Comme en Allemagne, l’utilisation par la police d’un logiciel d’espionnage a fait les grands titres de la presse suisse et plusieurs corps de police ont admis y avoir parfois recours. L’accès à Internet peut être surveillé avec l’aide du fournisseur d’accès, mais également en plaçant un logiciel espion directement chez la personne visée.

Le cheval de Troie

Le logiciel d’espionnage est également appelé Government-Software ou cheval de Troie (car comme dans la mythologie grecque malgré son apparente innocence il renferme de petits soldats ou de braves espions prêts à en jaillir dès que les Troyens auront détourné leur attention). Il s’agit d’un simple programme informatique en apparence anodin, qui une fois installé permet de prendre le contrôle à distance de l’ordinateur sur lequel il se trouve, et évidemment d’en surveiller en temps réel tout le contenu. Le détenteur de l’ordinateur ne s’en rend normalement pas compte (c’est le but !). Un logiciel d’espionnage peut être installé en accédant physiquement à la machine mais aussi par le biais d’une connexion à distance (courriel, Internet, etc.)

Les chevaux de Troie sont en particulier utilisés pour surveiller les discussions par messagerie instantanée (MSN) ou la téléphonie par Internet (VoIP, Skype,…) que les méthodes habituelles permettent difficilement d’appréhender. Parfois le programme espionne le clavier et enregistre, voire transmet, toutes les informations frappées. On parle alors d’espion clavier logique (par opposition à l’espion clavier matériel qui se fixe dans le clavier ou plus simplement sous la forme d’une rallonge entre la prise du clavier et l’ordinateur). Le cheval de droit peut finalement ne transmettre que les informations liées à certains programmes ou des captures d’écrans.

Est-ce conforme au droit suisse ?

Trois situations sont à distinguer : l’utilisation d’un cheval de Troie par une personne privée, par l’État en dehors d’une enquête pénale et dans le cadre d’une enquête pénale. Les deux premières utilisations sont clairement contraires au droit. La troisième mérite plus de développements.

Dans le cadre d’une enquête pénale, l’État a le droit de recourir à des méthodes particulières d’investigation, par exemple des perquisitions ou des écoutes téléphoniques. La Cour européenne des droits de l’Homme à Strasbourg comme le Tribunal fédéral suisse ont eu à de nombreuses reprises la possibilité de confirmer la légalité de ces pratiques. Des conditions strictes et une procédure précise doit toutefois être suivie. Depuis le 1er janvier 2011, ces règles sont les mêmes dans tous les cantons suisses et figurent dans le Code de procédure pénale fédéral (CPP). Une surveillance préventive (par exemple par les services de renseignement) ne correspond pas à une enquête pénale et serait donc illégale.

Le CPP n’est pas très explicite sur cette technique. De manière simple, on peut dire que l’utilisation d’un logiciel de surveillance par la police n’est possible que si le CPP le permet. Mais cela ne signifie pas encore que la loi doive contenir exactement les termes « logiciel de surveillance » ou encore « cheval de Troie ». Il suffit que le législateur ait inclus cette technique dans une des catégories qu’il a choisi d’autoriser. Toute la difficulté est alors de savoir, lorsqu’une technique n’a pas vraiment été évoquée, si elle a été volontairement exclue (et dans ce cas elle serait illégale) ou si elle a été implicitement incluse (elle serait alors permise). Cette réponse est apportée par les tribunaux en interprétant la loi. En attendant une réponse claire, deux camps s’opposent que cela soit par conviction juridique (ceux qui pensent que la loi couvre cette technique contre ceux qui pensent au contraire que la loi ne la prévoit pas) ou par intérêt (ceux qui veulent pouvoir l’utiliser contre ceux qui veulent l’interdire).

Le CPP prévoit notamment des mesures de surveillance de la correspondance par poste et télécommunications ainsi que des autres mesures techniques de surveillance. Les écoutes téléphoniques font partie de la première et il est tentant d’y classer le logiciel espion utilisé pour écouter des communications over IP (par internet) : on surveille la transmission d’informations par le biais d’installations et de techniques de communication. Mais beaucoup d’autres données que les données transmises peuvent également être surveillées et en particulier le contenu et l’activité de l’ordinateur, voire l’observation de ce qui se passe dans l’environnement de la machine. A mon sens il faut plutôt voir un autre dispositif de surveillance au sens de l’art. 280 CPP (autres mesures techniques de surveillance) tant qu’une disposition spécifique n’est pas introduite dans le CPP. Il n’a pas exactement pour but d’enregistrer des conversations non publiques ou des actions se déroulant dans des lieux qui ne sont pas publics ou librement accessibles (comme le prévoit la disposition légale), mais il entre dans le champ plus large de la récolte d’informations qui ne sont pas librement accessibles, ce que permet l’interprétation de l’art. 280 CPP dans ce sens. L’utilisation de ces logiciels était largement connue avant l’adoption du Code de procédure et rien n’indique que le législateur a voulu l’exclure.

Un avant-projet de révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications prévoit d’introduire un nouvel art. 270bis CPP qui autoriserait expressément l’installation d’un « cheval de Troie » et le décryptage de données. Cette mesure y est conçue comme une mesure de surveillance de la correspondance subsidiaire aux autres mesures de surveillance de la correspondance par télécommunication, bien qu’elle permette finalement d’accéder à l’ensemble des données présentes sur le système informatique, y compris celles qui ne font pas partie de la correspondance. Il serait à mon avis plus judicieux d’ajouter une ligne à l’article 280 et d’en faire une autre mesure technique de surveillance, au lieu d’ajouter un nouvel article parmi la surveillance de la correspondance avec des conditions un peu différentes comme le propose le Conseil fédéral. Un projet devrait être publié prochainement, mais il n’est pas possible d’en tirer de conséquences pour la situation actuelle.

La procédure et les conséquences

Le cheval de Troie ne peut donc être utilisé qu’aux conditions prévues pour les autres mesures de surveillance. Si ces conditions ne sont pas respectées et en particulier que l’autorisation nécessaire n’a pas été accordée, la surveillance serait illégale et les preuves recueillies complètement inexploitables.
La surveillance n’est autorisée que dans le cas d’une enquête visant la commission d’infractions particulières figurant dans une liste précise, la même que celle qui est utilisée pour les écoutes téléphoniques ou la surveillance du courrier électronique. Elle est ordonnée par le ministère public mais doit également être confirmée par une autorité judiciaire indépendante, le tribunal des mesures de contrainte.

Comme pour toute surveillance, les principes de subsidiarité et de proportionnalité doivent être respectés. Cela signifie qu’une telle surveillance ne doit être admise que si aucune autre mesure ne peut atteindre ce but et que l’atteinte à la sphère privée doit être aussi limitée que possible. Ce dernier élément me paraît particulièrement important et pourrait ne pas être appliqué correctement. Le cheval de Troie donne accès à un nombre énorme d’informations, dont un grand nombre ne sont pas nécessaires à l’enquête. Pour cette raison, l’ordre de surveillance devrait indiquer précisément ce qui est recherché et quelles parties de la machine sont visées (emails, messagerie instantanée, VoIP, images, documents, etc.) pour éviter une surveillance disproportionnée. La police ne recevrait ou n’aurait le droit que d’exploiter les informations couvertes par l’autorisation.

Finalement la personne surveillée doit être informée à l’issue de la surveillance de manière complète, ce qui lui donne également la possibilité de faire contrôler la légalité et le bien-fondé de la surveillance par une autre autorité judiciaire.

Les craintes

Le débat public se concentre sur la question de savoir si la loi interdit ou non cette mesure et si la loi est bonne ou mauvaise. A mon avis la loi permet d’utiliser un cheval de Troie à des conditions strictes et l’attention doit être portée sur le respect de ces conditions. Il faudrait par exemple plutôt s’assurer que le tribunal des mesures de contraintes n’autorise qu’avec une grande retenue cette mesure de surveillance, que la surveillance soit limitée au strict nécessaire (ce que l’ordre de surveillance doit préciser) et que l’information transmise à la personne qui a été surveillée soit complète et compréhensible. Le risque d’abus ne me semble pas tant être dans la rédaction de la loi mais plutôt dans sa mauvaise application, par exemple si les autorités compétentes devaient manquer de temps ou de connaissances techniques suffisantes.

La surveillance de l’accès Internet via le fournisseur d’accès

La première Cour du Tribunal administratif fédéral (TAF) s’est prononcée deux fois les 21 et 23 juin 2011 à la suite de recours déposés contre des décisions du Service Surveillance de la correspondance par poste et télécommunication (SCPT). Ces deux affaires concernaient la surveillance d’un accès à Internet demandé par le ministère public du canton de Zürich : surveillance d’un accès à large bande du réseau fixe (A-8284/2010) et surveillance d’un accès par un numéro de téléphone mobile (A-8267/2010).

Contrairement à ce que l’on pourrait croire au premier abord, la question posée par ces arrêts n’est pas de savoir si la surveillance d’un accès à Internet est légale, mais si la méthode exigée par le Service SCPT peut être imposée aux fournisseurs de service de télécommunication (FST). La surveillance d’un accès à Internet fait partie de la surveillance de la correspondance (art. 269ss CPP et est expressément mentionnée dans les art. 23ss OSCPT) Le TAF ne jugeait pas le recours d’une personne surveillée mais celui d’un FST. En simplifiant, on a d’un côté le Service SCPT qui veut faire respecter ses directives et de l’autre le fournisseur service de télécommunication qui veut limiter ses investissements et frais en matière de surveillance.

Sans trop entrer dans les détails techniques de ces deux affaires, on peut retenir que le procureur a ordonnée la surveillance de tout le trafic Internet de l’accès à large bande, respectivement du numéro de téléphone mobile. Le service SCPT a ordonné au fournisseur de service de télécommunication de dupliquer le trafic Internet et d’en remettre les données selon la directive établie.

Or, pour des raisons techniques, le Service SCPT n’avait pas la compétence d’adopter cette directive. Le Tribunal a alors admis le recours du fournisseur de service, non sans souligner le besoin urgent d’adapter l’Ordonnance à la réalité technique. L’OSCPT est d’ailleurs actuellement en cours de révision.
Comment surveiller Internet aujourd’hui ?

La question la plus intéressante est certainement celles que n’a pas traité le Tribunal (parce qu’il n’en était pas saisi) : le ministère public peut-il ordonner la surveillance d’un accès à Internet ? La réponse est certainement oui, mais le problème est de savoir comment. A une extrémité, l’autorité de poursuite pénale peut ordonner la surveillance d’un accès à Internet étant donné que le CPP le permet. A l’autre extrémité le fournisseur d’accès n’a pas d’obligation de disposer des compétences et du matériel nécessaire pour procéder à une telle surveillance d’un accès à Internet (ni de se conformer aux directives techniques du service).

La situation ressemble fortement à celle de la surveillance de la correspondance à l’intérieur de réseaux de télécommunications internes ou de centraux domestiques. L’exploitant doit prêter son concours ou tolérer la surveillance mais n’a pas d’obligation de l’exécuter. Le service exécute lui-même la surveillance ou la fait exécuter à ses frais (art. 28s OSCPT). A mon avis il faut procéder par analogie pour la surveillance d’un accès à Internet, d’autant que le Service SCPT semble disposer d’équipement mobile lui permettant de mener à bien la surveillance.

Sylvain Métille https://www.smetille.ch