La surveillance en Suisse et en Europe

À l’heure actuelle, la surveillance des postes et télé­com­mu­ni­ca­tions est régie par la LSCPT, dont la version actuel­le­ment en force a été entiè­re­ment révi­sée en 2013 et est entrée en vigueur en 2018.

L’ancienne LSCPT, adop­tée en 2000 et entrée en vigueur en 2002, était la première loi unifiant à la fois la surveillance des services postaux et des four­nis­seurs de télé­com­mu­ni­ca­tions (FST). Ainsi, au niveau des commu­ni­ca­tions élec­tro­niques, seuls les services de télé­com­mu­ni­ca­tion entrant dans le champ d’application de la Loi fédé­rale sur les télé­com­mu­ni­ca­tions (LTC), et donc soumis à enre­gis­tre­ment, faisaient face aux obli­ga­tions de surveillance et de réten­tion d’informations de la LSCPT (art. 1 al. 2 A‑LSCPT).

Avec sa révi­sion totale en 2013, son champ d’application a été large­ment étendu par l’inclusion, notam­ment, des four­nis­seurs de commu­ni­ca­tion déri­vés (FSCD), à savoir « les four­nis­seurs de services qui se fondent sur des services de télé­com­mu­ni­ca­tion et qui permettent une commu­ni­ca­tion unila­té­rale ou multi­la­té­rale » (art. 2 let. c LSCPT). Par cet ajout, presque tous les four­nis­seurs suisses propo­sant un service de commu­ni­ca­tion sur Internet se retrouvent soumis à des obli­ga­tions en matière de surveillance ou de four­ni­ture de renseignements.

L’ordonnance prin­ci­pale d’application de cette loi, l’Ordonnance sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion (OSCPT), soumet les FSCD à des obli­ga­tions simi­laires à celles appli­cables aux FST, dont les plus notables sont l’obligation de réten­tion géné­rale et indis­cri­mi­née des données secon­daires de télé­com­mu­ni­ca­tion (à savoir, les données indi­quant avec qui, quand, combien de temps et d’où les usagers ont été ou sont en commu­ni­ca­tion ainsi que les carac­té­ris­tiques tech­niques des commu­ni­ca­tions en ques­tion), ou méta­don­nées, pendant six mois (art. 21 OSCPT) ainsi que l’obligation d’identification des utili­sa­teurs « par des moyens appro­priés » (art. 19 OSCPT). L’imposition de telles obli­ga­tions à poten­tiel­le­ment tous les four­nis­seurs de services suisses sur Internet met à mal la notion d’un Internet privé et sûr et pose d’importantes ques­tions sur le modèle socié­tal choisi par la Suisse.

De telles velléi­tés ont d’ailleurs été obser­vées chez nombre de nos voisins euro­péens jusqu’à ce que la CJUE rappelle (à plusieurs reprises dont la dernière en date du mois d’avril) l’incompatibilité avec le droit euro­péen d’une légis­la­tion natio­nale impo­sant la réten­tion géné­rale et indis­cri­mi­née de méta­don­nées et de données de loca­li­sa­tion à des fins de lutte contre les infrac­tions en géné­ral ou de préser­va­tion de la sécu­rité natio­nale, en raison de sa grave ingé­rence aux droits fonda­men­taux, et parti­cu­liè­re­ment au respect de la vie privée des indi­vi­dus (affaires Digital Rights Ireland e.a., Tele2 Sverige AB e.a, La Quadrature du Net e.a. et G.D.). Celle-ci a en effet estimé que seule la lutte contre la crimi­na­lité grave était suscep­tible de justi­fier une telle réten­tion de données, à condi­tion d’être ciblée, propor­tion­née et limi­tée au strict néces­saire. Exit donc la réten­tion indis­cri­mi­née de méta­don­nées à des fins préventives.

Appelé à tran­cher une ques­tion simi­laire, le Tribunal fédé­ral a estimé que la réten­tion systé­ma­tique de données secon­daires de tous les usagers pendant six mois n’était pas contraire à la Constitution fédé­rale ni à la Convention de sauve­garde des droits de l’homme et des liber­tés fonda­men­tales aux motifs que l’intensité de l’ingérence aux droits fonda­men­taux des utili­sa­teurs était propor­tion­née et que l’accès à ces données par les auto­ri­tés pénales était soumis aux condi­tions du CPP, rappe­lant au passage qu’il n’était pas lié par la juris­pru­dence de la CJUE.

Le Tribunal fédé­ral semble donc arri­ver à des conclu­sions diamé­tra­le­ment oppo­sées à celles de la CJUE, dont les conclu­sions s’inquiétaient d’un senti­ment des justi­ciables « que leur vie privée [fasse] l’objet d’une surveillance constante » (Digital Rights Ireland e.a.). Les recou­rants, insa­tis­faits par ce résul­tat déce­vant, ont porté la cause devant la Cour euro­péenne des droits de l’Homme, toujours pendante à ce jour.

Dans l’intervalle, un certain nombre d’incertitudes et de défauts du cadre juri­dique suisse a été contesté par diffé­rentes asso­cia­tions et four­nis­seurs suisses de services élec­tro­niques. Les problé­ma­tiques liées à la réten­tion de données décou­lant des ordon­nances d’application de la LSCPT ont fait l’objet de trois recours devant les Tribunaux admi­nis­tra­tif fédé­ral et fédé­ral (arrêts du TAF A‑5373/​2020, A‑550/​2019 et du TF 2C_​544/​2020) et de quatre objets parle­men­taires (postu­lat 19.4031, heure des ques­tions 19.5273, inter­pel­la­tion 19.3267, motion 18.3507) depuis l’entrée en force de l’intégralité de leurs dispo­si­tions en 2018.

Si le Conseil fédé­ral a systé­ma­ti­que­ment défendu l’application des ordon­nances, le bilan devant les tribu­naux est quant à lui consi­dé­ra­ble­ment plus mitigé, tous les recours ayant été a minima partiel­le­ment admis sur leurs conclu­sions principales.

La pratique montre que la LSCPT laisse une marge de manœuvre inquié­tante au Conseil fédé­ral et que celle-ci a servi à maintes reprises à étendre son appli­ca­tion bien au-delà de la volonté du légis­la­teur. À titre d’exemple, les simples défi­ni­tions et déli­mi­ta­tions des diffé­rents types de four­nis­seurs, de prime abord réglées de manière équi­voque dans la loi, mais en pratique faisant l’objet d’une déci­sion du Service de Surveillance de la corres­pon­dance par poste et des télé­com­mu­ni­ca­tions (Service SCPT), ont été inten­sé­ment discu­tées devant les tribunaux.

Les exemples des socié­tés Threema GmbH et Proton AG, four­nis­seurs respec­ti­ve­ment de messa­ge­rie instan­ta­née et de cour­riers élec­tro­niques cryp­tés de bout en bout, sont parlants à eux seuls. Ces dernières avaient effec­ti­ve­ment été consi­dé­rées comme des FST par le Service SCPT, les soumet­tant à de plus lourdes obli­ga­tions en matière de surveillance et de four­ni­ture de rensei­gne­ments qu’auparavant. Le Tribunal fédé­ral, respec­ti­ve­ment le Tribunal admi­nis­tra­tif fédé­ral, en a décidé autre­ment et a renvoyé la cause au Service SCPT pour nouvelle(s) décision(s), ce dernier devant désor­mais requa­li­fier les four­nis­seurs concer­nés de FSCD.

Le projet de révi­sion des ordon­nances n’améliore guère la situa­tion. En effet, les poten­tielles clari­fi­ca­tions de caté­go­ri­sa­tion des four­nis­seurs feront l’objet d’une révi­sion subsé­quente à celle-ci. Ainsi, les four­nis­seurs sont amenés aujourd’­hui à se pronon­cer sur des obli­ga­tions sans être capables d’identifier lesquelles de celles-ci s’appliqueront à eux demain. La plupart des révi­sions envi­sa­gées dépassent en réalité la simple adap­ta­tion de la surveillance à la tech­no­lo­gie 5G annon­cée par le Conseil fédé­ral en renfor­çant des mesures de surveillance existantes.

Parmi celles-ci, l’on peut citer la possi­bi­lité donnée aux auto­ri­tés de pour­suite pénale d’obtenir les données de poten­tiel­le­ment plusieurs milliers d’utilisateurs grâce à une seule adresse IP sans contrôle préa­lable du tribu­nal des mesures de contrainte (art. 38 al. 1 P‑OSCPT) et l’obligation faite aux four­nis­seurs de trai­ter les demandes de rensei­gne­ments sans aucune inter­ven­tion humaine (art. 18 al. 2 P‑OSCPT). Ce dernier projet de révi­sion, combiné à l’actuelle inca­pa­cité pratique des four­nis­seurs de contes­ter les déci­sions rendues en matière de surveillance (art. 42 al. 2 LSCPT), contri­bue à rendre la surveillance géné­rale toujours plus aisée, sans contre­par­ties adap­tées pour les four­nis­seurs et la société civile. Il augmente consi­dé­ra­ble­ment le risque posé à la sécu­rité des usagers.

Constat

L’Internet suisse se trouve aujourd’hui pris dans une procé­dure de révi­sion incer­taine, qui semble procé­der d’une logique chro­no­lo­gique diffi­ci­le­ment compré­hen­sible. Par ailleurs, nombre de propo­si­tions de modi­fi­ca­tion (et inves­tis­se­ments finan­ciers et tech­niques y corres­pon­dant) reposent sur l’admission par le Tribunal fédé­ral de la licéité de la réten­tion indis­cri­mi­née de méta­don­nées et pour­raient se voir entiè­re­ment inva­li­dées à tout moment par une déci­sion défa­vo­rable de la CourEDH.

Dans l’intervalle et au vu de la pratique des auto­ri­tés d’exécution, de plus en plus d’opérateurs suisses se retrouvent contraints de collec­ter toujours davan­tage de données de leurs utili­sa­teurs, dont la grande majo­rité s’avère bien souvent inutile en pratique, alors que leurs concur­rents euro­péens ne font face pour la plupart à aucune obli­ga­tion analogue.

Une situa­tion bien loin d’être idéale pour la sécu­rité – des données et du droit – dans un secteur toujours plus stra­té­gique au sein d’un pays pour­tant réputé pour avoir su rester, au fil de son histoire, à la pointe des déve­lop­pe­ments technologiques.