États-espions, cybercriminels et réseaux sociaux: la fin de la privacy?

lundi 12 Sep 2016

États-espions, données volées, informations manipulées, drones équipés de caméras, le piège des réseaux sociaux.

Toutes ces thématiques, et bien d’autres, étaient à l’ordre du jour le vendredi 2 septembre lors de la 5ème Journée internationale de l’ILCE (Institut de lutte contre la criminalité économique de Neuchâtel). La manifestation a été entièrement dédiée aux enjeux de l’information, de la privacy et de la surveillance dans monde de plus en plus connecté.

État et surveillance

L’un des thèmes phares du colloque a été la surveillance étatique, un sujet tout à fait désigné à l’approche de la votation du 25 septembre prochain, où la population suisse devra se prononcer sur l’adoption d’une loi (LRens) élargissant la capacité d’action du gouvernement en ce domaine.

Une table ronde – à laquelle ont participé le commandant de la Police neuchâteloise Pascal Luthi, le délégué au Réseau national de sécurité André Duvillard et l’avocat lausannois Ludovic Tirelli – a permis de faire le point sur cette initiative légale controversée.

MM. Luthi et Duvillard, confrontés quotidiennement aux limites du cadre juridique actuel, estiment que la LRens est « une nécessité absolue » et que les autorités concernées sauront l’employer de façon à éviter les abus.

En revanche, pour Me Tirelli, la loi présente des failles trop importantes : « elle pourrait permettre la transmission des données récoltées aux autorités de poursuite pénale suisses ou aux services de renseignement étrangers à des conditions bien plus souples que celles que le droit actuel prévoit, et ce, alors même que les menaces ayant justifié la surveillance initiale n’auraient pas été confirmées ».

_NDC8856

Surveillance privée

La LRens a été évoquée à plusieurs reprises durant les huit conférences au programme, notamment par l’avocat lausannois Sylvain Métille. Ce dernier a attiré l’attention sur le fait que « surveiller les individus » n’est pas une prérogative exclusive des États, et que la surveillance effectuée dans un contexte privé nécessite aussi un meilleur encadrement : « Si l’État a besoin d’une loi pour surveiller, ce qui lui impose de fait une limite, l’entreprise privée n’a de limite que si elle viole une loi en vigueur ».

Au-dessus de nos têtes

Les questions liés à la surveillance se complexifient davantage avec l’apparition de nouvelles technologies – par exemple, lorsque les caméras qui nous espionnent ont des ailes. S’interrogeant sur la popularité croissante des drones, l’avocat de Cagliari (Italie) Giovanni Battista Gallus applaudit l’innovation d’un point de vue pratique et technologique, mais déplore l’absence d’un cadre légal qui limiterait les possibilités d’abus tout en garantissant le respect des droits fondamentaux : « Sans un travail consciencieux qui amène à des lois satisfaisantes, on risque de voir de plus en plus de mesures drastiques – comme les interdictions dans le cas des drones – qui pourraient limiter le potentiel positif et innovateur des technologies.”

Surveillance et terrorisme

Il est impossible de parler de surveillance étatique sans évoquer la menace du terrorisme. Le Patriot Act américain, précurseur dans le domaine, a vu le jour suite aux attentats du 11 septembre.

Aujourd’hui, l’un des pays européens les plus affectés par ces menaces et le sentiment d’insécurité qui en découle est sans doute la France. Les professeurs universitaires Anne-Dominique Merville et Dominique Luciani-Mien ont profité du colloque pour faire le point sur le traitement des données dans le cadre d’une procédure d’enquête en droit français. A ce sujet, Mme Merville estime que « la procédure est strictement encadrée quant à la saisie et la collecte de ces données », mais que « plusieurs questions demeurent quant à leur utilisation ultérieure ».

S’agissant du terrorisme en particulier, Mme Luciani-Mien explique « qu’un fichier des auteurs d’infraction terroristes (FIJAIT) a été créé suite aux attentats de Paris : il permet une inscription des données dès la mise en examen [d’une personne] et leur conservation pendant 20 ans ». Comme toute mesure de ce type, le FIJAIT présente des aspects controversés ; ce qui confirme que chaque pays, en essayant de mettre en place un dispositif efficace de lutte contre le terrorisme, est confronté avec le maintien délicat de « l’équilibre entre le but recherché et la préservation des libertés individuelles ».

_NDC8871

La fin de la privacy?

La surveillance, qu’elle soit privée ou étatique, implique une récolte de données personnelles. A ce jour, ce processus est facilité par une tendance généralisée au partage d’informations dans l’univers digital, et ce, sans même se soucier de leur destination ou des utilisations qui pourront en être faites.

L’avocate genevoise Géraldine Badel Poitras, qui a présenté un exposé sur « Les défis et les opportunités de la révolution digitale pour les intermédiaires financiers », voit dans les FinTech un changement de paradigme. Alors que de nouveaux services financiers digitaux fleurissent continuellement, il est essentiel, selon elle, de soutenir cette évolution tout en conservant des principes traditionnels comme « la confiance » dont la notion pourra être réinventée et de « prendre conscience de l’importance de notre identité virtuelle ». Identité pour laquelle elle voit un parallèle avec le monde imaginé par George Orwell dans 1984, où les utilisateurs ne possèdent comme secret « rien en dehors de quelques centimètres cubes de [leur] crâne »

Dans un monde où les formes de surveillance et de récolte de données se multiplient, quelle signification rattacher au concept de privacy ? Que pouvons-nous faire pour préserver l’intégrité de notre sphère privée?

Aux dires de Monica Fahmy, Head Zurich Office de Global Risk Profile, la réponse est complexe, mais elle implique forcément un changement d’habitudes simple, mais radical : « il faut faire preuve de prudence avec toutes nos données personnelles, et faire un usage restrictif des médias sociaux ».

Rien à cacher?

Cofondateur de l’Observatoire Européen du Journalisme (EJO), le professeur Marcello Foa estime que trop de personnes se contentent de fermer les yeux sur les menaces à la vie privée en disant qu’ils « n’ont rien à cacher ». Cette attitude les emmène à sous-estimer les conséquences de certaines mesures législatives, mais aussi de certaines de leurs actions, par exemple, le stockage de données sur un cloud ou encore le partage de photos à travers les réseaux sociaux. « Très peu de personnes » explique Foa, « sont conscientes que la communication et l’accès aux informations, tant publiques que personnelles, peuvent devenir un moyen très puissant pour combattre les guerres modernes, qui sont de nature asymétrique. Dans ce contexte, la possibilité d’influencer les populations aussi par les reseaux sociaux (donc en violant la privacy) est souvent sous-estimée per l’opinion publique ».

Et en plus de cela, il y a les criminels…

Certaines informations ont plus de valeur que d’autres, et cela peut dépendre de leur caractère confidentiel. Les données médicales, par exemple, sont une cible privilégiée des hackers : « un dossier patient suisse peut se vendre jusqu’à 50 CHF sur le darknet» » explique Sébastien Fanti, Préposé à la protection des données et à la transparence du canton du Valais. Avec de telles opportunités de gain pour les malfrats, « il est nécessaire d’engager des ressources importantes pour mettre en place une cybersécurité appropriée ». Lui fait écho l’avocat lausannois Gabriel Avigdor, affirmant que “les données de santé, de par leur nature, ont une grande valeur et sont devenues les proies des hackers, les infrastructures étant encore trop vulnérables à leurs attaques ».

L’entreprise face aux cyberattaques 

Qu’il s’agisse d’un grand hôpital, d’une multinationale ou d’une PME, aucune entreprise n’est à l’abri des cybercriminels. Ceux-ci développent sans cesse leur arsenal de techniques visant à transformer toute cible vulnérable en une source de profit. Sébastien Jaquier et Luca Brunoni, membres de l’ILCE, ont examiné deux récentes tendances relatives aux attitudes des entreprises menacées. « Ces dernières peuvent éviter de lourdes pertes en misant sur le facteur humain, car le social engineering est fréquemment au cœur des attaques. Par ailleurs, ils doivent intégrer dans leur raisonnement sécuritaire les nouvelles façons de travailler liées à l’innovation technologique (work anytime, anywhere, on any device). »

Lorsque une attaque se produit, certaines entreprises choisissent de prendre les choses en main et de contre-hacker les agresseurs. « Le hackback est en soi illégal, car on finit par violer les mêmes normes que les criminels. Des voix de plus en plus insistantes se lèvent en faveur d’un droit de self-help des entreprises face aux hackers, tandis que d’autres craignent que cela crée un « far west » où règne la loi du plus fort. »

_NDC8830

Objets connectés et données personnelles

Me Avigdor attire également l’attention sur les risques liés aux dispositifs médicaux connectés, susceptibles de se transformer en mine d’or pour les cybercriminels en quête de données sensibles. La problématique des objets connectés est brûlante : voitures, électroménagers, appareils médicaux – ces dispositifs sont de plus en plus présents dans notre quotidien et nos habitudes. Selon l’avocat, dans un contexte qui évolue si vite, « il est crucial de ne pas attendre les modifications législatives, mais d’anticiper l’avenir en restant proactif et non réactif. »

Une approche multidisciplinaire

Le droit est un instrument important pour faire face aux multiples défis qui nous attendent en matière d’information, de privacy et de surveillance. Cependant, il est souvent difficile d’obtenir un consensus sur les modifications législatives à envisager – surtout quand il s’agit d’être proactifs et de penser des lois orientées vers un futur où les incertitudes sont nombreuses.

Le projet de Loi sur le renseignement en est l’exemple. Les opposants accusent cette mesure de supprimer la sphère privée, alors que ceux qui y sont favorables voient un instrument essentiel pour garantir la sécurité de la société actuelle et celle de demain.

L’une des armes les plus efficaces pour faire face aux enjeux du futur est certainement une approche multidisciplinaire, ouverte et professionnelle, qui prendra en compte toutes les facettes des problématiques abordées. C’est dans cet esprit que le colloque « Information, Privacy, et Surveillance » a été conçu. L’ILCE tient à remercier tous les experts et les participants s’étant déplacés à la Haute école de gestion Arc de Neuchâtel pour l’évènement.