Les règles légales à suivre par les investigateurs de façon efficace
La forensique informatique a comme fin l’administration efficace de la justice. Elle utilise plusieurs champs d’expertise en informatique.
La charte canadienne des droits et des libertés est sans doute l’un des artéfacts légal régissant la pratique de la forensique informatique au Canada. Selon l’article 8 de la charte, toute personne doit être protégée contre les saisies et les fouilles abusives. Cet article joue un rôle important dans la recherche des preuves informatiques. Les corps de police ne peuvent pas collecter des preuves numériques sur un suspect sans autorisation d’un juge. C’est-à-dire sans mandat de perquisition. Dans le cas contraire, les preuves collectées pourraient être non-admissibles devant une cour de justice.
En 2016, la cour suprême du Canada a légiférée sur un des articles de la charte canadienne des droits et des libertés. L’article 11b qui assure que tout inculpé a le droit d’être jugé dans un délai raisonnable. L’arrêt Jordan promulgué en 2016 clarifie le concept de délais raisonnables en fournissant un seuil de temps dans l’attente d’un jugement qui peut varier selon la jurisdiction. Pour les cours provinciales, il est de 18 mois et de 30 mois pour les cours supérieures. Les implications de l’arrêt Jordan sur le travail des investigateurs peuvent être majeures. En effet, les phases de la préservation (extraction) et de l’examen des données sont très coûteuses en temps. Cette tendance n’est pas sur le point de ralentir car les appareils électroniques permettent de stocker désormais plus de données. Pour s’adapter et continuer d’enquêter efficacement, les services de police peuvent demander à un juge un mandat de perquisition sous couvert. De cette manière, l’extraction, l’examen et l’analyse des preuves numériques peuvent se faire sans être trop limité dans le temps.
Les règles légales appliquées par un juge pour déterminer l’admissibilité d’une preuve
L’objectif d’une cour de justice est l’administration de la justice. Le rôle de l’investigateur de données numériques dans ce contexte, est de proposer les faits probants et les probabilités (Casey, 2011, Chap 3). L’investigateur doit pouvoir présenter les faits établis clairement et de manière objective. Lorsque le verdict de culpabilité est sur la balance, la démonstration que la preuve est authentique est capitale.
L’admissibilité de la preuve est un ensemble de règles légales appliqué par un juge afin de déterminer si une preuve doit être présentée à un jury
La liste suivante donne quelques considérations à avoir pour déterminer l’admissibilité d’une preuve :
- La pertinence;
- Authenticité;
- Les ouï-dire (hearsay);
- La meilleure preuve.
Pour être pertinentes, les preuves numériques doivent respecter le mandat émis par un juge. Cette autorisation légale est très souvent requise pour l’administration effective de la justice.Pour faire la démonstration qu’une preuve numérique est authentique, l’investigateur doit pouvoir démontrer à la cour qu’elle a été collectée d’un certain ordinateur ou emplacement, qu’une copie complète et précise a été produite et qu’elle est restée inchangée depuis lors.
Connecter un crime à un individu lorsque celui-ci se produit en ligne (sur internet par exemple) peut être extrêmement difficile en l’absence de d’autres éléments de preuves. Un ouï-dire consiste à l’observation d’un fait criminel dont la paternité ne peut pas être systématiquement attribué au suspect.
La meilleure preuve est un principe utilisé par les cours de justice afin de rendre leur décision basée sur la meilleure information disponible. Dans le passé cette information était souvent l’original (texte manuscrit, enregistrement audio, ou photo). Mais de nos jours, une copie est acceptée lorsque celle-ci reproduit exactement l’original. Dans le contexte des preuves informatiques, les copies sont habituellement admissibles.
Manipulation des données sur une scène de crime
Lorsqu’un investigateur reçoit le signalement d’un crime, il doit se rendre sur la scène de crime. La manipulation des éléments de preuves doit se faire avec méthodologie. Casey, Chap 7, 2001 énonce 4 principes sous tendant la manipulation des preuves sur une scène de crime. Puisque chaque scène de crime peut être différente et que les possibilités sont nombreuses, l’investigateur doit faire preuve de jugement dans l’application des principes car ils peuvent ne pas couvrir toutes les situations.
Ces principes sont les suivants :
- Maintenir l’intégrité des données collectées sur tous les dispositifs électroniques de la scène de crime;
- Lorsque la modification des données est nécessaire, la personne qui effectue cette modification doit être compétente et motiver les raisons qui la poussent à opérer de tels changements. Toute la procédure doit être documentée;
- La traçabilité doit être crée et préservée. Un autre parti pourrait examiner les mêmes processus et devrait pouvoir aboutir aux mêmes résultats;
- La personne en charge de l’investigation devrait s’assurer que la loi est respectée et les principes suivis.
En outre, avant d’investir un lieu de crime, l’investigateur doit s’assurer d’avoir les autorisations requises avant d’accomplir toutes activités. Par exemple, au Canada la Charte canadienne des droits et des libertés statue contre les perquisitions et fouilles abusives. De façon générale, un mandat de fouille et de perquisition émis par un juge est requis avant la recherche des preuves, sauf dans certaines situations spécifiques.
Un certain degré de préparation est nécessaire pour investir une scène de crime contenant des éléments de preuves numériques. Il faut sécuriser le périmètre (s’assurer que l’accès aux dispositifs électroniques ne soit pas accessible), inspecter et documenter la scène de crime. Un maximum d’information doit être collecté sur tous les dispositifs technologiques disponibles sur la scène de crime. Il peut être nécessaire d’établir un profil de tous ceux qui ont un accès aux dispositifs. L’objectif poursuivi lors de l’inspection et la documentation de la scène de crime est de s’assurer que toutes les preuves informatiques sont trouvées et de prendre une décision informée sur celles qu’il faut préserver.
En général, dans une investigation de preuves numériques, le mandat de perquisition et de fouille n’autorise l’investigateur qu’à collecter des données sur les éléments de preuves pertinents au crime. Un second mandat peut être requis si des preuves d’un autre crime sont trouvées.