20141104 appsec surveillance

594 vues

Publié le

s

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
594
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

20141104 appsec surveillance

  1. 1. Application Security Forum - 2014 Western Switzerland 05-06 November 2014 - Y-Parc / Yverdon-les-Bains http://www.appsec-forum.ch Les mesures techniques de surveillance en droit Suisse, qu’est-ce qui est permis? Sylvain Métille Head of Technology and Privacy BCCC avocats sàrl
  2. 2. Plan  De quoi parle-t-on?  La protection de la sphère privée  Les mesures de surveillance (investigation pénale) –Quelles mesures et à quelles conditions?  Les projets légaux (CPP, LSCPT, LRens) 2
  3. 3. Mesure technique de surveillance: de quoi parle-t-on? Méthode utilisée par l’homme au moyen d’un appareil lui permettant d’écouter, d’observer, de localiser, d’identifier ou de recueillir de n’importe quelle manière des informations sur un individu, un objet ou un lieu. Méthode utilisée par l’Etat dans le cadre de ses compétences. 3
  4. 4. Quelques exemples 4
  5. 5. La surveillance privée est limitée par: Le droit du travail (26 OLT 3 et 328ss CO) La Loi sur la protection des données (LPD) Le Code civil (28ss CC) Le Code pénal (CP) ‒Violation du secret des postes et des télécommunications (321ter CP) ‒Violation de secrets privés (179 CP) ‒Ecoute et enregistrement de conversations entre d'autres personnes (179bis CP) ‒Enregistrement non autorisé de conversations (179ter CP) ‒Violation du domaine secret ou du domaine privé au moyen d'un appareil de prise de vues (179quater CP) ‒Soustraction de données personnelles (179novies CP) ‒Soustraction de données (143 CP) ‒Accès indu à un système informatique (143bis1 CP) ‒Violation de domicile (186 CP) 5
  6. 6. Protection de la sphère privée Constitution fédérale –Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu'elle établit par la poste et les télécommunications (art. 13 al. 1 Cst). Convention européenne des droits de l’Homme –Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance (art. 8 § 1 CEDH). 6
  7. 7. L’activité de l’Etat doit reposer sur une loi 7 Restriction des droits fondamentaux (art. 36 Cst) –1 Toute restriction d'un droit fondamental doit être fondée sur une base légale. Les restrictions graves doivent être prévues par une loi. Les cas de danger sérieux, direct et imminent sont réservés. –2 Toute restriction d'un droit fondamental doit être justifiée par un intérêt public ou par la protection d'un droit fondamental d'autrui. –3 Toute restriction d'un droit fondamental doit être proportionnée au but visé. –4 L'essence des droits fondamentaux est inviolable. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui (art. 8 § 2 CEDH).
  8. 8. U.S. Constitution, Fourth Amendment The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized. 8
  9. 9. La surveillance  Investigation pénale –Une infraction pénale a été commise ou est en cours de commission –Identifier l’auteur ou récolter des preuves  Renseignement –Recherche d’informations, en particulier à titre préventif •Renseignement intérieur et extérieur •Renseignement civil et militaire 9
  10. 10. Aujourd’hui en Suisse Mesures de surveillance secrètes prévues par le Code de procédure pénale (CPP) Pas de surveillance secrète prévue par la Loi visant au maintien de la sûreté intérieure (LMSI) Une obligation de conserver les données accessoires pendant six mois (LSCPT) 10
  11. 11. Les mesures de surveillance secrètes prévues par le CPP 11 SCPT 269ss CPP Autres dispositifs techniques 280s CPP Observation 282s CPP Surveillance des relations bancaires 284s CPP Investigation secrète 286ss CPP
  12. 12. Les conditions «générales» 12
  13. 13. Contrôle a priori (autorisation)  La police suggère  Le ministère public ordonne  Le tribunal des mesures de contrainte autorise  Pour l’observation, la police ordonne. Si au-delà d’un mois, le ministère public doit autoriser. 13
  14. 14. L’information Appelée «communication» par le CPP Ouvre le droit de recours Indépendamment du résultat de la surveillance Joue un rôle déterminant dans la surveillance de la surveillance Ministère public peut différer ou renoncer (sous conditions) 14
  15. 15. Contrôle a posteriori (le recours) Recours (393ss CPP) Délai: 10 jours dès notification de la communication Plein pouvoir d’examen en fait et en droit Recours contre la communication mais contrôle de l’ensemble de la surveillance 15
  16. 16. Les obligations découlant de la LSCPT La Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) s'applique à tous les organismes étatiques, aux organismes soumis à concession ou à l'obligation d'annoncer qui fournissent des services postaux ou de télécommunication ainsi qu’aux fournisseurs d’accès à Internet (art. 1 al. 2 LSCPT). Ils sont tenus de conserver durant six mois les données permettant l'identification des usagers ainsi que les données relatives au trafic et à la facturation (art. 15 al. 3 LSCPT). 16
  17. 17. Projet de révision de la LSCPT La LSCPT s’appliquera plus largement aux fournisseurs de services postaux, de services de télécommunication (y compris d’accès à Internet), ainsi qu’aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers, etc. Les autorités judiciaires et policières pourront consulter directement les résultats de la surveillance (plus d’envoi de CD-ROM par la poste). La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois. Les fournisseurs de services de communication dérivés devront tolérer une surveillance exécutée par le service SCPT ou la police et livrer les données secondaires en leur possession (sans obligation de les conserver). 17
  18. 18. Derniers développements 18 Le 19 mars 2014, le Conseil des Etats a accepté l’allongement de la durée de conservation des données secondaires par les fournisseurs de services de télécommunications de 6 à 12 mois. Le 8 avril 2014 la CJUE a invalidé la directive européenne sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
  19. 19. Projet de révision de la LSCPT Deux nouvelles dispositions du CPP: –Art. 269bis CPP: utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple). –Art. 269ter CPP: utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). •La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires. •L’utilisation de chevaux de Troie (Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur. 19
  20. 20. La loi sur le renseignement (LRens) 20  Le Conseil fédéral a adopté le 19 février 2014 le projet de LRens : –Mesures de surveillance secrètes préventives dans le domaine du terrorisme, de l'espionnage, de la prolifération et des attaques contre des infrastructures critiques ou en vue de la sauvegarde d'autres intérêts essentiels de la Suisse (autorisation du TAF et chef du DDPS). –Enregistrement visuels et sonores dans les lieux publics ou librement accessibles, y compris à l’aide de drones ou satellites (pas besoin d’autorisation). –Exploration radio / exploration du réseau câblé (autorisation du TAF et chef du DDPS).
  21. 21. Conclusions  Pas de perquisitions à distance  Des règles strictes encadrent la surveillance  Des projets discutés au parlement pour: –allonger la durée de conservation des données –introduire des moyens de surveillance préventive (renseignement) 21
  22. 22. Encore des questions? 22
  23. 23. Merci! Contact: s.metille@bccc.ch Twitter: @ntdroit http://www.bccc.ch https://ntdroit.wordpress.com Slides: http://slideshare.net/ASF-WS/presentations http://appsec-forum.ch 23

×