I. Contexte

La réten­tion indis­cri­mi­née de données secon­daires a toujours été au cœur de débats juri­diques et socié­taux houleux, en Suisse comme ailleurs. La notion, qui exige des four­nis­seurs de conser­ver sans distinc­tion certaines données de tous les utili­sa­teurs de leurs services aux fins de futures hypo­thé­tiques enquêtes pénales, bien qu’interdite dans l’UE par la CJUE (Digital Rights Ireland e.a.), avait été consi­dé­rée comme conforme au droit pour les services de télé­com­mu­ni­ca­tion suisses par le TF en 2018 (ATF 144 I 126).

Fort de cette victoire d’étape, l’administration avait étendu l’application des obli­ga­tions de surveillance des four­nis­seurs de services de télé­com­mu­ni­ca­tion (FST) — soit les four­nis­seurs opérant des réseaux pour trans­mettre de l’information, tels que les four­nis­seurs d’accès inter­net ou de télé­pho­nie — aux four­nis­seurs de services de commu­ni­ca­tion déri­vés (FSCD) — soit tout opéra­teur de service de commu­ni­ca­tion utili­sant inter­net pour four­nir son service — par le biais de la nouvelle LSCPT en 2018. Ainsi, la volonté affi­chée de l’administration depuis 2018 a été d’imposer ces obli­ga­tions au secteur tech­no­lo­gique suisse, à contre-courant de nos voisins européens.

L’administration, sous couvert de clari­fi­ca­tion des diffé­rentes ques­tions juri­diques soule­vées par les recours et les postu­lats subsé­quents à l’entrée en force de la LSCPT, cherche aujourd’hui à consi­dé­ra­ble­ment étendre un régime d’obligations étant déjà consi­déré comme l’un des plus intru­sifs au sein des démo­cra­ties occi­den­tales. Pendant ce temps, la déci­sion du TF de 2018 est toujours en attente de juge­ment par la CEDH à Strasbourg, afin de tran­cher sur la léga­lité du prin­cipe de réten­tion indis­cri­mi­née de données dans la LSCPT (Glättli et al. Contre Suisse).

II. Modification du champ d’application pour les obli­ga­tions éten­dues des FSCD

L’OSCPT dans sa forme actuelle fonc­tionne avec diffé­rents niveaux d’obligation pour les FST et les FSCD en fonc­tion de leur impor­tance. En effet, afin de respec­ter le prin­cipe de propor­tion­na­lité, il est admis que les petits four­nis­seurs ne devraient pas se voir impo­ser des obli­ga­tions intru­sives et coûteuses.

Les FST, ayant des obli­ga­tions de surveillance éten­dues par défaut, peuvent s’en voir exoné­rer sur requête (système de « down­grade ») s’ils n’offrent que des services dans le domaine de la recherche ou de l’éducation ou n’atteignent aucune des valeurs suivantes : (1) un chiffre d’affaires annuel en Suisse de 100 millions de francs pendant deux exer­cices consé­cu­tifs ; ou (2) des mandats de surveillance (émis par un tribu­nal des mesures de contrainte) portant sur dix cibles diffé­rentes au cours de douze derniers mois (art. 26 al. 6 LSCPT /​ art. 51 OSCPT).

Les FSCD, à l’inverse, ne sont soumis qu’à des obli­ga­tions très limi­tées par défaut (art. 50 OSCPT a contrario/​at. 18a OSCPT). Dès lors qu’ils atteignent certains seuils, ces derniers se voient impo­ser des obli­ga­tions supplé­men­taires (système d’« upgrade »). Sous le système actuel, si un FSCD reçoit plus de 100 demandes de rensei­gne­ments — soit des demandes d’informations simples sur un utili­sa­teur spéci­fique (non soumis à un ordre d’un tribu­nal des mesures de contrainte) — au cours des douze derniers mois, celui-ci se voit impo­ser des obli­ga­tions éten­dues en matière de rensei­gne­ment (art. 22 OSCPT). S’il reçoit des mandats de surveillance sur plus de cibles diffé­rentes au cours des douze derniers mois, celui-ci se voit impo­ser des obli­ga­tions éten­dues en matière de surveillance (art. 52 OSCPT). Si un FSCD réalise un chiffre d’affaires en Suisse de plus de 100 millions de francs suisses pendant deux exer­cices consé­cu­tifs et four­nit ses services à plus de 5000 usagers, celui-ci se voit impo­ser les obli­ga­tions des deux caté­go­ries simultanément.

La ques­tion des seuils d’application des obli­ga­tions éten­dues pour les FSCD a fait l’objet de nombreuses discus­sions et débats entre l’administration, les tribu­naux et le secteur tech­no­lo­gique suisse. En effet, la base légale de la LSCPT mentionne que les FSCD peuvent se voir impo­ser par le Conseil fédé­ral des obli­ga­tions simi­laires aux FST unique­ment sur la base de (1) leur impor­tance écono­mique et/​ou (2) de leur nombre d’utilisateurs (art. 27 al. 3 LSCPT). Sous cet angle, le secteur tech­no­lo­gique suisse avait vive­ment criti­qué le critère du nombre de demandes de rensei­gne­ments et ordres de surveillance reçus par un four­nis­seur, dans la mesure où celui-ci était la plupart du temps entiè­re­ment décor­rélé de l’importance écono­mique d’un four­nis­seur ou de son nombre d’utilisateurs.

La bonne nouvelle, c’est que l’administration semble avoir entendu cette critique et supprimé ce critère dans le présent projet de révi­sion (toute­fois unique­ment pour les FSCD, les FST étant toujours soumis à ce critère). La mauvaise, c’est que le second critère désor­mais proposé par l’administration pour les FSCD, à savoir le critère du nombre d’utilisateurs, aurait pour consé­quence d’affecter un nombre beau­coup plus consé­quent de FSCD avec des obli­ga­tions supplé­men­taires. En effet, l’administration propose de rempla­cer le système exis­tant par un système graduel à trois niveaux :

• Les FSCD ayant des obli­ga­tions complètes, ayant un chiffre d’affaires en Suisse d’au moins 100 millions de francs au cours de deux exer­cices consé­cu­tifs ou ayant une moyenne d’un million d’utilisateurs sur l’ensemble des services déri­vés qu’ils offrent au cours de douze derniers mois ( 16 g rev-OSCPT)
• Les FSCD ayant des obli­ga­tions restreintes, n’atteignant pas les seuils précé­dem­ment mention­nés, mais ayant une moyenne de 5000 utili­sa­teurs sur l’ensemble des services déri­vés qu’ils offrent au cours des douze derniers mois (16f rev-OSCPT)
• Les FSCD ayant des obli­ga­tions mini­males, n’atteignant aucun des seuils précé­dem­ment mention­nés ( 16e rev-OSCPT)

L’introduction de cette caté­go­rie inter­mé­diaire, les FSCD ayant des obli­ga­tions restreintes, est une des propo­si­tions prin­ci­pales de cette révi­sion. À défaut d’avoir des obli­ga­tions aussi lourdes et intru­sives que la caté­go­rie supé­rieure (qui corres­pond à l’ancienne caté­go­rie des FSCD avec obli­ga­tions éten­dues), cette caté­go­rie se voit propo­ser un nombre consé­quent d’obligations, qui seront détaillées dans la prochaine section. Avec un seuil d’application extrê­me­ment bas (5000 utili­sa­teurs), c’est tout le secteur tech­no­lo­gique suisse opérant sur inter­net qui entrera dans cette caté­go­rie, intro­dui­sant un système de surveillance géné­ra­lisé de l’internet suisse.

Pour le surplus, on peut s’inquiéter de la propo­si­tion de l’administration de consi­dé­rer les seuils comme déter­mi­nants de manière globale et sur la base de tous les services four­nis par un FSCD de manière cumu­lée, s’éloignant de sa pratique précé­dente de consi­dé­rer diffé­rents services four­nis par un même four­nis­seur de manière isolée. Ainsi un FSCD ayant des obli­ga­tions restreintes ou complètes sur la base d’un de ses services à large adop­tion se verrait soumis aux obli­ga­tions corres­pon­dantes pour tous ses autres services, aussi mineurs soient-ils. Il est garanti que ce système présente une entrave signi­fi­ca­tive à l’innovation, en augmen­tant notam­ment consi­dé­ra­ble­ment les coûts liés à la confor­mité de nouveaux services.

III. Obligations de réten­tion de données : méca­nismes juridiques

Dans l’OSCPT actuelle, il existe trois sources prin­ci­pales suscep­tibles d’imposer des obli­ga­tions de conser­va­tion de données d’utilisateurs aux four­nis­seurs : (1) l’obligation en matière de surveillance ; (2) l’obligation en matière de rensei­gne­ment et (3) l’obligation d’identifier les utili­sa­teurs selon des « moyens appropriés ».

L’obligation en matière de surveillance, la plus lourde des trois, requiert notam­ment d’être en mesure d’exécuter ou de faire exécu­ter par des tiers les surveillances selon les sections 8 à 12 de l’OSCPT (art. 50 al. 1 OSCPT). En matière de réten­tion de données, cette obli­ga­tion doit être comprise à la lueur des ordres de surveillance HD (« Historical Data » ou données histo­riques) mention­nés dans la section 11 de l’OSCPT, qui détaillent le type de données à trans­mettre pour chaque type d’ordre de surveillance rétro­ac­tive. À défaut d’obligations en matière de surveillance, un four­nis­seur ne doit four­nir pour un ordre HD que les données dont il dispose dans l’usage normal de son service. « Être en mesure d’exécuter » l’ordre en ques­tion requiert dès lors du four­nis­seur de conser­ver toutes les données listées dans l’ordre HD du service corres­pon­dant, indé­pen­dam­ment de leur utilité pratique pour la four­ni­ture du service. Un four­nis­seur de cour­rier élec­tro­nique soumis à l’obligation de surveillance devrait par consé­quent conser­ver pendant une durée de 6 mois l’ensemble des données listées sous ordre HD_​30_​EMAIL (art. 62 OSCPT), à savoir une copie de tous les cour­riels envoyés et reçus par l’utilisateur (contenu exclu), le jour­nal de connexion à la boîte mail, ainsi que les adresses IP de connexion pour chacun de ces événe­ments. Il s’agit là d’une quan­tité abso­lu­ment massive de données desquelles la conser­va­tion repré­sente un risque conséquent.

L’obligation en matière de rensei­gne­ment, bien que plus légère, propose notam­ment d’être éten­due à cette nouvelle caté­go­rie de FSCD avec des obli­ga­tions restreintes, qui doivent désor­mais « conser­ver et être en mesure de four­nir pendant toute la durée de la rela­tion commer­ciale, ainsi que six mois après celle-ci, les indi­ca­tions rela­tives aux services » (art. 21 al. 1 let a. rev-OSCPT). Celle-ci doit être comprise à la lueur des requêtes de rensei­gne­ment IR (« Information Request » ou demande de rensei­gne­ment) mention­nées aux sections 4 à 6 de l’OSCPT. Les requêtes IR ne sont, contrai­re­ment aux ordres HD, pas soumises à une déci­sion du tribu­nal des mesures de contrainte et peuvent être ordon­nées par les auto­ri­tés de pour­suite pénale de manière autonome.

À défaut d’obligations en matière de rensei­gne­ment, un four­nis­seur ne doit four­nir pour une requête IR reçue que les données dont il dispose dans l’usage normal de son service. S’il est sujet à l’obligation en matière de rensei­gne­ment, le four­nis­seur devra conser­ver les données néces­saires afin de pouvoir exécu­ter plei­ne­ment la requête IR corres­pon­dant au service qu’il opère. Si un type de service n’est pas spéci­fi­que­ment caté­go­risé dans l’OSCPT (par exemple, les services de messa­ge­rie tels que Threema ou Session), celui-ci entre dans la caté­go­rie « COM », dite des autres services de commu­ni­ca­tion. La créa­tion d’une nouvelle requête d’information telle que la requête IR_​60_​COM_​LAST (art. 43a rev-OSPCT), qui requiert notam­ment de conser­ver la date et l’heure de la dernière connexion à un service, ainsi que l’adresse IP et le numéro de port du client, créera de facto un système de surveillance géné­ra­lisé de tous les accès aux services four­nis par les FSCD de plus de 5 000 utili­sa­teurs basés en Suisse.

Nous sommes bien loin des promesses faites par le conseiller fédé­ral Guy Parmelin lors de la procé­dure de révi­sion de la LSCPT selon laquelle il n’y aurait pas de surveillance géné­ra­li­sée. On pour­rait pour le surplus se deman­der si ce type de données de connexion, incluant les données de géolo­ca­tion (adresses IP) ne devrait pas requé­rir un ordre du tribu­nal des mesures de contrainte sur la base de l’art. 273 CPP, et si dès lors l’introduction de ce nouveau type de rensei­gne­ment ne repré­sente pas une tenta­tive de sous­traire la réqui­si­tion de certains types de données au contrôle judi­ciaire censé les protéger.

Enfin, l’obligation d’identifier les utili­sa­teurs par des moyens appro­priés demeure plus ou moins un mystère pour les four­nis­seurs (art. 19 al. 1 OSCPT). Le texte soumis à consul­ta­tion ne propose pas de l’altérer fonda­men­ta­le­ment, mais clari­fie qu’elle sera désor­mais appli­cable aux FST, aux FSCD ayant des obli­ga­tions restreintes, et aux FSCD ayant des obli­ga­tions éten­dues. Cette obli­ga­tion floue voudrait qu’un four­nis­seur soit capable d’identifier tout utili­sa­teur de son service par des moyens appro­priés, ce qui est en prin­cipe impos­sible et loin d’être le cas pour la majo­rité des four­nis­seurs en Suisse et dans le reste du monde. Le rapport expli­ca­tif tente, comme son prédé­ces­seur, d’offrir des pistes qui pour­raient satis­faire l’administration, mais cette liste est loin d’offrir la clarté néces­saire pour les four­nis­seurs qui ne peuvent raison­na­ble­ment exiger un passe­port, un numéro de télé­phone ou une carte de crédit pour ouvrir une rela­tion commerciale.

Pour le surplus, la propo­si­tion semble désor­mais, à la lueur du rapport, mélan­ger l’obligation d’identification par des moyens appro­priés avec l’obligation de rensei­gne­ment, dans la mesure où elle désigne spéci­fi­que­ment le fait de conser­ver les données rela­tives au type de requête IR_​60_​COM_​LAST (art. 43a rev-OSCPT) — à savoir la réten­tion des données rela­tives à la dernière connexion au service avec adresse IP et port-source — comme une manière possi­ble­ment valide de s’acquitter de cette obli­ga­tion. En tout état de cause, le manque de clarté sur cette obli­ga­tion ne renforce pas la sécu­rité du droit et promet de nombreuses discus­sions avec l’administration afin de comprendre ce qui est attendu des fournisseurs.

IV. Conclusion

Lorsque l’on analyse les nouvelles dispo­si­tions du projet soumis à consul­ta­tion, on ne peut qu’être confus à comprendre la volonté de l’administration. Tout au contraire de ce qu’elle indique dans le message de consul­ta­tion, à savoir une volonté de simpli­fier les obli­ga­tions des PME et four­nir un cadre juri­dique sûr pour le secteur tech­no­lo­gique suisse, elle entre­prend par ce projet de consi­dé­ra­ble­ment aggra­ver la surveillance géné­ra­li­sée en Suisse, lais­sant l’avenir du secteur, et spéci­fi­que­ment des acteurs suisses répu­tés pour leur sécu­rité et leur mini­mi­sa­tion des données, tels que Proton, Threema ou Tresorit (et plus récem­ment la messa­ge­rie Session, qui s’est para­doxa­le­ment instal­lée en Suisse il y a quelques mois pour son cadre juri­dique favo­rable en la matière) incer­tain face à ces obli­ga­tions qui menacent l’existence même de leur modèle commercial.

Enfin, pas incer­tain pour Proton. Car il est déjà clair pour nous que nous ne pour­rons jamais entrer en confor­mité avec les obli­ga­tions qui tentent d’être adop­tées par l’administration suisse dans le présent projet. Si celles-ci devaient être impo­sées telles que propo­sées, nous n’aurions d’autre choix que de dépla­cer les opéra­tions de nos services dans des juri­dic­tions ayant des régimes moins draco­niens en matière de surveillance. Au-delà de la trahi­son de la promesse faite à nos utili­sa­teurs qu’elles repré­sen­te­raient, les obli­ga­tions contem­plées ne permet­traient simple­ment pas à Proton et aux autres acteurs suisses de béné­fi­cier de la compé­ti­ti­vité et de la vélo­cité néces­saires pour faire face aux concur­rents étran­gers sur le marché des services tech­no­lo­giques, ce qui appa­raît pour­tant crucial à la lueur du climat géopo­li­tique actuel.

Avant d’en arri­ver là, il reste une chance d’arriver à convaincre l’administration qu’imposer une réten­tion indis­cri­mi­née de données pour les FSCDs simi­laire à celle impo­sée aux FST est une énorme balle dans le pied de la Suisse. Si vous êtes sensible au sujet et saisis­sez l’ampleur de l’enjeu, n’hésitez pas à donner votre opinion dans la procé­dure de consul­ta­tion avant l’échéance du 6 mai 2025. Notre équipe juri­dique demeure dispo­nible pour toute ques­tion ou discus­sion à cette adresse.