L’utilisation par la police d’un logiciel d’espionnage a fait les grands titres de la presse en Allemagne puis Suisse et nombreux sont ceux qui se sont étonnés de l’existence et l’utilisation de ces logiciels. Si ce n’est pas une surprise, c’est toutefois l’occasion d’apporter quelques précisions.

De quoi parle-t-on?
Le logiciel d’espionnage est également appelé Government-Software ou cheval de Troie (car comme dans la mythologie grecque malgré son apparente innocence il renferme de petits soldats ou de braves espions prêts à en jaillir dès que les Troyens auront détourné leur attention). Il s’agit d’un simple programme informatique en apparence anodin, qui une fois installé permet de prendre le contrôle à distance de l’ordinateur sur lequel il se trouve, et évidemment d’en surveiller en temps réel tout le contenu. Le détenteur de l’ordinateur ne s’en rend normalement pas compte (c’est le but!). Un logiciel d’espionnage peut être installé en accédant physiquement à la machine mais aussi par le biais d’une connexion à distance (courriel, Internet, etc.)

Les chevaux de Troie sont en particulier utilisés pour surveiller les discussions par messagerie instantanée (MSN) ou la téléphonie par Internet (VoIP, Skype,…) que les méthodes habituelles permettent difficilement d’appréhender. Parfois le programme espionne le clavier et enregistre, voire transmet, toutes les informations frappées. On parle alors d’espion clavier logique (par opposition à l’espion clavier matériel qui se fixe dans le clavier ou plus simplement sous la forme d’une rallonge entre la prise du clavier et l’ordinateur). Le cheval de droit peut finalement ne transmettre que les informations liées à certains programmes ou des captures d’écrans.

Est-ce bien légal?
Trois situations sont à distinguer: l’utilisation d’un cheval de Troie par une personne privée, par l’Etat en dehors d’une enquête pénale et dans le cadre d’une enquête pénale. Les deux premières utilisations sont clairement contraires au droit. La troisième mérite plus de développements.

Dans le cadre d’une enquête pénale, l’Etat a le droit de recourir à des méthodes particulières d’investigation, par exemple des perquisitions ou des écoutes téléphoniques. La Cour européenne des droits de l’Homme à Strasbourg comme le Tribunal fédéral ont eu à de nombreuses reprises la possibilité de confirmer la légalité de ces pratiques. Des conditions strictes et une procédure précise doit toutefois être suivie. Depuis le 1er janvier 2011, ces règles sont les mêmes dans tous les cantons suisses et figurent dans le Code de procédure pénale fédéral (CPP). Une surveillance préventive (par exemple par les services de renseignement) ne correspond pas à une enquête pénale et est donc illégale.

Voilà pour le cadre. Alors que dit la loi ? Et bien rien, ou pas grand-chose est c’est bien cela qui est compliqué. De manière simple, on peut dire que l’utilisation d’un logiciel de surveillance par la police n’est possible que si le CPP le permet. Mais cela ne signifie pas encore que la loi doive contenir exactement les termes «logiciel de surveillance» ou encore «cheval de Troie». Il suffit que le législateur ait inclus cette technique dans une des catégories qu’il a choisi d’autoriser. Toute la difficulté est alors de savoir, lorsqu’une technique n’a pas vraiment été évoquée, si elle a été volontairement exclue (et dans ce cas elle serait illégale) ou si elle a été implicitement incluse (elle serait alors permise). Cette réponse est apportée par les tribunaux en interprétant la loi. En attendant une réponse claire, deux camps s’opposent que cela soit par conviction juridique (ceux qui pensent que la loi couvre cette technique contre ceux qui pensent au contraire que la loi ne la prévoit pas) ou par intérêt (ceux qui veulent pouvoir l’utiliser contre ceux qui veulent l’interdire).

Les autres mesures de surveillances
Le CPP prévoit notamment des mesures de surveillance de la correspondance par poste et télécommunications ainsi que des autres mesures techniques de surveillance. Les écoutes téléphoniques font partie de la première et il est tentant d’y classer le logiciel espion utilisé pour écouter des communications over IP (par internet): on surveille la transmission d’informations par le biais d’installations et de techniques de communication. Mais beaucoup d’autres données que les données transmises peuvent également être surveillées et en particulier le contenu et l’activité de l’ordinateur, voire l’observation de ce qui se passe dans l’environnement de la machine. A mon sens il faut plutôt voir un autre dispositif de surveillance au sens de l’art. 280 CPP (autres mesures techniques de surveillance) tant qu’une disposition spécifique n’est pas introduite dans le CPP. Il n’a pas exactement pour but d’enregistrer des conversations non publiques ou des actions se déroulant dans des lieux qui ne sont pas publics ou librement accessibles (comme le prévoit la disposition légale), mais il entre dans le champ plus large de la récolte d’informations qui ne sont pas librement accessibles, ce que permet l’interprétation de l’art. 280 CPP dans ce sens. L’utilisation de ces logiciels était largement connue avant l’adoption du Code de procédure et rien n’indique que le législateur a voulu l’exclure.

Les conséquences
Le cheval de Troie ne peut donc être utilisé qu’aux conditions prévues pour les autres mesures de surveillance. Si ces conditions ne sont pas respectées et en particulier que l’autorisation nécessaire n’a pas été accordée, la surveillance serait illégale et les preuves recueillies complètement inexploitables.

La surveillance n’est autorisée que dans le cas d’une enquête visant la commission d’infractions particulières figurant dans une liste précise, la même que celle qui est utilisée pour les écoutes téléphoniques ou la surveillance du courrier électronique. Elle est ordonnée par le ministère public mais doit également être confirmée par une autorité judiciaire indépendante, le tribunal des mesures de contrainte.

Comme pour toute surveillance, les principes de subsidiarité et de proportionnalité doivent être respectés. Cela signifie qu’une telle surveillance ne doit être admise que si aucune autre mesure ne peut atteindre ce but et que l’atteinte à la sphère privée doit être aussi limitée que possible. Ce dernier élément me paraît particulièrement important et pourrait ne pas être appliqué correctement. Le cheval de Troie donne accès à un nombre énorme d’informations, dont un grand nombre ne sont pas nécessaires à l’enquête. Pour cette raison, l’ordre de surveillance devrait indiquer précisément ce qui est recherché et quelles parties de la machine sont visées (emails, messagerie instantanée, VoIP, images, documents, etc.) pour éviter une surveillance disproportionnée. La police ne recevrait ou n’aurait le droit que d’exploiter les informations couvertes par l’autorisation.

Finalement la personne surveillée doit être informée à l’issue de la surveillance de manière complète, ce qui lui donne également la possibilité de faire contrôler la légalité et le bien-fondé de la surveillance par une autre autorité judiciaire.

Une révision en cours
Un avant-projet de révision de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunications prévoit d’introduire un nouvel art. 270bis CPP qui autoriserait expressément l’installation d’un « cheval de Troie » et le décryptage de données. Cette mesure y est conçue comme une mesure de surveillance de la correspondance subsidiaire aux autres mesures de surveillance de la correspondance par télécommunication, bien qu’elle permette finalement d’accéder à l’ensemble des données présentes sur le système informatique, y compris celles qui ne font pas partie de la correspondance. Il serait à mon avis plus judicieux d’ajouter une ligne à l’article 280 et d’en faire une autre mesure technique de surveillance, au lieu d’ajouter un nouvel article parmi la surveillance de la correspondance avec des conditions un peu différentes comme le propose le Conseil fédéral. Un projet devrait être publié prochainement.

Les craintes
Le débat public se concentre sur la question de savoir si la loi interdit ou non cette mesure et si la loi est bonne ou mauvaise. A mon avis la loi permet d’utiliser un cheval de Troie à des conditions strictes et l’attention doit être portée sur le respect de ces conditions. Il faudrait par exemple plutôt s’assurer que le tribunal des mesures de contraintes n’autorise qu’avec une grande retenue cette mesure de surveillance, que la surveillance soit limitée au strict nécessaire (ce que l’ordre de surveillance doit préciser) et que l’information transmise à la personne qui a été surveillée soit complète et compréhensible. Le risque d’abus ne me semble pas tant être dans la rédaction de la loi mais plutôt dans sa mauvaise application, par exemple si les autorités compétentes devaient manquer de temps ou de connaissances techniques suffisantes.