Contenu
- Défendre l’intégrité des preuves numériques
- L’importance d’aligner la preuve numérique sur les normes juridiques existantes
- Comment déterminer si une preuve numérique est recevable devant les tribunaux?
- Répercussions dans les litiges civils
- La conservation des preuves numériques est essentielle
- Conclusion
Avis de non-responsabilité : Ce livre blanc est uniquement fourni à titre informatif. Il ne constitue pas un avis juridique et ne devrait pas être interprété comme tel. Consultez votre avocat pour savoir comment les sujets abordés dans le présent document peuvent s’appliquer à votre situation.
When is Digital Evidence Forensically Sound?[1]de Rodney McKemmish est probablement le meilleur article que j’ai lu sur l’importance de l’expertise juricomptable rigoureuse dans la manipulation de preuves numériques. Dans sa revue de la documentation existante sur le sujet, l’auteur soulignait que la nécessité de préserver la force probante des données électroniques obtenues – et donc leur admissibilité – était un élément commun des diverses définitions et constituait une exigence fondamentale de la juricomptabilité.
Bien que son article date de 2008, à une époque où la prolifération des téléphones intelligents, la virtualisation et l’infonuagique n’en étaient qu’à leurs balbutiements, la définition que donne Rodney McKemmish d’une juricomptabilité informatique rigoureuse (soit l’application d’un processus de juricomptabilité transparent qui préserve l’intégralité des données d’origine en vue de leur présentation devant un tribunal) a su résister à l’épreuve du temps.
Cela en surprendra peut-être plusieurs d’apprendre que la solidité de la preuve numérique n’est pas souvent évoquée dans la jurisprudence. Cependant, il est essentiel de l’aborder, car nous évitons ainsi que des questions juridiques telles que l’admissibilité, l’authentification, la règle de la meilleure preuve ou la destruction de la preuve ne donnent lieu à une contestation.
Puisqu’au Canada, nous faisons une distinction entre une « preuve matérielle » et une « preuve documentaire », l’admissibilité de la preuve est généralement le premier critère juridique qui est appliqué. Les preuves matérielles comprennent les enregistrements électroniques générés par un processus automatisé – généralement sans interaction humaine – tels que les dossiers de facturation et les registres d’utilisation des téléphones cellulaires détenus par un fournisseur de services.
Les dossiers électroniques pourraient également être soumis comme des preuves matérielles dans des cas où ils seraient considérés comme équivalant à des documents papier conventionnels et où ces mêmes documents papier seraient eux aussi considérés comme des preuves matérielles. Dans le cas contraire, ils seraient considérés comme des preuves documentaires, surtout s’ils contiennent des données créées par des humains. Les documents sont généralement considérés comme des ouï-dire, ce qui est rarement admissible aux yeux de la loi.
Défendre l’intégrité des preuves numériques
En 2015, lors d’une affaire de complot, la Cour de justice de l’Ontario a dû se prononcer sur l’admissibilité des données extraites de plusieurs téléphones BlackBerry et a abordé de nombreuses questions juridiques entourant les preuves numériques.
En 2013, la GRC a arrêté et inculpé trois personnes pour avoir importé des drogues au Canada. Au moment de l’arrestation, les policiers ont saisi et analysé deux BlackBerry qui appartenaient soi-disant aux accusés. Les téléphones ont été envoyés à un laboratoire de premier échelon où l’analyste n’a pas réussi à contourner la protection par mot de passe. Ils ont ensuite été envoyés à un laboratoire de deuxième échelon où leur contenu a été obtenu grâce à des techniques d’extraction (chip-off), c’est-à-dire un processus consistant à dessouder les puces de stockage afin qu’elles puissent être analysées à l’aide d’un lecteur spécialisé. Le contenu des téléphones a été extrait sous forme de fichiers binaires et gravé sur un disque optique qui a été remis au laboratoire de premier échelon. Là-bas, le parsage, c’est-à-dire la conversion des données d’un format numérique à un format lisible par l’homme, a été utilisé afin de récupérer les fichiers originaux, y compris les photos et les messages texte qui ont été gravés sur un nouveau disque, puis remis aux enquêteurs et divulgués à la défense.
La défense a soutenu que la Couronne n’avait pas réussi à prouver que le contenu de la preuve matérielle, composé de photos et de messages texte, provenait bel et bien des téléphones BlackBerry ou que la preuve était fiable en vertu des dispositions relatives aux documents électroniques de la Loi sur la preuve au Canada. La Couronne a fait valoir à son tour que la preuve sous forme de BlackBerry ressemblait à une mallette qu’aurait pu transporter l’accusé au moment de son arrestation et qu’elle était donc admissible comme preuve matérielle. Elle a également soutenu que le fonctionnement des appareils avait été maintenu tout au long du processus de saisie, d’extraction, de parsage et d’écriture sur disque.
Le juge devait d’abord décider si la preuve était pertinente, puisque les éléments de preuve non pertinents ne sont pas admissibles en cour. Dans sa décision, le juge a indiqué que, pour évaluer la pertinence de la preuve, il n’avait pas besoin d’en présumer l’authenticité, car même si l’authentification est généralement une condition d’admissibilité, il n’était pas en mesure de trancher à cet effet à ce stade.
Le juge a également noté qu’il y avait une « lacune technologique » dans la preuve de la Couronne, le contenu du DVD étant « très éloigné de celui des téléphones BlackBerry ». Selon lui, les documents (sur le DVD) n’étaient pas « tenus pour authentiques » et devaient donc être validés par une preuve conformément à l’article 31.1 de la Loi sur la preuve au Canada qui exige que la partie concernée démontre que la preuve est ce qu’elle prétend être. Il a ajouté que les documents doivent être authentifiés, qu’il s’agisse de preuves matérielles ou documentaires.
La Couronne avait été avisée qu’elle devait demander à un ou à plusieurs experts de confirmer l’exactitude, l’exhaustivité et la fiabilité des techniques d’extraction (chip-off) et de parsage utilisées pour produire les disques, mais elle avait décidé de faire autrement. Pourtant, le juge avait indiqué qu’il préférait qu’un expert présente la preuve et avait fortement déconseillé à la Couronne de suivre sa première idée, qui a fini par entraîner des coûts considérables pour toutes les parties, y compris pour l’administration de la justice. Il est possible que la Couronne ait refusé de faire témoigner les deux experts parce que, partout au Canada, les unités des crimes technologiques sont déjà débordées et que la préparation, le déplacement et le témoignage de deux analystes n’auraient fait que retarder davantage leur travail.
Malgré ses critiques, le juge a toutefois fait remarquer que les disques optiques pouvaient être authentifiés par des preuves circonstancielles et que la présence d’un témoin n’était pas exigée – citant en exemple les numéros d’identification personnelle (NIP) dans les données correspondant à ceux inscrits sur les appareils eux-mêmes ainsi que certaines des photos récupérées des appareils montrant les accusés et les lieux en question. La GRC avait également obtenu des mandats au titre de la Partie VI du Code criminel pour intercepter des appels téléphoniques ainsi que des ordonnances de communication pour recueillir des données auprès de fournisseurs de services sans fil, tout ceci concordant avec les données trouvées sur les disques optiques. Par conséquent, le juge s’est dit convaincu que la Couronne avait répondu aux normes dictant l’authentification du contenu des disques optiques, « selon la prépondérance des probabilités », qui est une norme inférieure à celle du « hors de tout doute raisonnable ».
L’importance d’aligner la preuve numérique sur les normes juridiques existantes
Le juge a également relevé plusieurs erreurs possibles de la part de la défense dont les arguments ne portaient que sur l’authenticité des données. Selon l’article 31.2 de la Loi sur la preuve au Canada, tout document électronique satisfait à la règle de la meilleure preuve dans les cas où la fiabilité du système d’archivage électronique est démontrée, alors que l’article 31.3 énumère les cas où ce système est réputé fiable. Selon une de ces présomptions, le système est réputé fiable si, en l’absence de preuve contraire, il est établi que le document électronique a été enregistré ou mis en mémoire par une personne qui n’est pas partie de l’instance. Ainsi, c’est à la défense de prouver l’intégrité du système (en l’occurrence les BlackBerry qui appartenaient aux accusés) en présentant des preuves qui démontrent que les appareils ne fonctionnaient pas correctement. Si cette présomption ne s’applique pas, c’est alors la Couronne qui doit prouver le contraire, c’est-à-dire le bon fonctionnement des BlackBerry.
Le juge a noté que la défense n’avait pas contesté la présomption en question, peut-être parce qu’elle ne pouvait pas présenter d’arguments irréfutables. La défense aurait pu plaider que la Couronne n’avait pu établir que l’accusé avait bel et bien stocké les données en mémoire, auquel cas la présomption de fiabilité ne se serait pas appliquée. Cependant, la défense a probablement considéré que c’était un peu tiré par les cheveux compte tenu de la preuve circonstancielle présentée par la Couronne.
Il importe de souligner que dans la Loi sur la preuve au Canada, un document électronique est aussi réputé admissible devant un tribunal s’il est établi qu’il a été enregistré ou mis en mémoire dans le cours normal des affaires par une tierce partie qui n’était pas sous l’autorité de la partie qui cherche à le présenter en preuve. Cela s’applique à tous les documents générés et conservés par un large éventail de tierces parties telles que les banques, les services de télécommunications, les compagnies aériennes ou les ventes et services en ligne.
Comment déterminer si une preuve numérique est recevable devant les tribunaux?
Quel est le rapport entre tout ceci et la solidité de la preuve? Outre l’accent qu’il met sur la force probante de la preuve, Rodney McKemmish a également défini quatre critères permettant d’évaluer la fiabilité de la preuve numérique :
1. Signification
La signification – et donc l’interprétation – de la preuve électronique a-t-elle été affectée par le processus de juricomptabilité informatique? Il est ici question de l’authenticité de la preuve et de la manière de collecter les données de façon à pouvoir préserver leur intégralité d’origine.
Normalement, l’expert en juricomptabilité informatique utilise un logiciel pour calculer les valeurs de hachage (ou de l’empreinte numérique) des fichiers/dispositifs sources ou de destination afin de confirmer que leur contenu est identique. Le logiciel utilise une fonction de hachage cryptographique[2] qui comprime des données de taille arbitraire en une chaîne de bits (ou un condensé) de taille fixe. Les fonctions de hachage cryptographique sont déterministiques. En d’autres termes, les mêmes données donneront toujours la même valeur de hachage.
La présentation des données peut constituer un autre problème. La plupart des systèmes d’exploitation modernes tiennent compte des fuseaux horaires et des différentes langues. Le fait de disposer des données d’origine telles qu’elles ont été stockées sur le dispositif hôte permet généralement de résoudre les problèmes liés aux fuseaux horaires et aux langues.
2. Erreurs
Les erreurs ont-elles toutes été raisonnablement identifiées et expliquées de manière satisfaisante afin de lever tout doute sur la fiabilité des preuves? Ici, il est question de l’intégrité du système d’archivage électronique qui est nécessaire pour satisfaire à la règle de la meilleure preuve.
L’analyse ci-dessus montre que dans les affaires criminelles, il appartient à la défense de produire des preuves qui établiraient que le système informatique ne fonctionne pas correctement. Toutefois, dans les poursuites civiles, en l’absence d’accord, c’est plutôt au propriétaire du système informatique qu’il revient d’en démontrer le bon fonctionnement. Voici quelques exemples où cela pourrait être problématique : poursuites pour congédiement injustifié, litiges matrimoniaux ou partenariats commerciaux en difficulté. Dans une affaire fondée sur des preuves provenant des systèmes informatiques d’une entreprise, le plaignant pourrait prétendre que son ancien employeur ou partenaire avait un accès et un contrôle total sur les enregistrements et qu’il pourrait avoir supprimé les enregistrements qui appuyaient ses dires.
3. Transparence
Le processus de juricomptabilité informatique peut-il, dans son intégralité, faire l’objet d’une analyse et d’une vérification indépendantes? Il est ici question de l’admissibilité ainsi que de « l’écart technologique » que le juge a observé entre les BlackBerry et les données sur les disques optiques.
Le juge avait considéré le processus ayant permis de copier les données des BlackBerry sur des disques optiques comme une boîte noire4 dans laquelle les données sont intégrées, traitées et extraites sans que l’on sache comment cette boîte noire fonctionne ou sans que l’on puisse en inspecter la logique interne. Le juge avait aussi considéré que l’approche de la Couronne était, au mieux, transparente en l’absence des deux experts et, bien qu’il avait décidé que les autres preuves étaient suffisantes pour authentifier les données, il avait insisté sur le fait qu’une telle marge de manœuvre ne serait pas nécessairement permise dans des procédures ultérieures.
4. Expérience
L’analyse de juricomptabilité informatique a-t-elle été effectuée par une personne dont l’expérience est suffisante et pertinente?
Un expert en juricomptabilité informatique efficace saura indiquer la source des données, expliquer la méthode de collecte des données et les outils utilisés pour récupérer les preuves sur lesquelles doit se concentrer le tribunal. Il peut également expliquer la signification des données, les erreurs qui ont pu se produire et l’ensemble du processus utilisé en toute transparence.
Répercussions dans les litiges civils
Plusieurs lecteurs penseront peut-être que les normes sont plus strictes dans le cas cité en exemple parce qu’il s’agit d’une poursuite criminelle. Mais qu’en est-il dans les affaires civiles?
Au Canada, nous avons la théorie de la destruction de la preuve (spoliation en anglais) qui nous vient de la common law. La destruction de la preuve, c’est l’altération, la dissimulation ou la suppression de la preuve. Pour aider à comprendre cette théorie juridique et ses répercussions sur les preuves numériques, prenons une affaire civile entendue par la Cour d’appel de l’Alberta en 2008.
En 2004, une maison unifamiliale a été détruite lors d’un incendie dont la cause, selon le service d’incendie, était soit l’élimination inadéquate de produits fumigènes, soit une perceuse électrique sans fil défectueuse. Au moment du procès (le propriétaire de la résidence contre le fabricant de la perceuse), la maison avait été rasée pour être reconstruite et un enquêteur embauché par la compagnie d’assurances du plaignant avait emmené ce qui restait de la perceuse pour la faire inspecter par un ingénieur.
Le service d’incendie a accepté de remettre la perceuse à l’enquêteur à condition de recevoir une copie des conclusions de l’ingénieur afin de pouvoir terminer son rapport final. Toutefois, à un moment donné, la perceuse a disparu de la chaîne de possession. Le fabricant de la perceuse a donc soutenu avoir été injustement lésé, car il n’avait pas été en mesure d’inspecter la maison ou la perceuse pour bien préparer sa défense. Dans un premier temps, le juge lui a donné raison, car il y avait eu destruction de preuve, mais les propriétaires ont fait appel de la décision.
Donc, en 2008, le juge d’appel a défini la destruction de la preuve en droit canadien comme étant la destruction intentionnelle d’éléments de preuve pertinents dans le cadre d’un litige qui est en cours. Il a donné raison aux plaignants et a décidé de rétablir le litige devant le tribunal de première instance, pour les raisons suivantes :
- Il n’y avait pas eu, selon lui, de destruction délibérée de la preuve;
- La décision concernant la destruction de preuve, y compris les correctifs devant être apportés, relevait plutôt du juge de première instance;
- La preuve qu’il y a eu destruction de preuve était entièrement basée sur le témoignage du représentant que le défendeur avait envoyé pour inspecter la perceuse.
La conservation des preuves numériques est essentielle
La conservation est peut-être le moyen le plus évident d’éviter les problèmes liés à la destruction de la preuve. Pas étonnant, donc, que ce soit la première étape d’un processus de juricomptabilité informatique. Le fait de confier à une tierce partie la collecte et la conservation des données originales permettra très probablement d’éviter toute controverse ou allégation de destruction de la preuve.
Cela dit, la règle de proportionnalité est également une question importante à examiner. Faire des copies de toutes les preuves potentielles pour les rendre admissibles dans le cadre d’un litige peut rapidement devenir coûteux et perturbateur. La collecte d’un seul ordinateur ou téléphone peut s’avérer abordable, comparativement aux frais juridiques qui découleraient d’allégations de destruction de la preuve ou d’une remise en question de l’authenticité des données.
L’un des principes de Sedona Canada porte sur la proportionnalité et stipule que les parties doivent s’assurer que les étapes suivies dans le cadre de l’administration de la preuve sont proportionnelles, eu égard à la pertinence, l’importance et la complexité des questions en litige ainsi qu’aux coûts, fardeaux et délais que les parties devront assumer afin de gérer les informations sur support électronique.
Conclusion
Le traitement des preuves numériques est un processus complexe et très nuancé qui prendra de l’ampleur avec la domination croissante de la technologie dans nos vies personnelles et professionnelles.
Des décisions en apparence futiles influeront grandement la façon dont les preuves seront traitées lors de procédures judiciaires, le fardeau imposé aux plaignants et aux défendeurs, les coûts des litiges et même l’issue éventuelle d’une affaire civile ou criminelle.
Chez MNP, notre processus nous permet d’harmoniser vos besoins avec les pratiques exemplaires du secteur et du milieu juridique afin de conserver vos preuves, de veiller à ce qu’elles soient irréfutables et de vous assurer qu’elles présentent votre dossier de façon précise et convaincante.
À propos de MNP
MNP est un cabinet de comptabilité, de fiscalité et de services-conseils de premier plan au Canada. Nous sommes fiers de répondre aux besoins de nos clients des secteurs privé, public et sans but lucratif. Par l’intermédiaire de mandats dirigés par les associés eux-mêmes, nous proposons une démarche axée sur la coopération et l’efficience ainsi que des stratégies adaptées aux besoins des particuliers et des entreprises afin de les aider à connaître du succès, au pays comme à l’étranger.
Pour en savoir plus, contactez :
Greg Draper FCPA, FCGA, CFF, CAMS, IAS.A403.537.7679
[email protected]
1 McKemmish, R., 2008, in IFIP International Federation for Information Processing, Volume 285; Advances in Digital Forensics IV; Indrajit Ray, Sujeet Shenoi; (Boston: Springer), pp. 3–15.
2 R.v. Avanes et al., 2015 ONCJ 606 (CanLII)