Amnesty ne s’oppose pas par principe à toute forme de surveillance mais rejette toute mesure de surveillance massive et indiscriminée donc fondée sur aucun soupçon. La surveillance n’est justifiée que s’il existe des indices concrets d’une activité illégale et que la mesure est ciblée, nécessaire, proportionnelle et ordonnée par un juge.
Au nom de la sécurité, de nombreux États développent actuellement des mesures de surveillance. Celles-ci vont souvent trop loin et violent des droits humains fondamentaux. La nouvelle loi sur le renseignement (LRens) met à disposition du Service de renseignement de la Confédération helvétique une palette de moyens de surveillance problématiques.
Amnesty critique en particulier deux mesures qui représentent des atteintes disproportionnées à la sphère privée : L’exploration du réseau câblé et l'enregistrement des métadonnées.
Retrouvez ici les arguments détaillés d’Amnesty:
1. La surveillance de masse indiscriminée
2. Plus de surveillance, plus de sécurité ?
3. L’exploration du réseau câblé
4. L'enregistrement des métadonnées
5. Les «chevaux de Troie» de l’Etat
1. La surveillance de masse indiscriminée
Qu’est-ce que la surveillance de masse indiscriminée?
La surveillance de masse indiscriminée est, par exemple, la surveillance d’Internet et des communications téléphoniques d’un grand nombre de personnes, parfois d’un pays entier, sans que les personnes surveillées n’aient jamais éveillé un quelconque soupçon d’activités illégales.
Existe-t-il une forme légale de surveillance de masse indiscriminée?
Non. Les gouvernements peuvent certes légaliser des programmes de surveillance de masse mais ils se mettent alors clairement en porte à faux avec le droit international que la plupart des États ont ratifié. Selon Amnesty International, une mesure de surveillance indiscriminée ne peut jamais constituer une atteinte justifiée et proportionnelle aux droits humains.
Quels sont les droits concernés par la surveillance de masse?
La surveillance de masse, non fondée sur des soupçons précis, entre en conflit avec plusieurs droits fondamentaux contenus dans la Constitution fédérale et la Convention européenne des droits de l’homme (CEDH). A côté du droit à la protection de la sphère privée et au secret des communications, la liberté d’expression et la présomption d’innocence sont aussi concernées. Si l’on surveille un médecin, un avocat, un prêtre ou un journaliste, le secret professionnel ou la protection des sources sont également mis en danger.
Quel est le rapport entre le droit national et le droit international en ce qui concerne la surveillance?
Les compétences en matière de surveillance sont réglées par le droit national. Mais le fait que la surveillance soit réglée par une loi ne la rend pas automatiquement légale. Les États ont, en plus de leur propre législation, des obligations à respecter vis à vis des normes internationales en matière de droits humains. Une mesure de surveillance qui ne serait pas compatible avec les droits humains est illégale. La surveillance des communications est une atteinte au droit à la sphère privée et à la liberté d’expression, deux droits qui sont garantis, entre autres, par la CEDH.
2. Plus de surveillance, plus de sécurité ?
N’est-ce pas là trop restreindre le travail des services secrets dans leur lutte contre la criminalité et le terrorisme ?
La LRens donne au SRC de nouveaux moyens et de nouvelles compétences pour assurer une surveillance ciblée des personnes suspectes. Toutes ces mesures doivent respecter le principe de la proportionnalité ; les droits fondamentaux ne doivent pas être sacrifiés sur l’autel de la sécurité.
La criminalité et le terrorisme doivent être combattus par des moyens légaux et respectueux de l’Etat de droit. La poursuite pénale reste pour cela le moyen le plus adéquat. En cas de soupçons fondés sur des indices concrets d’activités terroristes, de criminalité organisée, de transferts illégaux d’armement ou de leurs actes préparatoires, ce sont les autorités de poursuite pénale (Ministère public, polices cantonales) qui doivent intervenir et non les services de renseignement. C’est l’unique façon de garantir des procédures respectueuses de l’Etat de droit.
La surveillance de masse n’est-elle pas nécessaire pour lutter contre le terrorisme?
Il est fréquemment fait référence à la «sécurité nationale» pour justifier des atteintes aux droits humains. Il n’existe pourtant aucune preuve à ce jour que des mesures de surveillance généralisées, non fondées sur des soupçons précis, aient contribué à renforcer la sécurité.
Une commission d’enquête indépendante, mise en place par le président Obama (PCLOB) a conclu en janvier 2015 que la collecte de données par la National Security Agency (NSA) était illégale et représentait une «menace sérieuse pour les droits civiques et la démocratie». Elle s’est par ailleurs montrée inutile dans la lutte contre le terrorisme: «Il n’y a pas un seul cas dans lequel le programme (de la NSA) a permis de mettre à jour des projets terroristes inconnus ou a contribué à empêcher des attaques terroristes», conclut le rapport de la commission.
Une enquête a également été menée en Allemagne sur l’efficacité des mesures de surveillance généralisée (saisie des métadonnées). Là non plus, l’efficacité des mesures n’a pas été démontrée. Dans la conclusion de son expertise effectuée pour le compte du gouvernement, l’Institut Max Planck conclut: « En comparaison avec les taux de cas élucidés qui ont été atteints en Suisse et en Allemagne en 2009, aucun indice ne laisse croire que la surveillance pratiquée en Suisse depuis environ 10 ans ait mené à un taux systématiquement plus élevé.»
3. L’exploration du réseau câblé
Qu’est-ce que l’exploration du réseau câblé ?
L’exploration du réseau câblé permettra au SRC « d’enregistrer les signaux transmis par réseau filaire qui traversent la Suisse ». Ceci signifie que le SRC pourra enregistrer tous les flux de données qui quittent la Suisse pour l’étranger et les analyser au moyen de mots-clés. Les services de renseignements auront ainsi accès aux métadonnées et au contenu de communications électroniques telles que les e-mails, la téléphonie ou les recherches via internet.
Pourquoi Amnesty critique-t-elle l’exploration du réseau câblé ?
Dès lors que la grande majorité des communications Internet en Suisse transitent par des serveurs et des réseaux étrangers, elles seraient toutes concernées par cette surveillance. L’exploration du réseau câblé est une forme de surveillance de masse menée sans même qu’elle n’implique la présence de soupçons. L’ensemble du flux de données est scanné sur la base de mots-clés et le SRC tente alors, au moyen de recherches croisées, de retrouver l’aiguille dans la botte de foin. Ceci conduit inévitablement à de trop nombreuses erreurs et à soupçonner des personnes innocentes.
La LRens prévoit des limitations; l’exploration du réseau câblé ne doit servir qu’à « chercher des informations sur des événements importants en matière de politique de sécurité se produisant à l’étranger », les données purement suisses doivent être effacées.
Le SRC aurait accès à toutes les données qui transitent par le réseau câblé vers l’étranger. Même si quelqu’un domicilié en Suisse envoie un courriel à une autre personne en Suisse via son compte GMail, Yahoo ou similaire, ce message transite par l’étranger autorisant le SRC à y avoir accès, même si l’expéditeur et le destinataire sont tous deux en Suisse.
Pourquoi se préoccuper de la surveillance à l’étranger ?
La surveillance de personnes à l’étranger doit également rester proportionnelle et ne saurait être ni permanente, ni généralisée. Le droit à la sphère privée est reconnu internationalement (par exemple dans la CEDH) et doit bénéficier à toute personne, indépendamment de son lieu de résidence, en Suisse comme à l’étranger.
L’exploration du réseau câblé serait soumise à autorisation et serait de plus placée sous surveillance. Pourquoi ces restrictions et ces contrôles sont-ils insuffisants ?
Les restrictions et les contrôles prévus limitent certes quelque peu l’utilisation des données mais cela ne change rien au fait que les flux sont enregistrés et analysés. La surveillance débute dès la collecte des données et non au moment de leur analyse. La surveillance et le contrôle des services de renseignements s’avèrent une tâche difficile, comme le montrent de nombreux exemples à travers le monde, y compris en Suisse.
4. L'enregistrement des métadonnées
Qu’est-ce que l'enregistrement des métadonnées ?
En Suisse, les fournisseurs de prestations postales, téléphoniques et d’Internet sont tenus de conserver pendant 6 mois les données relatives aux communications de leurs clients (qui, quand, où et avec qui on communique) ; tous les moyens de communication sont concernées (téléphone, Internet, e-mail). Dès lors que nous sommes tou·te·s, sans exception, concerné·e·s par ces mesures de surveillance, ceci représente une intrusion grave dans la sphère privée, pourtant protégée par la Constitution fédérale.
Amnesty critique cette saisie des métadonnées, pourquoi ?
La saisie des métadonnées représente une forme de surveillance de masse préventive et non fondée sur des soupçons. En Suisse, nous sommes toutes et tous, sans exceptions, concern·é·es par cette mesure de surveillance, même si nul soupçon de quoi que ce soit ne pèse sur nous. Même les personnes tenues au secret professionnel ou de fonction comme les médecins ou les avocats, ou celles tenues de protéger leurs sources comme les journalistes ne font pas exception.
Que disent les tribunaux à propos de la saisie des métadonnées ? La situation est-elle la même dans d’autres pays ?
Toutes les cours constitutionnelles qui ont eu à se prononcer sur des réglementations comparables à la législation suisse ont estimé que la saisie systématique des métadonnées constituait une atteinte illégale aux droits fondamentaux et les ont suspendues. (Roumanie, 2009 et 2014, Allemagne, 2010, République Tchèque, 2011, Autriche, 2014, Pays-Bas, 2015, Bulgarie, 2015).
En 2014, la Cour européenne de justice a suspendu les lignes directrices de l’Union Européenne en matière de saisie des métadonnées. La cour a estimé que celles-ci portaient atteinte à grande échelle et de manière particulièrement grave à la sphère privée. Elle a estimé que le législateur avait franchi, avec ces lignes directrices, les limites à respecter en matière de principe de la proportionnalité.
Le Haut-Commissaire aux droits de l’homme des Nations Unies s’est lui-même exprimé sur la question de la saisie des métadonnées : « La saisie de données sur les communications représente une atteinte à la sphère privée et ceci indépendamment du fait que les données soient ensuite consultées ou pas. Cette intrusion dans la sphère privée a ensuite des répercussions négatives sur la liberté d’opinion et la liberté d’association.»
Quelles sont les données enregistrées ?
La collecte des données porte sur qui a appelé qui, quand et combien de temps a duré la communication, sur qui s’est connecté sur Internet et pour quelle durée, ainsi que sur qui a envoyé un sms à qui et quand, ou s’est connecté sur une boîte aux lettres électronique. La localisation des téléphones mobiles est également enregistrée.
Comme les Smartphones modernes sont connectés à Internet de manière pratiquement permanente (même en dehors des communications actives), la localisation des propriétaires de téléphones portables est assurée de manière quasi absolue et à quelques centaines de mètres près, ce qui permet d’établir un profil précis des déplacements de tout un chacun.
Dans quels cas les données sont-elles utilisées ?
Les autorités de poursuite pénales, pour pouvoir accéder aux données, n’ont besoin que d’un «soupçon urgent en relation avec un crime ou un délit». La transmission des données n’est donc pas limitée aux crimes les plus graves mais est également possible dans le cas de délits moindres comme un simple vol.
Avec la nouvelle LRens, le SRC sera également autorisé à avoir accès à ces données, une des mesures de recherche qui, selon la loi, sont «soumises à autorisation».
5. Les «chevaux de Troie» de l’Etat
Qu’est-ce que le «cheval de Troie» ?
Un «cheval de Troie», appelé aussi Govware ou Spyware, est un logiciel permettant aux autorités de pénétrer en catimini dans un ordinateur ou un téléphone portable et de s’y livrer à différentes opérations de surveillance: interception des communications électroniques, accès aux données, activation de la caméra et du micro pour inspecter les alentours.»
Qu’en est-il du principe de proportionnalité?
Il ne fait aucun doute que l’intrusion des autorités dans un ordinateur ou un téléphone portable est une violation du droit fondamental à la préservation de la sphère privée. Une telle violation ne peut être considérée comme licite qu’à des conditions très restrictives. L’ordinateur et le téléphone portable font aujourd’hui partie de notre «intimité numérique», car ils renferment de nombreuses informations de nature privée: photos, adresses et agendas, correspondance par mails ou SMS, mots de passe et notes personnelles, accès à des comptes bancaires et données sanitaires.
Les données de ce type sont considérées en Suisse comme des «données personnelles sensibles». Leur exploitation est soumise à des exigences très strictes afin de garantir le principe de proportionnalité.
Dans un jugement datant de 2008, la Cour suprême allemande a ainsi placé très haut la barre pour l’utilisation des chevaux de Troie. Selon le tribunal, la mesure ne peut être autorisée que s’il existe de «très forts indices d’un danger concret menaçant des droits intangibles»). Ce serait par exemple le cas si la vie ou la liberté d’une personne étaient en jeu, lors d’un enlèvement, d’un meurtre ou d’un attentat terroriste.
Sur la base de simples suppositions?
Alors que les autorités ne peuvent utiliser un cheval de Troie dans une enquête pénale que sur la base d’un soupçon concret, il suffit au service de renseignement de la Confédération de disposer de vagues indices pour les utiliser. La nouvelle loi sur le renseignement (LRens les y autorise déjà en cas de «menace concrète» (mais invérifiable) pour la sécurité. Cet usage n’est pas limité: le service de renseignement peut surveiller les communications, accéder aux données et activer la caméra et le micro.
La procédure doit certes avoir été autorisée et approuvée par le Conseil fédéral et le Tribunal administratif fédéral, mais on ignore le poids de cette garantie face à l’argument du terrorisme invoqué par les services de renseignement.
Moins de sécurité à cause des chevaux de Troie?
Les chevaux de Troie posent un autre problème fondamental, qui est l’affaiblissement général de la sécurité informatique. En effet, ils ne peuvent fonctionner que si les logiciels présentent des failles de sécurité. Pour débusquer ces failles, les développeurs de chevaux de Troie doivent s’approvisionner sur un marché gris. Ils achètent des informations sur des failles de sécurité et laissent alors volontairement ces dernières ouvertes, au lieu d’en aviser les programmateurs, qui pourraient alors les refermer.
L’État qui développe des chevaux de Troie se trouve dans un dilemme analogue à celui qui verse une rançon à des ravisseurs. En rémunérant les failles de sécurité, il empêche leur fermeture et stimule le marché gris. Les autorités contribuent ainsi à rendre la communication internet moins sûre et à exposer encore davantage notre sphère privée, alors qu’elles devraient tout faire pour la protéger.
Pour préserver la sécurité des systèmes informatiques et garantir que les intrusions dans la sphère privée des personnes restent proportionnées au but visé, l’utilisation des chevaux de Troie – si tant est qu’on y ait recours – doit être strictement réservée à la poursuite des délits particulièrement graves qui menacent la vie et la sécurité de l’État.