Colloque, échanges et… fondue!

jeudi 30 Mar 2017

Les 27 et 28 mars derniers, l’Institut de lutte contre la criminalité économique (ILCE) a accueilli les étudiants du Master II en Droit pénal financier de l’Université de Cergy-Pontoise dans le cadre d’un colloque franco-suisse. L’évènement a été un haut lieu d’échanges entre les étudiants et professionnels s’étant déplacé pour l’occasion.

Première conférencière du colloque, Mariame Krauer-Diaby, adjointe scientifique à l’ILCE, a brisé la glace en se penchant sur les différents mythes entourant le fameux « secret bancaire » suisse.

Agnès Baubault-Kulinich, Compliance Officer diplômée du MAS LCE, est ensuite intervenue en présentant les risques de criminalité économique liés aux dépôts francs sous douanes.

Les aspects cyber de la criminalité économique ont été au cœur de la présentation qui a clôturé l’après-midi. Romain Roubaty, responsable du Centre d’investigation numérique et de cryptologie de l’ILCE, et Sébastien Jaquier, responsable adjoint de l’ILCE, ont alors exposé les différentes facettes de cette problématique, notamment les pièges du Darknet et les enjeux liés aux objets connectés.

Au terme de cette première journée, tous les participants ont été conviés à partager une fondue sur feu de bois. Beau temps, ambiance décontractée et partage culturel ont dénoué les langues et favorisé les échanges.

4

Le lendemain matin, Anne-Dominique Merville, directrice du Master II en Droit pénal financier de l’Université de Cergy-Pontoise, et Ludovic Tirelli, Avocat diplômé du MAS LCE, ont animé un atelier pratique de droit comparé portant sur une affaire à ramifications internationales.

L’équipe de l’ILCE tient à remercier tous les participants ainsi que les intervenants pour avoir contribué à faire de ce colloque un évènement mémorable.

Pour accéder à la documentation du colloque, veuillez utiliser ce lien (mot de passe: ILCE).

ILCE x Weblaw: une Jusletter pour approfondir des questions brûlantes en matière de surveillance, privacy, cybersécurité et nouvelles technologies

mardi 06 Déc 2016
ILCEXWeblaw
La nouvelle édition spéciale de la Jusletter Weblaw – réalisée en collaboration avec l’ILCE – propose une collection d’articles dédiés à des questions brûlantes en matière de surveillance, privacy, cybersécurité et nouvelles technologies.
En lien avec la révision de la LRens et de celle de la LSCPT, Ludovic Tirelli présente la nouvelle panoplie des outils de surveillance secrète, préventive et judiciaire et s’interroge sur la recherche d’un juste équilibre entre libertés fondamentales et aspirations sécuritaires.
Toujours en matière de surveillance, Giovanni Battista Gallus s’interroge sur l’impact des drones sur le respect de la protection des données et des libertés fondamentales, notamment en matière de surveillance massive.
Ayant constaté que de plus en plus d’entreprises confrontées à l’augmentation des cyberattaques ont commencé à rendre aux hackers la pareille, Luca Brunoni se penche sur le phénomène de la réglementation du hackback (sujet aussi lié à la LRens) en Suisse et aux USA et explore plusieurs solutions pour l’avenir.
Géraldine Badel Poitras s’intéresse à l’émergence rapide des technologies FinTech en Suisse et nous brosse un tableau des défis et enjeux que ce développement représente pour les praticiens du droit et de la réglementation en matière financière.
Monica Fahmy se concentre sur la nécessité de sensibiliser les internautes afin qu’ils développent une meilleure responsabilité personnelle en relation avec la protection des données et qu’ils prennent conscience des limites du droit à cet égard.
L’introduction du SwissPass en 2015 a soulevé de nombreuses inquiétudes en lien avec la protection des données. Daniela Nüesch examine cette problématique sous tous ses aspects et en particulier sous l’angle de l’importance d’une base légale et celui de la proportionnalité.
La Jusletter est disponible à ce lien.
Nous vous souhaitons beaucoup de plaisir dans la lecture!
L’équipe de l’ILCE

Bahamas Leaks: Les sociétés offshores, une fois de plus sur la sellette

jeudi 06 Oct 2016

leaks

La recette est assez simple. Une fuite de données internes, assaisonnée d’une poignée de personnalités politiques et/ou célèbres, un soupçon d’évasion ou de fraude fiscale sur fond de paradis de fiscal et on se retrouve avec un scandale, parfois médiatiquement orchestré, clouant une fois de plus les sociétés offshores au pilori.

Ces dernières années ont été témoins d’une série de révélations médiatiques relatives à l’utilisation de sociétés offshores à des fins illicites. De l’Offshore Leaks[1], au Panama Papers[2] en passant par le LuxLeaks[3] et le Swiss Leaks[4], différentes affaires ont mis en lumière l’industrie tentaculaire et secrète de l’offshore qui – selon les journalistes en charge de ces affaires – est utilisée par les riches et puissants du monde utilisent pour cacher leurs avoirs et contourner les règles en créant des sociétés-écrans dans des juridictions éloignées[5]. Les Bahamas Leaks s’inscrivent dans cette ligne de diabolisation des entités offshores, si bien qu’il nous a paru utile d’apporter quelques précisions.

Société offshore, qu’est-ce que c’est?

On peut définir la société offshore dans le contexte qui est le nôtre comme une entité passive, voire une société de domicile, dotée de la personnalité juridique et d’un patrimoine propre, qui est établie sur un territoire, différent de celui de son ayant droit économique, singularisé généralement par des politiques d’incitation aux investissements étrangers.

Société offshore, c’est tout à fait légitime

Si l’économie d’impôts, l’évasion et la fraude fiscales restent les principales raisons évoquées dans les affaires susmentionnées, diverses raisons légitimes peuvent justifier le recours à une telle entité. La société offshore peut être utilisée pour centraliser les activités étrangères d’un individu ou d’une personne morale sur les plans administratif et financier[6].

En tant que partie d’Holding, elle peut accorder des prêts – assortis d’intérêts – aux autres entités du groupe, percevoir des loyers pour les immeubles et autres infrastructures mis à la disposition de celles-ci, ainsi que des redevances (royalties) sur les licences qu’elle leur accorde en lien avec ses brevets et autres titres relevant du droit de propriété intellectuelle, mener des activités de courtage à l’étranger ou encore superviser la conclusion de contrats. Ces différentes prestations engendrent des charges pour les autres sociétés du groupe et sont déduites dès lors du bénéfice imposable de la holding, permettant ainsi un gain d’impôts. Ces structures permettent également une meilleure gestion des risques inhérents à l’exercice d’une activité économique. En effet, dotées de patrimoine et de personnalité juridique propres, ces entités permettent, par des mécanismes juridiques généraux du droit de sociétés et spécifiques à la juridiction de leur siège, de soustraire leurs ayants droits économique aux prétentions de créanciers relatives à l’activé économique. Elles s’avèrent être également d’excellents outils permettant aux personnes physiques fortunées de réaliser des transferts juridiques de biens, titres ou capitaux dans un but qu’elles auront préalablement déterminé. Ainsi, il serait injuste de les confiner que dans le contexte de la criminalité économique, bien qu’on ne saurait réfuter cette caractéristique qui commence à leur coller à la peau.

Société offshore, son lien avec la criminalité économique

L’implication des sociétés offshores dans des schémas de crimes économiques revient de façon très récurrente. Des spécialistes soulignent qu’« une grande partie des dossiers de délinquance économique et financière actuels comporte à un moment ou un autre des recours aux avantages des places offshores utilisées comme instrument de dissimulation des actions délictueuses »[7]. Des travaux de l’Office des Nations unies contre la drogue et le crime on peut constater non seulement que presque tous les délits économiques supposent le recours aux sociétés offshores, mais surtout que celles-ci sont impliquées dans le blanchiment des capitaux noirs du monde entier[8]. Cela est dû au fait que le recours à aux sociétés offshores « diminuent la transparence de l’arrière-plan économique des flux de capitaux associés à une relation d’affaires donnée et réduisent ainsi la probabilité de pouvoir identifier les ADE réels des valeurs patrimoniales impliquées »[9]. Ce caractère opaque à qui elles doivent leur succès est accusée de faire le jeu des criminels de tout genre, en leur permettant d’agir dissimulés « behind the corporate veil, selon la formule consacrée de l’OCDE[10]. C’est à cette caractéristique particulière que les sociétés offshores doivent un nombre toujours plus grand de détracteurs et les Bahamas Leaks ne sont qu’une nouvelle manifestation de la guerre ouverte contre ces entités.

Mariame Krauer-Diaby, ILCE

[1] Pour plus de détails, voir [https://offshoreleaks.icij.org], (21.09.2016)
[2] Pour plus de détails, voir [https://panamapapers.icij.org/], (27.09.2016).
[3] Pour plus de détails, voir [https://www.icij.org/project/luxembourg-leaks], (02.08.2016)
[4] Pour plus de détails, voir [https://projects.icij.org/swiss-leaks/], (27.09.2016).
[5] ICIJ Staff, The Panama Papers : An Introduction, [En ligne], Avril 2016, [https://panamapapers.icij.org/video/] (consulté le 11.08.2016).
[6]Cf. TF 6B_37/2013, Arrêt du Tribunal fédéral du 15 avril 2013 ; Marc Bauen /Robert Bernet /Nicolas Rouiller, La société anonyme suisse, Droit commercial – Loi sur la fusion – Droit boursier – Droit fiscal, Zurich, Schulthess, 2007, § 1 n° 44 p. 40.
[7] Thierry Godefroy / Pierre Lascoumes, Le capitalisme clandestin – l’illusoire régulation des places offshore, Paris, La Découverte, 2004, p. 9.
[8] Jack BLUM/ Michael LEVI/ Thomas NAYLOR/ Phil WILLIAMS, Paradis financières, secret bancaire et blanchiment d’argent, Office de contrôle des drogues et prévention du crime, Prévention du crime et justice pénale: Bulletin d’information, (2008) numéro double 34-35; Technical Series du PNUCID, n° 8 [en ligne] [https://www.imolin.org/imolin/finhafre.html] (consulté le 10.08.2016)
[9] GCBF, Rapport sur l’évaluation nationale des risques de blanchiment d’argent et de financement du terrorisme en Suisse, [en ligne] Juin 2015, [https://www.fedpol.admin.ch/dam/data/fedpol/kriminalitaet/geldwaescherei/ber-f.pdf]
[10] OCDE, Au-delà des apparences : l’utilisation des entités juridiques à des fins illicites, Rapport du Groupe de direction de l’OCDE sur le gouvernement d’entreprise, Paris, novembre 2001.

Offres d’emploi fictives : une histoire vraie

mardi 27 Sep 2016

Chômage technique, licenciement collectif, agences de placement : le marché du travail suisse évolue actuellement dans une conjoncture économique peu favorable à son plein essor. Dans certains domaines, le processus de recherche d’emploi peut s’avérer long et fastidieux, voire même démoralisant pour les aspirants. À défaut d’attirer l’attention des recruteurs sur leur candidature, ces derniers suscitent parfois l’intérêt de personnes malintentionnées et peuvent devenir des cibles très vulnérables.

Une histoire vraie

De nationalité russe et résidant en Suisse depuis quelques années, Ivan (nom fictif) est à la recherche d’un nouvel emploi. Afin de maximiser ses chances et de trouver le poste de ses rêves, il n’hésite pas à joindre différentes plateformes professionnelles du web. Ses démarches intensives ne semblent pas porter fruit, jusqu’au jour où une femme, également ressortissante russe, lui adresse personnellement une offre d’emploi sur un réseau social notoire. Elle lui explique qu’elle travaille pour une société internationale à la recherche de nouveaux collaborateurs afin d’ouvrir une succursale en Suisse. L’opportunité est attrayante et correspond très bien aux compétences d’Ivan. Il se méfie toutefois de la spontanéité de l’offre, mais son interlocutrice se montre convaincante et l’invite à lui transmettre son CV. Après avoir consulté la crédible page web de l’entreprise, il accède à l’invitation et dépose sa candidature.

Quelques jours plus tard, Ivan reçoit un appel d’un numéro néerlandais inconnu auquel il décide de ne pas répondre. En consultant sa messagerie, il apprend qu’il s’agissait d’un appel de sa compatriote russe désireuse de mener un entretien téléphonique. Elle lui indique que son profil correspond aux attentes de la société pour laquelle elle travaille et lui demande la permission de le rappeler, chose qu’Ivan accepte avec prudence. L’entretien se déroule normalement et se conclut par la transmission d’un formulaire d’embauche. Le document reçu est méticuleusement mis en page et Ivan y inscrit les informations personnelles requises. Sa méfiance s’accroît toutefois lorsqu’il lui est demandé de communiquer ses coordonnées bancaires. Il prend donc la décision de se renseigner davantage sur la société concernée. Le jour suivant, la femme lui retéléphone et lui dit qu’il serait dans son intérêt de soumettre le formulaire dûment complété le plus rapidement possible.

Entretemps, Ivan a demandé l’avis d’un spécialiste de l’ILCE et n’a finalement pas envoyé le formulaire. Il a compris qu’il avait été la cible d’une tentative d’escroquerie méticuleusement orchestrée.

Modus Operandi

Cette forme de fraude, appelée job scam ou employment fraud, ne se termine malheureusement pas toujours ainsi et cause parfois des préjudices irréparables chez les nouveaux « employés ». Les stratagèmes utilisés par les fraudeurs varient d’un cas à l’autre, mais le principe est toujours le même. Il s’agit, dans un premier temps, de recruter un employé sans soulever de suspicion dans son esprit. Pour ce faire, les fraudeurs n’hésitent pas à publier de fausses offres sur les plateformes médiatiques destinées à la recherche d’emploi ou encore, à communiquer directement avec les candidats potentiels. Certains créeront une société fictive avec une page web d’apparence légitime, tandis que d’autres usurperont l’identité d’une entreprise déjà existante.

Une fois recruté, le nouvel employé se fera confier diverses tâches qui finiront par porter atteinte à ses intérêts. Le cas de figure le plus fréquent est celui où il est demandé à l’employé d’encaisser un chèque dans son propre compte bancaire, puis de virer une part de la somme vers l’étranger. Les explications du pseudo-employeur justifiant l’opération peuvent être variées, mais une commission incitative est généralement promise à l’employé. Dans tous les cas, le chèque déposé se révélera faux ou même volé et l’employé en sera avisé par son institution bancaire bien après avoir effectué le virement.

Reconnaître le job scam

La meilleure façon de détecter le job scam en amont est de porter attention à des petits détails qui peuvent paraître anodins, mais qui sont très révélateurs dans ce contexte. Pour ce faire, il faut comprendre que les obstacles auxquels se heurtent les fraudeurs ainsi que l’illicéité de leur pratique les forcent à adopter des comportements typiques.

Page web de l’entreprise

Dans l’élaboration de leur stratagème, les fraudeurs doivent choisir s’ils usurpent l’identité d’une société déjà existante ou s’ils créent une société fictive et mettent sur pied une page web corporative. La seconde option permet d’accroître la vraisemblance de l’escroquerie puisqu’elle rend possible l’utilisation d’adresses mails avec un nom de domaine propre à l’entreprise. Cependant, la création d’un site fonctionnelle et conforme aux standards web actuels requiert temps et ressources. La durée de vie de ce type de fraude étant relativement restreinte, les fraudeurs ont couramment tendance à ménager les efforts et à se satisfaire d’une page d’apparence crédible. Des outils informatiques permettant de cloner rapidement un site web sont parfois utilisés à ces fins, moyennant quelques légères retouches (voir l’exemple ci-contre). Les pages fictives laissent toutefois quelques indices qui méritent d’être examinés :

  • Vérifier la structure de la page et la fonctionnalité des liens;
  • Géolocaliser l’adresse IP de la page (il est peu commun de voir une entreprise américaine héberger sa page sur un serveur en Russie);
  • Retranscrire une phrase de la page dans un moteur de recherche;
  • Effectuer une « recherche par image » des photos de la page (voir support.google.com/websearch/answer/1325808?hl=fr).

Site cloné (gauche) et site original (droite)

L’identité et les coordonnées du recruteur

Afin d’éviter toute possibilité de retraçage une fois la fraude découverte, le recruteur doit nécessairement utiliser une fausse identité. Celle-ci doit être suffisamment crédible pour induire la victime en erreur et susciter sa confiance. Plusieurs techniques sont utilisées à ces fins : profils sur les réseaux sociaux, photos, numéro de téléphone, adresses postale et mail, etc. Cet artifice n’est toutefois pas sans faille et l’analyse de certains éléments peut permettre de présager, voire de découvrir la supercherie :

  • Effectuer une « recherche par image » des dites photos du recruteur;
  • Comparer le nom de domaine de l’adresse mail et celui de l’entreprise;
  • Vérifier si le numéro de téléphone utilisé correspond au lieu physique de l’entreprise;
  • Vérifier l’existence et la cohérence de l’adresse postale.

Prudence et vigilance

Concernant la mésaventure d’Ivan présentée en introduction, quelques-unes des astuces précitées ont rapidement permis de détecter la fraude. Son histoire démontre néanmoins qu’il est important d’effectuer les vérifications nécessaires dès l’apparition du moindre soupçon. Si cela peut sembler évident a posteriori, il en est tout autrement lorsque l’espoir, l’exaltation et l’engouement pour un nouvel emploi sont de la partie.

Soyez donc vigilants !

Olivier Beaudet-Labrecque, ILCE

 

Du Cloud au Bunker

vendredi 23 Sep 2016

Dès son apparition, le cloud a su séduire les utilisateurs par le concept d’un nuage magique permettant d’accéder à ses données, peu importe l’heure, le lieu et le hardware utilisé. La lune de miel aura toutefois été écourtée par divers scandales dévoilés au cours des dernières années. Après les révélations d’Edward Snowden sur la surveillance électronique gouvernementale, ou encore l’affaire du hack de l’iCloud en 2014, qui a mis à nu (dans tous les sens) plusieurs célébrités, les utilisateurs ne rêvent plus de nuages – ils demandent du solide.

bunker-389034_960_720

Et quand on parle de solide, quoi de mieux qu’un vieux bunker militaire transformé en centre de stockage numérique? Surtout si ce bunker se trouve en Suisse – où la protection des données est prise très au sérieux – et si les données stockées bénéficient d’un cryptage end-to-end. Voici les arguments utilisés par de plus en plus d’entreprises suisses pour convaincre les utilisateurs de dire « goodbye » à Dropbox et de leur confier leurs précieux octets.

Mais est-ce que ces services placent réellement nos données hors des griffes des hackers et des gouvernements trop curieux ?

La semaine dernière j’ai eu le plaisir, avec mon collègue Ninoslav Marina, d’esquisser une réponse à cette question et de débattre de la thématique dans le cadre de l’émission « Versus » de la RTS.

Vous pouvez écouter la rediffusion de l’émission ici.

Bonne écoute

Luca Brunoni, ILCE

 

États-espions, cybercriminels et réseaux sociaux: la fin de la privacy?

lundi 12 Sep 2016

États-espions, données volées, informations manipulées, drones équipés de caméras, le piège des réseaux sociaux.

Toutes ces thématiques, et bien d’autres, étaient à l’ordre du jour le vendredi 2 septembre lors de la 5ème Journée internationale de l’ILCE (Institut de lutte contre la criminalité économique de Neuchâtel). La manifestation a été entièrement dédiée aux enjeux de l’information, de la privacy et de la surveillance dans monde de plus en plus connecté.

État et surveillance

L’un des thèmes phares du colloque a été la surveillance étatique, un sujet tout à fait désigné à l’approche de la votation du 25 septembre prochain, où la population suisse devra se prononcer sur l’adoption d’une loi (LRens) élargissant la capacité d’action du gouvernement en ce domaine.

Une table ronde – à laquelle ont participé le commandant de la Police neuchâteloise Pascal Luthi, le délégué au Réseau national de sécurité André Duvillard et l’avocat lausannois Ludovic Tirelli – a permis de faire le point sur cette initiative légale controversée.

MM. Luthi et Duvillard, confrontés quotidiennement aux limites du cadre juridique actuel, estiment que la LRens est « une nécessité absolue » et que les autorités concernées sauront l’employer de façon à éviter les abus.

En revanche, pour Me Tirelli, la loi présente des failles trop importantes : « elle pourrait permettre la transmission des données récoltées aux autorités de poursuite pénale suisses ou aux services de renseignement étrangers à des conditions bien plus souples que celles que le droit actuel prévoit, et ce, alors même que les menaces ayant justifié la surveillance initiale n’auraient pas été confirmées ».

_NDC8856

Surveillance privée

La LRens a été évoquée à plusieurs reprises durant les huit conférences au programme, notamment par l’avocat lausannois Sylvain Métille. Ce dernier a attiré l’attention sur le fait que « surveiller les individus » n’est pas une prérogative exclusive des États, et que la surveillance effectuée dans un contexte privé nécessite aussi un meilleur encadrement : « Si l’État a besoin d’une loi pour surveiller, ce qui lui impose de fait une limite, l’entreprise privée n’a de limite que si elle viole une loi en vigueur ».

Au-dessus de nos têtes

Les questions liés à la surveillance se complexifient davantage avec l’apparition de nouvelles technologies – par exemple, lorsque les caméras qui nous espionnent ont des ailes. S’interrogeant sur la popularité croissante des drones, l’avocat de Cagliari (Italie) Giovanni Battista Gallus applaudit l’innovation d’un point de vue pratique et technologique, mais déplore l’absence d’un cadre légal qui limiterait les possibilités d’abus tout en garantissant le respect des droits fondamentaux : « Sans un travail consciencieux qui amène à des lois satisfaisantes, on risque de voir de plus en plus de mesures drastiques – comme les interdictions dans le cas des drones – qui pourraient limiter le potentiel positif et innovateur des technologies.”

Surveillance et terrorisme

Il est impossible de parler de surveillance étatique sans évoquer la menace du terrorisme. Le Patriot Act américain, précurseur dans le domaine, a vu le jour suite aux attentats du 11 septembre.

Aujourd’hui, l’un des pays européens les plus affectés par ces menaces et le sentiment d’insécurité qui en découle est sans doute la France. Les professeurs universitaires Anne-Dominique Merville et Dominique Luciani-Mien ont profité du colloque pour faire le point sur le traitement des données dans le cadre d’une procédure d’enquête en droit français. A ce sujet, Mme Merville estime que « la procédure est strictement encadrée quant à la saisie et la collecte de ces données », mais que « plusieurs questions demeurent quant à leur utilisation ultérieure ».

S’agissant du terrorisme en particulier, Mme Luciani-Mien explique « qu’un fichier des auteurs d’infraction terroristes (FIJAIT) a été créé suite aux attentats de Paris : il permet une inscription des données dès la mise en examen [d’une personne] et leur conservation pendant 20 ans ». Comme toute mesure de ce type, le FIJAIT présente des aspects controversés ; ce qui confirme que chaque pays, en essayant de mettre en place un dispositif efficace de lutte contre le terrorisme, est confronté avec le maintien délicat de « l’équilibre entre le but recherché et la préservation des libertés individuelles ».

_NDC8871

La fin de la privacy?

La surveillance, qu’elle soit privée ou étatique, implique une récolte de données personnelles. A ce jour, ce processus est facilité par une tendance généralisée au partage d’informations dans l’univers digital, et ce, sans même se soucier de leur destination ou des utilisations qui pourront en être faites.

L’avocate genevoise Géraldine Badel Poitras, qui a présenté un exposé sur « Les défis et les opportunités de la révolution digitale pour les intermédiaires financiers », voit dans les FinTech un changement de paradigme. Alors que de nouveaux services financiers digitaux fleurissent continuellement, il est essentiel, selon elle, de soutenir cette évolution tout en conservant des principes traditionnels comme « la confiance » dont la notion pourra être réinventée et de « prendre conscience de l’importance de notre identité virtuelle ». Identité pour laquelle elle voit un parallèle avec le monde imaginé par George Orwell dans 1984, où les utilisateurs ne possèdent comme secret « rien en dehors de quelques centimètres cubes de [leur] crâne »

Dans un monde où les formes de surveillance et de récolte de données se multiplient, quelle signification rattacher au concept de privacy ? Que pouvons-nous faire pour préserver l’intégrité de notre sphère privée?

Aux dires de Monica Fahmy, Head Zurich Office de Global Risk Profile, la réponse est complexe, mais elle implique forcément un changement d’habitudes simple, mais radical : « il faut faire preuve de prudence avec toutes nos données personnelles, et faire un usage restrictif des médias sociaux ».

Rien à cacher?

Cofondateur de l’Observatoire Européen du Journalisme (EJO), le professeur Marcello Foa estime que trop de personnes se contentent de fermer les yeux sur les menaces à la vie privée en disant qu’ils « n’ont rien à cacher ». Cette attitude les emmène à sous-estimer les conséquences de certaines mesures législatives, mais aussi de certaines de leurs actions, par exemple, le stockage de données sur un cloud ou encore le partage de photos à travers les réseaux sociaux. « Très peu de personnes » explique Foa, « sont conscientes que la communication et l’accès aux informations, tant publiques que personnelles, peuvent devenir un moyen très puissant pour combattre les guerres modernes, qui sont de nature asymétrique. Dans ce contexte, la possibilité d’influencer les populations aussi par les reseaux sociaux (donc en violant la privacy) est souvent sous-estimée per l’opinion publique ».

Et en plus de cela, il y a les criminels…

Certaines informations ont plus de valeur que d’autres, et cela peut dépendre de leur caractère confidentiel. Les données médicales, par exemple, sont une cible privilégiée des hackers : « un dossier patient suisse peut se vendre jusqu’à 50 CHF sur le darknet» » explique Sébastien Fanti, Préposé à la protection des données et à la transparence du canton du Valais. Avec de telles opportunités de gain pour les malfrats, « il est nécessaire d’engager des ressources importantes pour mettre en place une cybersécurité appropriée ». Lui fait écho l’avocat lausannois Gabriel Avigdor, affirmant que “les données de santé, de par leur nature, ont une grande valeur et sont devenues les proies des hackers, les infrastructures étant encore trop vulnérables à leurs attaques ».

L’entreprise face aux cyberattaques 

Qu’il s’agisse d’un grand hôpital, d’une multinationale ou d’une PME, aucune entreprise n’est à l’abri des cybercriminels. Ceux-ci développent sans cesse leur arsenal de techniques visant à transformer toute cible vulnérable en une source de profit. Sébastien Jaquier et Luca Brunoni, membres de l’ILCE, ont examiné deux récentes tendances relatives aux attitudes des entreprises menacées. « Ces dernières peuvent éviter de lourdes pertes en misant sur le facteur humain, car le social engineering est fréquemment au cœur des attaques. Par ailleurs, ils doivent intégrer dans leur raisonnement sécuritaire les nouvelles façons de travailler liées à l’innovation technologique (work anytime, anywhere, on any device). »

Lorsque une attaque se produit, certaines entreprises choisissent de prendre les choses en main et de contre-hacker les agresseurs. « Le hackback est en soi illégal, car on finit par violer les mêmes normes que les criminels. Des voix de plus en plus insistantes se lèvent en faveur d’un droit de self-help des entreprises face aux hackers, tandis que d’autres craignent que cela crée un « far west » où règne la loi du plus fort. »

_NDC8830

Objets connectés et données personnelles

Me Avigdor attire également l’attention sur les risques liés aux dispositifs médicaux connectés, susceptibles de se transformer en mine d’or pour les cybercriminels en quête de données sensibles. La problématique des objets connectés est brûlante : voitures, électroménagers, appareils médicaux – ces dispositifs sont de plus en plus présents dans notre quotidien et nos habitudes. Selon l’avocat, dans un contexte qui évolue si vite, « il est crucial de ne pas attendre les modifications législatives, mais d’anticiper l’avenir en restant proactif et non réactif. »

Une approche multidisciplinaire

Le droit est un instrument important pour faire face aux multiples défis qui nous attendent en matière d’information, de privacy et de surveillance. Cependant, il est souvent difficile d’obtenir un consensus sur les modifications législatives à envisager – surtout quand il s’agit d’être proactifs et de penser des lois orientées vers un futur où les incertitudes sont nombreuses.

Le projet de Loi sur le renseignement en est l’exemple. Les opposants accusent cette mesure de supprimer la sphère privée, alors que ceux qui y sont favorables voient un instrument essentiel pour garantir la sécurité de la société actuelle et celle de demain.

L’une des armes les plus efficaces pour faire face aux enjeux du futur est certainement une approche multidisciplinaire, ouverte et professionnelle, qui prendra en compte toutes les facettes des problématiques abordées. C’est dans cet esprit que le colloque « Information, Privacy, et Surveillance » a été conçu. L’ILCE tient à remercier tous les experts et les participants s’étant déplacés à la Haute école de gestion Arc de Neuchâtel pour l’évènement.