Lexipedia

AB 171755

Schwaab Jean Christophe · Nationalrat · Waadt · Sozialdemokratische Fraktion · 2015-06-17

Wortprotokoll

Je m'exprimerai exclusivement sur les programmes informatiques dits spéciaux ou Govware ou encore chevaux de Troie. Il s'agit de créer une base légale claire, précise et qui tienne compte des droits fondamentaux pour brider l'emploi de ces logiciels qui sont tout sauf anodins. Il faut bien avouer qu'ils sont déjà utilisés aujourd'hui par certaines polices cantonales et que la base légale fait clairement défaut.

D'ailleurs, si nous en restions à la clause très générale de l'article 269 du Code de procédure pénale, comme cela a été souhaité par Monsieur Schwander, nul doute que nous risquerions de faire face à un emploi incontrôlé de chevaux de Troie. Ce n'est certainement pas ce que souhaite la majorité de la commission, et ce n'est d'ailleurs certainement pas ce que souhaite ce conseil. Je ne vais pas revenir sur les avantages de ces logiciels et sur la nécessité d'en faire usage au cours d'une enquête pénale, car cela a déjà été exposé en long et en large. Je vais plutôt m'étendre sur leurs inconvénients et leurs dangers potentiels ainsi que sur la façon par laquelle la commission propose d'y remédier.

Un cheval de Troie peut être utilisé pour bien autre chose qu'une simple écoute d'une télécommunication sur Internet. C'est un type de programme qui existe en milliers de versions malveillantes. Ce programme peut modifier le contenu du disque dur dans lequel il s'est introduit, par exemple pour créer de fausses preuves, endommager la machine, ou pour mener une véritable perquisition en ligne. Il peut aussi être utilisé pour allumer micros et caméras et surveiller non pas une télécommunication, mais tout ce qui se passe dans la pièce où se trouve l'appareil. Il faut donc être très prudent, car le risque d'abus est énorme.

La commission, sans fausse modestie, a trouvé la parade. Elle s'est appuyée sur le très bon projet du Conseil fédéral, mais elle l'a amélioré et a renforcé les garanties en matière de droits fondamentaux. Tout d'abord, je vous propose un rappel des règles proposées par le Conseil fédéral. L'emploi d'un cheval de Troie, il faut l'admettre, est une atteinte grave aux droits fondamentaux. Il faut donc que cette atteinte se fonde sur les règles strictes en vigueur. En particulier, l'usage doit respecter le principe de proportionnalité. Le programme ne peut être utilisé que si les autres mesures de surveillance moins invasives ont échoué. L'usage concret doit aussi être proportionné au résultat. Le crime que l'on souhaite élucider doit être important et se trouver sur la liste prévue à l'article 269 du Code de procédure pénale. Le tribunal des mesures de contrainte doit donner son accord. Et les données collectées qui ne seraient pas les données visées dans l'ordre de surveillance doivent être détruites. Les règles en vigueur concernant l'exploitation des preuves [PAGE 1176] restent en vigueur, cela a été rappelé. Il n'est donc en principe pas possible d'utiliser ce qu'on aurait découvert fortuitement en essayant d'écouter une communication. Comme vous pouvez le constater, la bride des chevaux de Troie est déjà serrée!

Mais ces garanties solides n'ont pas suffi à la commission, qui a souhaité non seulement une bride, mais aussi un mors et des oeillères. Elle a élaboré avec le soutien de l'administration un article 269 quater du Code de procédure pénale, qui pose les conditions supplémentaires suivantes:

  • Les programmes ne peuvent être utilisés que s'ils prévoient un procès-verbal complet et inaltérable de la surveillance effectuée. Ainsi, l'on peut vérifier que le Govware ne sert qu'à surveiller les communications et pas à autre chose.
  • Le transfert des données à l'autorité de poursuite pénale doit être sécurisé.
  • L'autorité doit avoir accès au code source pour vérifier que le programme ne contient que les fonctions autorisées par la loi. Les programmes informatiques spéciaux doivent donc respecter le principe de la légalité dès la conception ou "legal by design", comme diront les anglophones.

Ces principes n'ont pas été contestés lors des débats en commission.

Il faut rappeler que les règles sur l'inexploitabilité des preuves obtenues frauduleusement restent en vigueur, en particulier l'article 141 du Code de procédure pénale. De l'avis de la majorité de la commission, ces règles en vigueur rendent caduque la proposition défendue par la minorité Vischer Daniel à l'article 269quater alinéa 6, que la commission a rejetée par 12 voix contre 5 et 4 abstentions.

Afin de garantir une mise en oeuvre parfaite dans tout le pays, la proposition de la majorité prévoit en outre de confier l'achat et le développement des programmes à un service centralisé de la Confédération, ce qui renforce encore le contrôle légal et permet d'harmoniser les pratiques. Une proposition de minorité, déposée par Monsieur Lüscher et reprise par Madame Rickli, s'y oppose toutefois. La commission l'a rejetée par 12 voix contre 12 et 1 abstention avec la voix prépondérante du président. Mais nous pensons à toutes fins utiles qu'il serait nécessaire de créer une divergence afin - cela a été dit - que le premier conseil, lors de l'élimination des divergences, se penche un petit plus dans le détail sur cet élément particulier. Je rejoins sur ce point ce qu'a dit notamment Monsieur Lüscher: il est possible que la commission n'ait peut-être pas considéré tous les aspects pertinents en la matière.

La commission s'est penchée sur la possibilité de certifier les chevaux de Troie, mais elle y a finalement renoncé, car une certification devrait être refaite lors de chaque mise à jour du programme, ce qui entraînerait des coûts démesurés.

La proposition de la minorité Leutenegger Oberholzer à l'article 269ter alinéa 5 vise à ce que l'intégrité de la machine infectée ne soit pas touchée et que l'accès par des tiers puisse être exclu. Certes, il n'est pas possible de garantir l'intégrité d'une machine suite à l'emploi d'un cheval de Troie, mais le but de ce programme n'est pas de désactiver des mécanismes de sécurité ou d'ouvrir des portes dérobées. Ce n'est pas utile pour l'usage que l'on compte faire du Govware. Par ailleurs, l'obligation de tenir un procès-verbal complet de l'usage du logiciel permet de vérifier que cela n'a pas été le cas et qu'aucun dégât collatéral déraisonnable n'a été commis.

La commission a rejeté la proposition défendue par la minorité Leutenegger Oberholzer, par 12 voix contre 9 et 2 abstentions.

La commission a aussi rejeté, par 16 voix contre 6 et 4 abstentions, la proposition défendue par la minorité Leutenegger Oberholzer, à l'article 269ter alinéa 6, dont le but est de faire en sorte que ces programmes informatiques spéciaux ne soient conçus qu'en Suisse. Il s'agit d'une condition tout simplement impossible à remplir étant donné qu'il n'existe en Suisse aucune entreprise capable de fournir ces programmes.

La commission vous invite aussi, par 10 voix contre 6 et 7 abstentions, à rejeter la proposition défendue par la minorité Kiener-Nellen à l'article 269ter alinéa 1bis. En effet, restreindre l'achat des Govware à un certain type de pays difficile à définir serait ardu à mettre en pratique et créerait probablement passablement d'insécurité juridique.

A l'article 269ter alinéa 4, la commission s'est aussi ralliée à la solution du Conseil des Etats en matière de statistique et a rejeté, par 13 voix contre 6 et 4 absentions, la proposition défendue par la minorité Leutenegger Oberholzer qui souhaitait aller plus loin.

A l'article 269ter alinéa 1 lettre b, la commission a rejeté, par 15 voix contre 5 et 5 abstentions, une proposition défendue par la minorité Vischer Daniel, laquelle visait à restreindre le catalogue d'infractions autorisant l'usage d'un cheval de Troie aux infractions prévues à l'article 260bis alinéa 1 du Code pénal. La commission part de l'idée que cette liste serait beaucoup trop étroite et entraverait de manière significative le travail des autorités de poursuite pénale. En particulier, bon nombre des délits liés au trafic de drogue, à la cybercriminalité ou de nature financière ne seraient plus dans la liste autorisant l'usage des chevaux de Troie. Or c'est un domaine où l'emploi de Govware est nécessaire, car les trafiquants se savent écoutés et passent donc par des canaux que l'on ne peut actuellement pas surveiller avec les méthodes habituelles.

Forte de ces constats, la majorité de la commission est convaincue que l'utilisation des chevaux de Troie, si invasive soit-elle, est tout à fait possible en respectant les droits fondamentaux. La plupart des critiques publiques que l'on peut entendre à leur sujet sont, de l'avis de la majorité de la commission, balayées à la lecture de l'article 269quater proposé, à part bien entendu l'objection de principe, sur laquelle je vais encore brièvement revenir. Mais la commission soutient le Conseil fédéral et le Conseil des Etats sur le principe: l'évolution technologique et les habitudes de télécommunication rendent l'usage de ces programmes nécessaire pour combattre efficacement la criminalité.

Comme il est possible de le faire en garantissant un haut niveau de protection des droits fondamentaux, la commission vous propose de rejeter, à l'article 269ter, les propositions défendues par les minorités I (Leutenegger Oberholzer), II (Vischer Daniel) et III (Reimann Lukas), qui visent à biffer la possibilité d'utiliser des programmes informatiques spéciaux. La commission a rejeté ces propositions par 15 voix contre 7 pour la première, et 14 voix contre 7 pour les deux suivantes, chaque fois sans abstention.