; Infra Partie II, Chapitre 3, I, B, 4, b, iii, n° 1658-1659.

T325 – iii. L’agencement du système de vidéosurveillance

  • Certains auteurs de doctrine distinguent, à juste titre, trois groupes de vidéosurveillance dépendamment de leur agencement[1].
  • La vidéosurveillance non informatisée est une surveillance directe des personnes permettant de les identifier sans enregistrement de données[2]. Il s’agit d’une pure transmission d’image sur un moniteur qui demande une présence constante d’un personnel de surveillance.
  • En grande majorité, ce type de vidéosurveillance est utilisé comme méthode de dissuasion.
  • En outre, si la caméra est munie d’un zoom optimal, il est toujours possible d’identifier un individu.
  • Ce type de vidéosurveillance sans enregistrement ne constitue pas en soi une ingérence à la sphère privée des individus[3].
  • La vidéosurveillance avec enregistrement simple occasionne, comme son nom l’indique, l’enregistrement des données – images filmées – qui sont automatiquement effacées après une brève période. Ainsi, il est possible d’admettre ultérieurement les informations enregistrées comme moyen de preuve.
  • Ce moyen de vidéosurveillance avec l’effacement automatique atteint aux libertés fondamentales de manière plus ou moins légère selon la durée de conservation[4].
  • La vidéosurveillance avec traitement informatisé permet de coupler les données enregistrées avec une ou des bases de données – biométrique, policière, etc. – afin d’établir un profil de la personnalité[5]. A l’aide du traitement informatique des images, il est également possible d’améliorer les contrastes, d’élargir une section de l’image, etc. Ce potentiel permet une meilleure évaluation des données recueillies et par conséquent une mise en perspective plus probante avec d’autres informations préalablement enregistrées.
  • Ce type de vidéosurveillance atteint sans conteste aux droits et libertés fondamentaux[6].
[1] Bausch, p. 3-4; Büllesfeld, p. 20-22; Ruegg, Flückiger, November, Klauser, p. 89.

[2] Büllesfeld, p. 20; Ruegg, Flückiger, November, Klauser, p. 89.

[3] CourEDH, Affaire Peck c. Royaume-Uni, arrêt du 28 janvier 2003, 44647/98, § 59; CourEDH, Affaire Calmanovici c. Roumanie, arrêt du 1er juillet 2008, 42250/02, § 130.

[4] ComEDH, Affaire Herbecq et l'association ligue des droit de l'Homme c. Belgique, arrêt du 14 janvier 1998, 32200/96 et 32201/96, p. 92; CourEDH, Affaire Amann c. Suisse, arrêt du 16 février 2000, 27798/95, § 65-67; CourEDH, Affaire P.G et J.H c. Royaume-Uni, arrêt du 25 septembre 2001, 44787/98, § 59-60.

[5] Auer, Flückiger, p. 925; Büllesfeld, p. 21-22; Ruegg, Flückiger, November, Klauser, p. 89.

[6] ComEDH, Affaire Herbecq et l'association ligue des droit de l'Homme c. Belgique, arrêt du 14 janvier 1998, 32200/96 et 32201/96, p. 92; CourEDH, Affaire Amann c. Suisse, arrêt du 16 février 2000, 27798/95, § 65-67; CourEDH, Affaire P.G et J.H c. Royaume-Uni, arrêt du 25 septembre 2001, 44787/98, § 59-60.

T324 – ii. La finalité de la vidéosurveillance

ii. La finalité de la vidéosurveillance
  • L’objectif visé par la mise en œuvre d’un système de vidéosurveillance amène la doctrine à différencier trois, voire quatre, types de surveillance des lieux publics ou privés: invasive, dissuasive, répressive et d’observation[1].
  • La vidéosurveillance invasive a pour but de surveiller un individu déterminé ayant commis une infraction ou soupçonné d’en commettre une prochainement. Pour être efficace, cette surveillance est secrète. Les normes de droit pénal (art. 179quater et 179octies CP), de procédure pénale (art. 280 ss CPP) et de droit policier – surveillance préventive – réglementent la mise en œuvre d’une telle mesure.
  • La vidéosurveillance dissuasive doit être visible pour atteindre son but[2], c’est-à-dire d’éviter les comportements illicites en dissuadant les auteurs d’agir contrairement à la loi et à la morale. Nonobstant son usage par les particuliers, ce type de surveillance fait partie intégrante des tâches policières et est donc réglementé par le droit en la matière.
  • Les mesures de surveillance répressive peuvent être issues de la vidéosurveillance dissuasive ou invasive. Dès qu’un système d’enregistrement est intégré au dispositif de vidéosurveillance, indépendamment du but premier invasif ou dissuasif, les images collectées peuvent être utilisées a posteriori comme preuve pour établir les faits ou confondre le coupable[3]. Cette mesure de surveillance intervient dans le cadre d’une procédure pénale et doit donc respecter les dispositions générales sur la preuve (art. 139 ss CPP) et les moyens de contrainte (art. 196 ss CPP), ainsi que les dispositions spécifiques sur les autres mesures techniques de surveillances (art. 280 ss CPP).

La vidéosurveillance d’observation est notamment employée pour surveiller le trafic routier. Elle ne vise pas à modifier le comportement des usagers et les enregistrements ne contiennent généralement pas de données personnelles. Il s’agit par exemple uniquement de surveiller le flux des véhicules ou de permettre l’envoi rapide d’une patrouille en cas d’accident. Néanmoins, la résolution toujours plus performante offre la possibilité d’identifier les individus, notamment par leur numéro d’immatriculation[4]. Il paraît donc vraisemblable que la vidéosurveillance d’observation devienne prochainement une sous-catégorie de la vidéosurveillance invasive ou dissuasive.

[1] Baeriswyl, Videoüberwachung, p. 27; Büllesfeld, p. 19-20 et 31-35; Cusson, Nouvelles technologies, p. 69; DFJP, Rapport vidéosurveillance, p. 9; Flückiger, p. 197; Rémy, p. 110; Ruegg, p. 6; Ruegg, Flückiger, November, Klauser, p. 7.

[2] Baeriswyl, Videoüberwachung, p. 27; Büllesfeld, p. 22 et 34; Métille, Thèse, p. 84.

[3] Büllesfeld, p. 23 et 32; Müller, Schefer, p. 173.

[4] Müller, Wyssmann, p. 542; Ruegg, Flückiger, November, Klauser, p. 41.

T323 – i. La vidéosurveillance exercée par les personnes privées et par les autorités publiques

  • En réponse aux menaces d’insécurité, les autorités fédérales ou cantonales et les particuliers ont massivement déployé des systèmes de surveillance caméra sur le domaine privé ou public[1]. Cependant, selon la qualification juridique de l’auteur de la vidéosurveillance, les domaines pouvant être surveillés diffèrent.
  • Un particulier est habilité à surveiller sa propriété alors que les autorités cantonales ou fédérales peuvent surveiller le domaine public. En revanche, un particulier n’est en général pas autorisé à filmer le domaine public; corrélativement, une autorité publique, exception faite de la police en cas d’infraction pénale, n’est pas habilitée à employer la vidéosurveillance dans un lieu privé sans l’assentiment de l’ayant-droit[2]. Il faut par conséquent définir ces divers lieux pour connaître où une personne privée ou morale et où une autorité officielle peuvent agir.
  • Le domaine privé comprend la partie du territoire appartenant à une personne physique ou morale dont elle peut disposer librement, soit sa propriété (art. 641 CC).
  • Si le domaine privé appartient aux personnes physiques ou morales, l’espace public échoit aux collectivités publiques et à ses organes. Pour la doctrine et la jurisprudence, « le domaine public comprend l’ensemble des choses et des biens qui ne sont pas affectés à une finalité particulière par l’Etat et qui peuvent être utilisés par les particuliers sans interventions des agents publics, en principe de manière libre, égale et gratuite« , ce qui comprend les rues, les places, les parcs, etc. A ceci s’ajoute le patrimoine administratif de l’Etat – biens mobiliers ou immobiliers – lui permettant de remplir ses tâches, tels que les hôpitaux, musées, écoles, parkings, etc.[3].
  • Cette démarcation entre domaine privé et public implique quelques inégalités. Par exemple, alors que les commerçants d’une rue piétonne devront faire la demande aux autorités s’ils désirent installer un système de caméra de surveillance pour se prémunir contre les incivilités extérieures; la situation est différente pour les commerçants regroupés dans un centre commercial, dès lors qu’ils sont seuls à décider.
  • En accord avec une partie de la doctrine, la frontière entre le domaine privé et public doit être parfois atténuée à l’aide de la notion d' »espace à usage public » qui intègre les lieux ouverts au public issus du secteur privé ou public. Il ne s’agit alors plus de distinguer les lieux en fonction du statut juridique de l’exploitant de la vidéosurveillance, mais de son usage[4]. En revanche, seule la propriété foncière est opérante pour déterminer l’applicabilité des droits relatifs à la mise en place d’un système de surveillance caméra.
[1] Klauser, CCTV, p. 148-149.

[2] Infra Partie II, Chapitre 3, I, B, 2, c, i, n° 1496 ss; Infra Partie II, Chapitre 3, I, B, 2, c, ii, a) et c), n° 1530 et 1546-1547.

[3] Auer, Flückiger, p. 926; Hottelier, SJ 2002, p. 124 et 126; Moor, Poltier, p. 253 ss; Ruegg, p. 3; Ruegg, Flückiger, November, Klauser, p. 47.

[4] Ghorra-Gobin, p. 50; Lévy J., p. 337; Ruegg, p. 4.

322 – 1. L’introduction

a. La définition de la vidéosurveillance
  • La vidéosurveillance désigne l’observation de lieux, de comportements ou de personnes à l’aide d’un dispositif optique électronique[1]. Il s’agit d’un système technique composé d’une caméra et d’un moniteur distant géographiquement – même de quelques mètres – qui sont reliés par un moyen technique de transmission et dont les images transférées peuvent ou non faire l’objet d’un enregistrement[2].
  • Ainsi, l’utilisation de la surveillance vidéo fait appel à diverses technologies: la capture, la transmission et, éventuellement, l’archivage et l’analyse des données[3].
  • En d’autres termes, la vidéosurveillance est une technique de surveillance permettant d’obtenir des images, de les visualiser et/ou de les archiver afin de pouvoir les utiliser en cas de besoin, notamment pour élucider une infraction ou identifier l’auteur d’un acte délictuel, voire pour servir de preuve.
b. Les divers types de vidéosurveillance
  • La vidéosurveillance peut être installée par une personne physique ou morale ou encore par une autorité. Elle englobe toute une série de systèmes qui s’utilisent à diverses fins. En outre, elle s’accompagne ou non d’un enregistrement des images. En fonction de ces trois critères, la protection des droits fondamentaux et le régime juridique de mise en œuvre varient substantiellement. C’est pourquoi il faut distinguer les divers types de vidéosurveillance pouvant exister en Suisse.
[1] Bausch, p. 3

[2] Bauer, Freynet, p. 11; Büllesfeld, p. 6; Fichet-Boyle, p. 205.

[3] Ruegg, Flückiger, November, Klauser, p. 31-36. Infra Partie II, Chapitre 3, I, B, 1, c, n° 1439 ss.

T322 – B. La vidéosurveillance

  • Aujourd’hui, la vidéosurveillance est présente un peu partout: établissements privés ou publics, parkings, transports publics, voies publiques, etc. Ce moyen technique permettant de voir à travers l’œil d’une caméra s’est largement développé sur le domaine public, privé et dans le monde policier et judiciaire.
  • Hantée par le spectre du « Big Brother » et l’aspect sécuritaire hors-norme, l’ampleur prise par cette technique s’est accompagnée de l’inquiétude tant quant au respect des droits fondamentaux qu’à la prise en compte de la qualité dissuasive et/ou probatoire des images filmées.
  • Outre l’usage dissuasif ou répressif des systèmes de caméra, ce moyen visuel peut servir aux fins d’enregistrer des auditions de témoins (art. 154 al. 4 let d CPP) ou plus généralement, certains actes de procédure (art. 76 al. 4 CPP). L’utilisation du dispositif audiovisuel durant la procédure permet de collecter des preuves exploitables qui sont jugées idéologiquement comme infaillibles.
  • La présente partie définit le cadre technique et légal de la vidéosurveillance et, en excursus, de l’enregistrement audiovisuel, cherche à déterminer la valeur probatoire des enregistrements administrés comme preuve et tente d’exposer les avantages ou inconvénients de cette technique.

 

T317 – iii. L’IMSI- Catcher

  1. a) La technique de l’IMSI-Catcher en quelques mots
  2. La description de l’IMSI-Catcher
  • L’IMSI-Catcher est un nouveau dispositif de surveillance des téléphones mobiles.
  • Techniquement, l’IMSI-Catcher est un boîtier qui simule une antenne GSM et se place virtuellement entre l’antenne relais et celle du téléphone mobile[1]. Ainsi, tout téléphone mobile se trouvant dans la zone de couverture de l’IMSI-Catcher est automatiquement mis en contact avec le dispositif. Le numéro IMSI et IMEI est alors à la portée de l’appareil, ce qui permet de connaître l’utilisateur du téléphone, de le localiser et, depuis la seconde version de l’appareil, d’écouter les conversations[2].
  • Relevons encore que cette technique ne nécessite pas l’intervention de l’opérateur[3]. Ainsi, cette méthode de surveillance offre une plus grande liberté et une facilité pour le service d’enquête.
  1. Les limites techniques
  • Actuellement, l’IMSI-Catcher a quelques limites techniques que nous n’exposerons pas exhaustivement[4].
  • En premier lieu, l’IMSI-Catcher fonctionnant à l’aide d’une simulation d’antenne, le téléphone mobile n’est plus en contact avec l’opérateur. Aussi, aucune communication entrante ne peut parvenir à l’utilisateur qui fait l’objet de la surveillance.
  • En second lieu, le dispositif de surveillance ne peut être activé que si le téléphone est au moins en veille. Il faut par conséquent que le téléphone soit nécessairement actif, ce qui restreint un certain nombre de cas où l’IMSI-Catcher est réellement utile.
  • En troisième lieu, certains téléphones mobiles affichent un symbole lorsque l’IMSI-Catcher est activé et qu’il capte le téléphone. Toute personne un tant soit peu attentive peut donc voir le symbole sur son appareil mobile et savoir qu’elle est surveillée.
  • En quatrième lieu, plus il y a de téléphones mobiles dans le périmètre de fonctionnement de l’IMSI-Catcher, plus le nombre d’interceptions de numéros IMSI ou IMEI est important[5]. Il faut alors faire des recoupements pour trouver la personne cible de la surveillance. Par conséquent, la surveillance à l’aide de cette technique peut apporter son lot de difficultés et d’incertitudes.
  • Enfin, l’IMSI-Catcher ne peut fonctionner que sur le réseau GSM puisqu’il exploite une faille de ce protocole. Néanmoins, actuellement, deux protocoles sont souvent employés pour la téléphonie mobile: le protocole GSM et l’UMTS[6]. Dès lors, si le protocole UMTS se développe aux dépens du protocole GSM, l’utilisation d’IMSI-Catcher sera totalement obsolète[7].

Continuer la lecture de « T317 – iii. L’IMSI- Catcher »

T311 – ii. La surveillance préventive

  1. a) La réglementation prévue par le CPP
  • En vertu des art. 269 ss CPP, la surveillance pénale de la correspondance a pour but de rechercher l’auteur d’une infraction ou de prouver l’existence d’une infraction préalablement commise. Ces dispositions n’ont pas pour but de servir à créer un soupçon excluant la possibilité d’effectuer une surveillance préventive[1].
  1. b) La réglementation prévue dans la LMSI
  • La loi instituant des mesures visant au maintien de la sûreté intérieure (LMSI) est la norme principale réglant la surveillance préventive civile. Cette norme fédérale prévoit uniquement la surveillance aux fins de détecter un danger ou une menace pour la sécurité du pays.
  • Les informations recherchées doivent permettre de prévenir et de lutter contre les dangers liés au terrorisme, au service de renseignements prohibé, à l’extrémisme violent ou à la violence lors de manifestations sportives (art. 2 al. 1 LMSI). En outre, ce type de surveillance ne peut être mis en œuvre sans des soupçons de commission d’une future infraction[2].
  • En revanche, la LMSI ne permet pas d’autoriser une surveillance aussi intrusive que celle connue dans le cadre de la procédure pénale[3]. Cette limitation s’explique par le fait que, faute de commission d’une infraction, l’atteinte à la vie privée serait disproportionnée, et que la personne surveillée ne bénéficie pas des moyens de la procédure pénale pour remettre en cause la décision de surveillance.
  • Par conséquent, en dehors du cadre de l’art. 2 LMSI, cette loi n’autorise pas la surveillance préventive dite de police.

Continuer la lecture de « T311 – ii. La surveillance préventive »

T300 – c. Quelques pistes de réflexion

i. La surveillance des communications VoIP
  1. a) La technologie VoIP et les chevaux de Troie
  • La technologie VoIP – Voice over Internet Protocol – est utilisée pour communiquer par la voix – similairement à la téléphonie fixe ou mobile – en recourant au protocole TCP/IP[1]. Ce type de téléphonie a la particularité de pouvoir exister via le réseau internet, filaire ou non, ou sur d’autres réseaux compatibles IP, soit les réseaux privés.
  • L’utilisation de la technologie VoIP pour communiquer pose deux difficultés quant à sa surveillance. Premièrement, il s’agit d’une téléphonie « sans connexion », c’est-à-dire que le protocole TCP/IP ne prédétermine par un chemin pour permettre un échange, contrairement à la téléphonie traditionnelle qui n’est ouverte que lorsque le destinataire a décroché[2]. Deuxièmement, les communications VoIP sont bien souvent cryptées et donc inutilisables en l’état[3]. Pour surveiller secrètement les communications utilisant le protocole TCP/IP, la technique de surveillance classique n’est dès lors pas adéquate. L’unique solution est d’installer un logiciel espion dans l’ordinateur ou le Smartphone qui permet d’intercepter la communication à sa source avant tout cryptage[4].
  • Grâce à la technique dite du cheval de Troie, il est possible d’introduire à distance un logiciel dans l’ordinateur ou le Smartphone d’un utilisateur. Pour se faire, il suffit notamment d’envoyer un message électronique contenant une pièce jointe avec une dénomination suffisamment intéressante pour que l’utilisateur l’ouvre et que le programme s’installe automatiquement sur l’ordinateur, ou d’introduire le logiciel avec l’aide du fournisseur d’accès ou d’un fabriquant dans une mise à jour de programme. Il est ainsi possible de capturer les échanges de flux entre l’appareil et le réseau dans leur entier ou seulement les échanges liés à certains services spécifiques, voire de surveiller les entrées clavier, soit par exemple les mots de passe tapés.
  1. b) Les normes actuelles sont-elles suffisantes pour autoriser l’utilisation des logiciels espions?
  • L’art. 15 al. 1 LSCPT permet d’exiger la surveillance des communications via le réseau Internet, et la OSCPT réglemente explicitement la question (art. 24 al. 2 let. b OSCPT). Les médias numériques, tels que la technologie VoIP, peuvent donc faire l’objet d’une surveillance des télécommunications.
  • Néanmoins, un problème subsiste quant à la mise en œuvre d’une telle surveillance via le réseau IP. En effet, à ce jour aucune réponse définitive n’est donnée quant à savoir si le CPP permet ou non l’installation d’un logiciel espion, mais cette problématique sera réglée si le référendum de la nouvelle LSCPT n’aboutit pas et/ou si le législateur se détermine positivement sur l’introduction des nouveaux articles du CPP (art. 269bis CPP).
  • A teneur de l’art. 280 let. a CPP, le ministère public peut utiliser des dispositifs techniques de surveillance aux fins d’écouter ou d’enregistrer des conversations non publiques.
  • La disposition légale et le message du Conseil fédéral ne définissent pas ce qu’il faut entendre par « dispositifs techniques« [5].
  • Le Tribunal fédéral, dans un arrêt récent, a élargi la notion de « dispositifs techniques« . Par ces termes, il faut entendre tout moyen utilisé dans un cas concret qui permet d’écouter une conversation non publique[6]. Cette interprétation large de la norme inclut donc l’emploi de logiciel espion. En effet, même si un cheval de Troie est un programme, il est installé sur un ordinateur, soit un appareil, ce qui est suffisant au regard de l’interprétation du Tribunal fédéral puisque le texte légal ne stipule pas que l’appareil doit appartenir à l’autorité[7].
  • A notre sens, l’avis du Tribunal fédéral est erroné tant au regard de l’interprétation littérale, historique, systématique que théologique de la norme[8].
  • Littéralement, le libellé de l’art. 280 CP est clair et parle de dispositif technique de surveillance. Thomas Hansjakob[9] précise que l’art. 280 let. a CPP se réfère à l’utilisation d’appareils d’écoute et d’enregistrement évoqués aux art. 179bis et 179quater Nous sommes du même avis.
  • Les logiciels de type Govware ne sont en aucun cas des appareils et ne permettent pas l’écoute de la communication, mais uniquement le traitement des données ou l’espionnage des fichiers. Un tel programme permet d’intercepter non seulement les communications orales ou écrites, mais aussi tout type de fichiers contenus dans l’ordinateur allant donc plus loin que l’usage d’un dispositif technique classique. Ainsi, même si nous acceptions la notion large de « dispositifs techniques » réalisée par le Tribunal fédéral, il n’en reste pas moins que l’interception par un cheval de Troie ne se limite pas qu’à l’écoute et à l’enregistrement des conversations[10].
  • Historiquement, l’art. 280 let. a CPP a été édicté pour servir de justification aux articles 179bis et 179quater En revanche, les travaux parlementaires lors de la création de cet article ne font aucune référence à l’utilisation de chevaux de Troie.
  • En outre, toujours selon l’interprétation historique, ou plus exactement selon une interprétation temporelle, le Tribunal fédéral a reconnu que, pour cette règle d’interprétation, il était acceptable de s’intéresser aux travaux préparatoires sur les projets de loi non-entrés en vigueur[11]. Les changements de circonstances peuvent permettre de révéler des lacunes dans la loi et être utiles pour interpréter une norme.
  • In casu, la révision de la LSCPT, en procédure de navette entre le Conseil national et le Conseil des Etats, est en cours avec pour point d’orgue l’introduction d’un nouvel article dans le Code de procédure pénale prévoyant spécifiquement l’introduction de logiciel espion pour une surveillance secrète. Ce constat nous conforte dans l’idée que le législateur n’a, lors de l’édiction de l’art. 280 CPP, pas prévu le cas de l’installation de programmes informatiques à des fins de surveillance.
  • Selon l’interprétation systématique, il faut se référer à la cohérence et l’harmonie de l’ordre juridique. Les mesures de surveillance font partie des mesures de contrainte (Chapitre 8 du Titre 5 du Code de procédure pénale). A teneur de l’art. 196 CPP, la surveillance des télécommunications porte donc atteinte aux droits fondamentaux. Selon la jurisprudence, la sécurité juridique commande que la détermination de la norme et sa prévisibilité dépendent étroitement de la complexité de la mesure, voire de la gravité de l’atteinte.
  • Lors de l’installation d’un cheval de Troie, l’autorité s’infiltre dans un ordinateur ou un Smartphone à l’insu de l’utilisateur. Il ne fait aucun doute que l’atteinte à la vie privée est grave[12]. En outre, les chevaux de Troie sont des programmes spécifiques et relativement complexes dont la portée et le fonctionnement sont inconnus de nombreuses personnes pouvant occasionner une grande méfiance. C’est pourquoi l’édiction de normes claires réglant les circonstances et les conditions dans lesquelles un logiciel espion peut être utilisé est nécessaire afin de garantir la prévisibilité.
  • Enfin, dans la perspective téléologique, il faut se demander si la volonté du législateur était d’admettre que l’art. 280 let. a CPP constitue une norme suffisante pour les chevaux de Troie. L’analogie dans le contexte de l’interprétation des lois n’est pas interdite[13]. Nous pouvons donc nous demander si tel pourrait être le cas pour admettre l’utilisation des chevaux de Troie. Néanmoins, pour deux raisons, nous rejetons l’application analogique de l’art. 280 let. a CPP pour les logiciels de surveillance.
  • Premièrement, lors de l’adoption de l’art. 280 CPP, il existait déjà des logiciels d’espionnage et, pourtant, le législateur n’a fait aucune référence à ces programmes lors de l’édiction de la norme[14]. Il apparaît donc par conséquent qu’il n’a pas voulu autoriser l’utilisation de ce type de surveillance.
  • Deuxièmement, Thomas Hansjakob relève que le comportement visant à introduire un programme informatique dans un ordinateur est constitutif d’une infraction à l’art. 143bis CP[15]. L’intrusion informatique est en effet réalisée « sans droit« [16]. La mesure étant secrète la question de l’intervention de l’assentiment de l’ayant-droit n’intervient pas pour exclure la typicité, et le législateur a introduit l’art. 280 CPP pour justifier les infractions prévues aux art. 179bis, 179quater et 179octies CP CP, et non celle de l’art. 143bis Dès lors, il n’a pas été désireux de prévoir la surveillance aux moyens de logiciels espions.
  • Par conséquent, à notre avis, l’art. 280 let. a CPP ne nous semble pas suffisant pour admettre ni l’introduction d’un cheval de Troie, ni la possibilité d’utiliser les données VoIP hors transmission externe, et ne respecte vraisemblablement pas la prévisibilité commandée par les droits fondamentaux[17].
  • Relevons encore que Sylvain Métille, Olivier Jotterand, Jérémie Müller et Jean Treccani différencient l’emploi de chevaux de Troie pour l’interception du flux d’informations échangées ou pour la surveillance de l’environnement informatique. Dans le premier cas, notamment pour la surveillance VoIP, ces auteurs estiment qu’il s’agit d’une simple surveillance de la correspondance au sens de l’art. 269 ss CPP. Dans le second cas, il s’agit d’un dispositif technique de surveillance prévu à l’art. 280 CPP.
  • Nous réfutons cette distinction puisqu’il ne s’agit pas de surveiller un raccordement ou une communication mais un flux de données.
  • Dans un arrêt récent, la Cour constitutionnelle allemande a considéré que l’introduction d’un cheval de Troie n’était pas une simple mesure de surveillance des télécommunications, mais ressemblait davantage à une « perquisition en ligne »[18]. Par conséquent, il s’agit d’une mesure nettement plus invasive que ce que permet l’art. 269 ss CPP qui ne peut pas non plus se justifier au regard de l’art. 245 CPP sur l’exécution d’une perquisition puisque la surveillance est réalisée à l’insu de l’utilisateur.
  • Dans tous les cas, une base légale spécifique semble nécessaire pour autoriser l’utilisation de chevaux de Troie.
  1. c) La révision de la LSCPT et l’introduction de l’art. 269ter CPP
  • La révision de la LSCPT prévoit l’introduction d’un article 269ter CPP autorisant l’introduction de logiciel d’espionnage et de décryptage des données, ainsi qu’une précision et un complément concernant les personnes soumises à la LSCPT[19].
  1. Le projet de modification de la LSCPT en quelques mots
  • Le P-LSCPT précise et complète le champ d’application matériel (art. 1 P-LSCPT) et personnel (art. 2 P-LSCPT) pour tenir compte de l’évolution technologique et de l’usage grandissant des télécommunications par Internet.
  • L’art. 2 al. 1 P-LSCPT ne se limite plus à soumettre les fournisseurs d’accès Internet à l’exécution de la surveillance. Les intermédiaires ou les personnes mettant à disposition une infrastructure de communication sont également concernés. Ainsi, les fournisseurs d’hébergement – Service-provider ou Hosting-provider, soit les fournisseurs d’application en ligne – ni soumis à concession, ni à l’obligation d’annoncer sont tenus d’exécuter la surveillance. Cette modification évite ainsi que certains se retranchent derrière la notion « fournisseur d’accès Internet » pour refuser la mise en œuvre de la surveillance, notamment VoIP, lorsque la communication ne fait qu’utiliser le réseau sans qu’il y ait d’accès.
  • Le P-LSCPT est actuellement en examen auprès du parlement. Suite à la session d’automne 2015, les délibérations du Conseil national ont soulevé des divergences, si bien que le P-LSCPT a été renvoyé au Conseil des Etats.
  1. La création de l’art. 269ter CPP
  • La surveillance à l’aide d’un logiciel espion, communément appelé GovWare, nécessitant de pénétrer activement dans le système informatique de la personne surveillée est nettement plus invasive qu’un simple détournement des données ou du recueillement de celles stockées. La sphère privée dans sa perspective de droit au secret des télécommunications et à la protection du domicile électronique est mise à mal.
  • La protection du domicile électronique est le droit le plus touché par l’utilisation des chevaux de Troie[20]. Il vise à garantir la confidentialité et l’intégrité des informations stockées par les usagers ou les tiers à leur intention dans un espace numérique[21]. Ce sont ces mêmes informations qui sont interceptées par l’utilisation de logiciels espions ou d’autres dispositifs analogues. Ce droit à la protection du domicile électronique ne fait néanmoins par partie du catalogue des droits fondamentaux institués dans la Constitution. Afin d’assurer la sauvegarde des droit fondamentaux et malgré que le droit au domicile électronique trouve son fondement à l’art. 28 al. 1 CC, il serait préférable que l’art. 13 al. 1 Cst explicite ce droit.
  • Relevons encore que, comme la déclaré la Cour constitutionnelle allemande[22], le comportement visant à introduire un cheval de Troie pour surveiller un ordinateur ou un Smartphone constitue une grave atteinte aux droits fondamentaux de la confidentialité, de l’intégrité des données et de la sphère privée. Ce type de surveillance ne peut se justifier que si le recours à cette méthode est prévu par une base légale suffisamment claire et prévisible, respecte la proportionnalité et est strictement nécessaire.
  • Comme nous l’avons vu[23], à la lumière de la législation en vigueur, la surveillance effectuée par l’introduction d’un cheval de Troie est illicite, malgré qu’à de rare reprise un logiciel GovWare a été utilisé par les autorités policière ou judiciaire avant l’entrée en vigueur, conformément aux dispositions de droit cantonal ou fédéral en vigueur[24]. C’est pourquoi la modification de la LSCPT ajoute un art. 269ter CPP aux mesures de surveillance secrète. Cet article sert non seulement de base légale justifiant l’atteinte à l’art. 143bis CP, mais fixe également le cadre de mise en œuvre de la surveillance à l’aide d’un logiciel espion[25].
  • L’art. 269ter CPP offre une base légale expresse et précise pour recourir aux logiciels d’espionnage, soit des programmes informatiques infiltrés dans le but d’intercepter et de permettre la lecture des données à l’insu de la personne surveillée. Plus spécifiquement, grâce au programme informatique, l’autorité pénale peut surveiller un ordinateur ou un Smartphone et avoir accès à toutes les informations échangées sans qu’elles soient cryptées, permettant notamment de surveiller la téléphonie par Internet et la correspondance par e-mails[26]. Néanmoins, la disposition légale interdit l’usage d’un logiciel Govware pour perquisitionner en ligne un ordinateur ou tout autre système informatique (téléphone mobile ou fixe, tablette, etc.) ainsi que pour utiliser la caméra ou le micro intégré[27]. En outre, dans l’hypothèse où un antivirus bloque le programme de surveillance, cette disposition légale permet de mettre en place, pour déjouer le blocage, un second logiciel complémentaire[28].
  • Conformément aux obligations légales, le ministère public doit en premier lieu spécifier le type d’informations pouvant être interceptées[29]. Cette condition fixe une limite dans l’obtention des données issues de la surveillance et doit permettre d’éviter les abus. Néanmoins, l’introduction d’un logiciel informatisé permet d’obtenir non seulement des données précises et utiles à la procédure, et toutes les données stockées sur l’ordinateur même sans rapport avec la procédure de surveillance. Ainsi, la limite légale reste franchissable par l’autorité chargée de la mesure même si les données recueillies ne sont alors pas exploitables (art. 277 CPP)[30].
  • En outre, au vu de la gravité de l’atteinte à la vie privée, la mesure de surveillance consistant à agir activement sur le système informatisé ne peut être utilisée qu’en dernier recours lorsque les autres modes de surveillance sont restés sans succès, ou qu’ils n’auraient aucune chance d’aboutir ou rendraient la surveillance excessivement ardue[31]. En somme, le législateur instaure une sorte de double subsidiarité, la première consistant à recourir aux autres moyens de contrainte prévus par le Code de procédure pénale avant d’employer les moyens de surveillances classiques, et la seconde de n’utiliser le logiciel d’espionnage qu’en dernier recours.
  • Afin de limiter les risques d’atteinte considérable aux droits fondamentaux et/ou s’assurer que le Ministère public recourt à la surveillance au moyen de logiciels espions trop facilement, ce dernier doit tenir des statistiques sur l’utilisation de cette mesure de contrainte (art. 269ter 4 CPP), ce qui devrait permettre d’évaluer l’atteinte à la liberté personnelle, avec la précision que le coût d’utilisation devrait également limiter le recours à ces méthodes de surveillance[32]. De même, l’art. 269quater CPP a été intégré au P-LSCPT qui prévoit notamment que seuls les programmes qui établissent des procès-verbaux peuvent être exploités afin d’éviter que les résultats soient alterés ou encore que le système de transmission soit sécurisé[33].
  • Nonobstant la nécessité d’édicter une base légale pour autoriser l’utilisation des chevaux de Troie dans le cadre de la surveillance secrète, quelques critiques ont été émises sur la base légale proposée au parlement dans l’avant-projet. En effet, une base légale qui autorise l’introduction d’un programme informatique doit respecter rigoureusement la précision. Or, la disposition proposée éludait quelques points qui ont été, en partie, rectifiés dans la P-LSCPT.
  • Premièrement, malgré le fait que le ministère public doive indiquer quelles données il souhaite obtenir, la surveillance ne se limitait pas à un ou des programmes précis. Lors de la procédure de consultation, certains partis politiques ont émis l’idée de restreindre à certains secteurs, voire de déterminer si une « perquisition électronique » était acceptable ou si seules les données relatives au trafic pouvaient être relevées[34].
  • En effet, ni le rapport explicatif du Conseil fédéral, ni la base légale elle-même ne limitait la portée de l’utilisation du cheval de Troie. La seule contrainte qui existait concernait la nature des données qui devaient être utiles à la procédure.
  • Ce constat engendrait la crainte de voir le logiciel d’espionnage utilisé comme une méthode de perquisition en ligne à l’insu de l’utilisateur, ce qui aurait constitué une atteinte extrêmement grave aux droits personnels et serait contraire à la pratique actuelle s’appuyant sur l’art. 245 CPP pour perquisitionner un ordinateur[35].
  • C’est pourquoi, l’art. 269ter CPP précise que la perquisition en ligne est interdite. L’introduction de GovWare ne pouvant être réalisé que pour lire des communications relevant de la téléphonie par Internet, intercepter les données communiquées, par exemple des messageries instantanées, et accéder aux e-mails[36].
  • Deuxièmement, aucune disposition ne prévoit les modalités d’effacement du cheval de Troie. Par conséquent, il n’est pas improbable qu’une fois la surveillance terminée, le logiciel reste actif sur l’ordinateur, ce qui, au regard du respect du droit à la vie privée, n’est pas tolérable. L’art. 269ter CPP n’introduit toujours pas de procédure d’effacement et le message du Conseil fédéral se limite à déclarer que l’autorité policière peut activer ou non le GovWare installé[37].
  • Troisièmement, la problématique la plus importante par rapport au principe de proportionnalité était le manque d’indication sur les infractions commises susceptibles d’enclencher la procédure de surveillance basée sur un logiciel espion.
  • Le rapport explicatif de l’avant-projet précisait qu’au vu de la « double subsidiarité », toutes les infractions qui pourraient autoriser une surveillance classique de la correspondance « sont susceptibles, dans un cas particulier, de présenter une gravité justifiant le recours au procédé de surveillance« . Néanmoins, aucune indication ne permettait de savoir en quoi consiste la gravité particulière qui est demandée[38].
  • De l’avis de certains parlementaires, il était préférable d’édicter une liste d’infractions corrélativement à ce qui prévaut pour la surveillance classique, ou tout du moins expliciter dans l’art. 269ter CPP que seules les infractions listées à l’art. 269 al. 2 let. a CPP étaient concernées. En effet, vue la gravité de l’atteinte à la sphère privée, l’interception et le décryptage des données devaient être autorisés dans des conditions très strictes. La liste des infractions énumérées à l’art. 269 al. 2 let. a à i CPP devaient par conséquent être limitée à des infractions très graves contre la vie ou l’intégrité corporelle, voire contre l’intégrité de l’Etat[39]. Le législateur a été plus loin puisqu’il a réduit la liste des infractions à celles de l’art. 286 al. 2 CPP, plus restrictive, et donc plus conforme à la nature intrusive de ce mode de surveillance, largement supérieure à celle des méthodes classiques de surveillance[40].
  1. d) Les risques de l’utilisation des chevaux de Troie pour la valeur probante des données recueillies
  • Aux fins de la preuve pénale, les remarques sur l’efficacité et les risques concernant la validité probatoire des autres modes de télécommunication valent de même pour les communications VoIP[41]. S’ajoutent à ces remarques les risques provenant directement de la surveillance.
  • L’intégration d’un programme pour intercepter et décrypter les données et accéder au système informatique n’est pas sans danger. Si l’autorité pénale utilise aisément l’introduction d’un logiciel espion, un tiers peut également y recourir pour contrôler, utiliser, voire modifier, le système d’un tiers surtout que l’art. 269ter CPP offre la possibilité d’introduire un programme complémentaire pour déjouer l’antivirus mettant à mal la sécurité de l’ordinateur ou du Smartphone[42]. Ainsi, l’autorité crée une brèche importante tant dans la protection des données que dans la sécurité informatique. En niant ce fait et en expliquant que chaque programme est spécifique et n’est pas réalisé pour durer[43], les spécialistes du domaine policier n’ont pas pris en considération tous les risques de fragilisation d’un système, les capacités des hackers et le fait que la structure du logiciel reste la même[44].
  • En outre, il n’est pas impossible que le logiciel espion utilisé par les autorités puisse faire son apparition sur la toile. Par exemple, si le logiciel est introduit dans l’ordinateur ou le Smartphone à l’aide d’un e-mail contenant une pièce jointe, il se peut que ledit e-mail soit transféré et contamine d’autres appareils. Dans cette hypothèse, tout un chacun pourra employer le cheval de Troie à titre particulier pour s’introduire et contrôler un appareil tiers.
  • Les risques de voir des données personnelles à la portée de tiers n’est pas inexistant, ce qui peut laisser sceptique quant à l’emploi d’un tel système par l’autorité. Qui sera alors responsable des abus, du vol de données ou simplement de la brèche de sécurité informatique créée? Le législateur nie également le problème des risques. Or, les spécialistes du monde scientifique ont uniquement déclaré que le programme finira tôt ou tard par se confronter à d’autre(s) logiciel(s) et que même si aucun dommage n’est constatable immédiatement, ce dernier terme démontre que, dans la durée, tel pourrait être le cas[45].
  • Tout logiciel implanté sur un système met en péril celui-ci. Ce constat est une évidence qui se prouve par le nombre de logiciels mettant à mal la sécurité informatique ou détruisant des données, voire créant des bugs de l’appareil. Quant aux logiciels espions, ils permettent autant de lire que d’intercepter, d’écrire ou de modifier des données. Dans ce contexte, il faut alors se poser la question de savoir comment l’autorité peut prouver l’authenticité des données recueillies. Par exemple, comment démontrer que la donnée n’a pas été téléchargée ou installée par le logiciel espion lui-même? A ce jour, aucune réponse n’a été apportée laissant un doute important quant à la viabilité de la preuve recueillie par cette méthode.
  • Cela étant, nous le comprenons, ce mode de surveillance est essentiel au vu de l’utilisation toujours plus croissante de la téléphonie et/ou autre communication par Internet[46]. Il est alors essentiel que le juge en charge du dossier constate qu’une brèche créée peut causer des modifications considérables des données. Il n’est alors par exclu que la conversation interceptée ne provienne pas de l’utilisateur surveillé ou que la donnée ait été modifiée, etc. Pour ce qui est des communications orales, le magistrat a néanmoins la possibilité de reconnaître la voix de la personne pour certifier que les dires sont authentiques. Nonobstant ce cas, les communications écrites ne peuvent aujourd’hui pas être certifiées, de même pour toutes les données contenues dans un ordinateur ou un Smartphone.
  • En conséquence, la surveillance des communications VoIP se justifie au vu de l’informatisation de la société actuelle. Néanmoins, les risques qu’un tiers ait pris possession des données, ajoutés aux facteurs pouvant diminuer la preuve liée à la surveillance des autres types de communications[47], les informations pouvant être obtenues ne fournissent en aucun cas une preuve absolue.
[1] Biedermann August, p. 106; Bondallaz, protection des personnes, p. 511; Jean-Richard-dit-Bressel, BÜPF, p. 44; Piquerez, Traité de procédure pénale suisse, p. 616-617; Polizeiliche Ermittlung-Rhyner, Stüssi, p. 443.

[2] Bondallaz, protection des personnes, p. 511.

[3] Hansjakob, GovWare, n° 6-7; Jaggi, p. 277.

[4] Hansjakob, GovWare, n° 9; Jotterand, Müller, Treccani, n° 5.

[5] Message, CPP, p. 1234

[6] ATF 133 IV 249, 253-254 = JdT 2009 IV 10, 14-15.

[7] Jotterand, Müller, Treccani, n° 15.

[8] Dans le même sens: Riss, Zanon, n° 14-26.

[9] Hansjakob, GovWare, n° 17-18. A contrario Jotterand, Müller, Treccani, n° 15.

[10] Hansjakob, GovWare, n° 21; Message, P-LSCPT, p. 2468.

[11] ATF 124 II 193, 201; ATF 131 II 13, 31-32.

[12] Hansjakob, GovWare, n° 19; Message, P-LSCPT, p. 2389 et 2472; Riss, Zanon, n° 20.

[13] ATF 87 IV 115, 118-120; ATF 95 IV 68, 72-73; ATF 127 IV 198, 200.

[14] Riss, Zanon, n° 22.

[15] Conseil fédéral, Rapport modification LSCPT, p. 41; Hansjakob, GovWare, n° 16 et 18.

[16] A contrario: Jotterand, Müller, Treccani, n° 18; Métille, Jusletter, n° 37.

[17] Dans ce sens: Hansjakob, art. 269ter StPO; Hansjakob, GovWare; Riss, Zanon. A contrario: Jotterand, Müller, Treccani; Métille, Jusletter.

[18] BGH StB18/06 vom 31.1.2007, § 5 et 7; BVerfG, 1 BvR 370/07 vom 27.2.2008, § 11.

[19] Conseil fédéral, Rapport modification LSCPT, p. 41; FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 5; Hansjakob, Jusletter-IT, n°2; Message, P-LSCPT, p. 2466.

[20] BVerfG, 1 BvR 370/07 vom 27.2.2008, § 166.

[21] Bondallaz, Jusletter, n° 61.

[22] BVerfG, 1 BvR 370/07 vom 27.2.2008, § 245.

[23] Supra Partie II, Chapitre 3, I, A, 4, c, i, b), n° 1307 ss.

[24] Message, P-LSCPT, p. 2467.

[25] Message, P-LSCPT, p. 2466, 2468 et 2472-2474.

[26] Hansjakob, art. 269ter StPO, n° 2; Hansjakob, Jusletter-IT, n°1 et 10.

[27] Message, P-LSCPT, p. 2398 et 2466-2468 et 2671.

[28] Conseil fédéral, Rapport modification LSCPT, p. 41-42.

[29] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 13-14; Message, P-LSCPT, p. 2473.

[30] FF 2016 p. 1821; Message, P-LSCPT, p. 2467, 2471 et 2473.

[31] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 8; Message, P-LSCPT, p. 2473.

[32] Hansjakob, Jusletter-IT, n° 8 ; Jaggi, p. 280.

[33] Hansjakob, Jusletter-IT, n° 7, 11 et 12.

[34] Synthèse du résultat de la procédure de consultation LSCPT, p. 61-62.

[35] Infra Partie II, Chapitre 3, III, A, 3, c, iii, n° 2059 ss.

[36] Donatsch, Schwarzenegger, Wohlers, p. 232; FF 2016 p. 1821; Message, P-LSCPT, p. 2467, 2471 et 2473.

[37] FF 2016 p. 1821; Message, P-LSCPT, p. 2469.

[38] Synthèse du résultat de la procédure de consultation LSCPT, p. 60.

[39] Synthèse du résultat de la procédure de consultation LSCPT, p. 62.

[40] FF 2016 p. 1821; Hansjakob, art. 269ter StPO, n° 21-22; Jaggi, p. 279-280; Message, P-LSCPT, p. 2470 et 2472.

[41] Supra Partie II, Chapitre 3, I, A, 4, a et b, n° 1254 ss et 1270 ss.

[42] Hansjakob, art. 269ter StPO, n° 16; Message, P-LSCPT, p. 2468-2469.

[43] Jaggi, p. 280; Message, P-LSCPT, p. 2468-2469.

[44] Hansjakob, art. 269ter StPO, n° 8.

[45] Message, P-LSCPT, p. 2469.

[46] Hansjakob, art. 269ter StPO, n° 2, 3 et 24; Hansjakob, Jusletter-IT, n° 1; Message, P-LSCPT, p. 2470.

[47] Supra Partie II, Chapitre 3, I, A, 4, a et b, n° 1254 ss et 1271 ss.