swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La rétention indiscriminée de métadonnées en Suisse : chronologie et développements

Nicolas Sacroug et Marc Løebekken, le 14 avril 2022
Le Conseil fédé­ral a récem­ment ouvert une première consul­ta­tion rela­tive à la révi­sion partielle des ordon­nances liées à la Loi fédé­rale du 18 mars 2016 sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion (LSCPT) afin de les adap­ter à l’arrivée de la tech­no­lo­gie 5G. Une seconde consul­ta­tion suivra notam­ment pour clari­fier la caté­go­ri­sa­tion des enti­tés soumises à ces obligations.

La surveillance en Suisse et en Europe

À l’heure actuelle, la surveillance des postes et télé­com­mu­ni­ca­tions est régie par la LSCPT, dont la version actuel­le­ment en force a été entiè­re­ment révi­sée en 2013 et est entrée en vigueur en 2018.

L’ancienne LSCPT, adop­tée en 2000 et entrée en vigueur en 2002, était la première loi unifiant à la fois la surveillance des services postaux et des four­nis­seurs de télé­com­mu­ni­ca­tions (FST). Ainsi, au niveau des commu­ni­ca­tions élec­tro­niques, seuls les services de télé­com­mu­ni­ca­tion entrant dans le champ d’application de la Loi fédé­rale sur les télé­com­mu­ni­ca­tions (LTC), et donc soumis à enre­gis­tre­ment, faisaient face aux obli­ga­tions de surveillance et de réten­tion d’informations de la LSCPT (art. 1 al. 2 A‑LSCPT).

Avec sa révi­sion totale en 2013, son champ d’application a été large­ment étendu par l’inclusion, notam­ment, des four­nis­seurs de commu­ni­ca­tion déri­vés (FSCD), à savoir « les four­nis­seurs de services qui se fondent sur des services de télé­com­mu­ni­ca­tion et qui permettent une commu­ni­ca­tion unila­té­rale ou multi­la­té­rale » (art. 2 let. c LSCPT). Par cet ajout, presque tous les four­nis­seurs suisses propo­sant un service de commu­ni­ca­tion sur Internet se retrouvent soumis à des obli­ga­tions en matière de surveillance ou de four­ni­ture de renseignements.

L’ordonnance prin­ci­pale d’application de cette loi, l’Ordonnance sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion (OSCPT), soumet les FSCD à des obli­ga­tions simi­laires à celles appli­cables aux FST, dont les plus notables sont l’obligation de réten­tion géné­rale et indis­cri­mi­née des données secon­daires de télé­com­mu­ni­ca­tion (à savoir, les données indi­quant avec qui, quand, combien de temps et d’où les usagers ont été ou sont en commu­ni­ca­tion ainsi que les carac­té­ris­tiques tech­niques des commu­ni­ca­tions en ques­tion), ou méta­don­nées, pendant six mois (art. 21 OSCPT) ainsi que l’obligation d’identification des utili­sa­teurs « par des moyens appro­priés » (art. 19 OSCPT). L’imposition de telles obli­ga­tions à poten­tiel­le­ment tous les four­nis­seurs de services suisses sur Internet met à mal la notion d’un Internet privé et sûr et pose d’importantes ques­tions sur le modèle socié­tal choisi par la Suisse.

De telles velléi­tés ont d’ailleurs été obser­vées chez nombre de nos voisins euro­péens jusqu’à ce que la CJUE rappelle (à plusieurs reprises dont la dernière en date du mois d’avril) l’incompatibilité avec le droit euro­péen d’une légis­la­tion natio­nale impo­sant la réten­tion géné­rale et indis­cri­mi­née de méta­don­nées et de données de loca­li­sa­tion à des fins de lutte contre les infrac­tions en géné­ral ou de préser­va­tion de la sécu­rité natio­nale, en raison de sa grave ingé­rence aux droits fonda­men­taux, et parti­cu­liè­re­ment au respect de la vie privée des indi­vi­dus (affaires Digital Rights Ireland e.a., Tele2 Sverige AB e.a, La Quadrature du Net e.a. et G.D.). Celle-ci a en effet estimé que seule la lutte contre la crimi­na­lité grave était suscep­tible de justi­fier une telle réten­tion de données, à condi­tion d’être ciblée, propor­tion­née et limi­tée au strict néces­saire. Exit donc la réten­tion indis­cri­mi­née de méta­don­nées à des fins préventives.

Appelé à tran­cher une ques­tion simi­laire, le Tribunal fédé­ral a estimé que la réten­tion systé­ma­tique de données secon­daires de tous les usagers pendant six mois n’était pas contraire à la Constitution fédé­rale ni à la Convention de sauve­garde des droits de l’homme et des liber­tés fonda­men­tales aux motifs que l’intensité de l’ingérence aux droits fonda­men­taux des utili­sa­teurs était propor­tion­née et que l’accès à ces données par les auto­ri­tés pénales était soumis aux condi­tions du CPP, rappe­lant au passage qu’il n’était pas lié par la juris­pru­dence de la CJUE.

Le Tribunal fédé­ral semble donc arri­ver à des conclu­sions diamé­tra­le­ment oppo­sées à celles de la CJUE, dont les conclu­sions s’inquiétaient d’un senti­ment des justi­ciables « que leur vie privée [fasse] l’objet d’une surveillance constante » (Digital Rights Ireland e.a.). Les recou­rants, insa­tis­faits par ce résul­tat déce­vant, ont porté la cause devant la Cour euro­péenne des droits de l’Homme, toujours pendante à ce jour.

Dans l’intervalle, un certain nombre d’incertitudes et de défauts du cadre juri­dique suisse a été contesté par diffé­rentes asso­cia­tions et four­nis­seurs suisses de services élec­tro­niques. Les problé­ma­tiques liées à la réten­tion de données décou­lant des ordon­nances d’application de la LSCPT ont fait l’objet de trois recours devant les Tribunaux admi­nis­tra­tif fédé­ral et fédé­ral (arrêts du TAF A‑5373/​2020, A‑550/​2019 et du TF 2C_​544/​2020) et de quatre objets parle­men­taires (postu­lat 19.4031, heure des ques­tions 19.5273, inter­pel­la­tion 19.3267, motion 18.3507) depuis l’entrée en force de l’intégralité de leurs dispo­si­tions en 2018.

Si le Conseil fédé­ral a systé­ma­ti­que­ment défendu l’application des ordon­nances, le bilan devant les tribu­naux est quant à lui consi­dé­ra­ble­ment plus mitigé, tous les recours ayant été a minima partiel­le­ment admis sur leurs conclu­sions principales.

La pratique montre que la LSCPT laisse une marge de manœuvre inquié­tante au Conseil fédé­ral et que celle-ci a servi à maintes reprises à étendre son appli­ca­tion bien au-delà de la volonté du légis­la­teur. À titre d’exemple, les simples défi­ni­tions et déli­mi­ta­tions des diffé­rents types de four­nis­seurs, de prime abord réglées de manière équi­voque dans la loi, mais en pratique faisant l’objet d’une déci­sion du Service de Surveillance de la corres­pon­dance par poste et des télé­com­mu­ni­ca­tions (Service SCPT), ont été inten­sé­ment discu­tées devant les tribunaux.

Les exemples des socié­tés Threema GmbH et Proton AG, four­nis­seurs respec­ti­ve­ment de messa­ge­rie instan­ta­née et de cour­riers élec­tro­niques cryp­tés de bout en bout, sont parlants à eux seuls. Ces dernières avaient effec­ti­ve­ment été consi­dé­rées comme des FST par le Service SCPT, les soumet­tant à de plus lourdes obli­ga­tions en matière de surveillance et de four­ni­ture de rensei­gne­ments qu’auparavant. Le Tribunal fédé­ral, respec­ti­ve­ment le Tribunal admi­nis­tra­tif fédé­ral, en a décidé autre­ment et a renvoyé la cause au Service SCPT pour nouvelle(s) décision(s), ce dernier devant désor­mais requa­li­fier les four­nis­seurs concer­nés de FSCD.

Le projet de révi­sion des ordon­nances n’améliore guère la situa­tion. En effet, les poten­tielles clari­fi­ca­tions de caté­go­ri­sa­tion des four­nis­seurs feront l’objet d’une révi­sion subsé­quente à celle-ci. Ainsi, les four­nis­seurs sont amenés aujourd’­hui à se pronon­cer sur des obli­ga­tions sans être capables d’identifier lesquelles de celles-ci s’appliqueront à eux demain. La plupart des révi­sions envi­sa­gées dépassent en réalité la simple adap­ta­tion de la surveillance à la tech­no­lo­gie 5G annon­cée par le Conseil fédé­ral en renfor­çant des mesures de surveillance existantes.

Parmi celles-ci, l’on peut citer la possi­bi­lité donnée aux auto­ri­tés de pour­suite pénale d’obtenir les données de poten­tiel­le­ment plusieurs milliers d’utilisateurs grâce à une seule adresse IP sans contrôle préa­lable du tribu­nal des mesures de contrainte (art. 38 al. 1 P‑OSCPT) et l’obligation faite aux four­nis­seurs de trai­ter les demandes de rensei­gne­ments sans aucune inter­ven­tion humaine (art. 18 al. 2 P‑OSCPT). Ce dernier projet de révi­sion, combiné à l’actuelle inca­pa­cité pratique des four­nis­seurs de contes­ter les déci­sions rendues en matière de surveillance (art. 42 al. 2 LSCPT), contri­bue à rendre la surveillance géné­rale toujours plus aisée, sans contre­par­ties adap­tées pour les four­nis­seurs et la société civile. Il augmente consi­dé­ra­ble­ment le risque posé à la sécu­rité des usagers.

Constat

L’Internet suisse se trouve aujourd’hui pris dans une procé­dure de révi­sion incer­taine, qui semble procé­der d’une logique chro­no­lo­gique diffi­ci­le­ment compré­hen­sible. Par ailleurs, nombre de propo­si­tions de modi­fi­ca­tion (et inves­tis­se­ments finan­ciers et tech­niques y corres­pon­dant) reposent sur l’admission par le Tribunal fédé­ral de la licéité de la réten­tion indis­cri­mi­née de méta­don­nées et pour­raient se voir entiè­re­ment inva­li­dées à tout moment par une déci­sion défa­vo­rable de la CourEDH.

Dans l’intervalle et au vu de la pratique des auto­ri­tés d’exécution, de plus en plus d’opérateurs suisses se retrouvent contraints de collec­ter toujours davan­tage de données de leurs utili­sa­teurs, dont la grande majo­rité s’avère bien souvent inutile en pratique, alors que leurs concur­rents euro­péens ne font face pour la plupart à aucune obli­ga­tion analogue.

Une situa­tion bien loin d’être idéale pour la sécu­rité – des données et du droit – dans un secteur toujours plus stra­té­gique au sein d’un pays pour­tant réputé pour avoir su rester, au fil de son histoire, à la pointe des déve­lop­pe­ments technologiques.



Proposition de citation : Nicolas Sacroug / Marc Løebekken, La rétention indiscriminée de métadonnées en Suisse : chronologie et développements, 14 avril 2022 in www.swissprivacy.law/135


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Utilisation de données de communications dans les enquêtes pénales
  • Les limites de la récolte de données personnelles des passagers aériens
  • Destinataires ou catégories de destinataires ?
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law