La surveillance étatique fonctionne en Suisse selon les mêmes règles du jeu que partout ailleurs: par la contrainte ou moyennant finance. Les services de renseignement et les autorités de sécurité dépendent de la transmission de données par des entreprises du secteur des télécommunications pour opérer efficacement. C’est pourquoi des groupes comme Swisscom, mais aussi des fournisseurs d’accès à Internet plus modestes, sont légalement tenus de coopérer avec les autorités – ou incités à le faire moyennant compensation.
«La collaboration des entreprises du secteur des télécommunications est indispensable au bon fonctionnement de la surveillance du trafic de télécommunications», déclare non sans euphémisme le Conseil fédéral. Selon le type de services proposés, la loi prévoit différentes obligations d'information pour les entreprises; mais la question principale reste constamment de savoir quelles données fournir aux autorités.
Voilà pour la théorie. Dans la pratique, il s'avère toutefois que cette classification des acteurs et de leurs obligations de coopération n'est pas si évidente. Des divergences sur l'interprétation de la loi aboutissent régulièrement à des procédures judiciaires. C'est ce qui s'est passé récemment pour Threema et Proton Mail.
Ces deux sociétés, qui se targuent de normes particulièrement strictes en matière de protection des données, ont jusqu'à présent réussi à contourner une extension des obligations d'information.
Dans le cas de Threema, cela a même été jusqu'au Tribunal fédéral, qui a rendu en 2021 un arrêt très remarqué dans lequel il a rappelé au Département fédéral de justice et police (DFJP) qu'on ne pouvait considérer Threema comme un fournisseur de services de télécommunication (FST). Les juges ont ainsi dispensé la société d'une coopération avec les autorités en matière de surveillance. Proton Mail est lui aussi parvenu à éviter jusqu'à présent d'être classé comme FST.
Mais aujourd'hui, la même menace plane à nouveau pour les deux entreprises. Fin janvier, le Conseil fédéral a ouvert une procédure de consultation pour une révision partielle de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT). Celle-ci prévoit entre autres de nouvelles catégories pour la classification des services et leur obligation de collaborer.
Cette différenciation doit «permettre une gradation plus équilibrée des obligations», explique Berne dans un communiqué. Les spécialistes craignent en revanche que le Département fédéral de Justice et Police (DFJP) ne cherche ainsi à renforcer les obligations pour des services comme Threema et Proton Mail.
Jusqu'à présent, la loi distinguait deux catégories: les FST déjà évoqués et les fournisseurs dits de «services de communication dérivés» (FSCD). En Suisse, la liste pour les premiers comprend désormais plus de 500 entreprises, dont les «3 grands S»:
Ce sont elles qui ont le plus d'obligations de coopération vis-à-vis des autorités. Elles doivent entre autres effectuer des surveillances en temps réel, fournir toutes les données techniques relatives à un raccordement client ainsi que les détails du contrat et procéder à une conservation des données de six mois.
En revanche, des entités telles que Threema et Proton Mail figuraient jusqu’ici classés comme FSCD, bénéficiant ainsi d’obligations nettement plus limitées – une classification qu’ils ont réussi à préserver grâce à leurs victoires judiciaires. Mais la révision de la LSCPT prévoit désormais de subdiviser les FSCD en trois sous-catégories:
L'objectif? Permettre de «traiter de manière plus semblable les FST et les FSCD de taille et d'importance économique comparables», selon le communiqué du Conseil fédéral.
Les détracteurs de cette réforme y voient plutôt une manœuvre des autorités suisses pour imposer à Threema et Proton Mail les obligations qu’elles n’ont pu leur imposer par voie judiciaire – cette fois, en modifiant directement la loi.
Martin Steiger, un avocat spécialisé dans le droit dans l'espace numérique et porte-parole de l'association Société numérique, s'inquiète:
C'est ce qui s'est passé dans le cas présent.
La Confédération, elle, conteste d'un bout à l'autre cette analyse. Interrogé sur les conséquences possibles de la révision sur Threema et Proton Mail, le DFJP répond toutefois de manière évasive. Nous ne pouvons rien dire concernant des entreprises concrètes, explique Jean-Louis Biberstein, chef adjoint du service Surveillance de la correspondance par poste et télécommunication (SCPT) - et ce bien que Threema soit nommément mentionné dans le rapport de la consultation.
Il existe en Suisse plus de mille FST et FSCD de tailles et d’importances diverses pour la justice pénale, poursuit Louis Biberstein:
Il s'agit plutôt de mettre en œuvre de manière conséquente la jurisprudence du Tribunal fédéral et de créer ainsi une sécurité juridique. Le responsable veut en outre souligner qu'il n'y aura «toujours pas d'obligation du supprimer le cryptage de bout en bout».
Threema ne souhaite pas réagir à la démarche de la Confédération. Selon un porte-parole, l'entreprise est encore en train de procéder à des clarifications juridiques. Même son de cloche chez Proton. L'entreprise indique qu'elle se positionnera en temps voulu par rapport à la consultation publique et donnera un avis argumenté. Sur le fond, elle évalue toutefois que «propositions soumises comme extrêmement problématiques».
La consultation pour la révision partielle de la LSCPT dure jusqu'au 6 mai.
(Traduit de l'allemand par Valentine Zenker)
