Importante victoire de Protonmail contre les services fédéraux de surveillance
En septembre 2020, une décision du service fédéral chargé de la surveillance de la correspondance par poste et télécommunication devait obliger l’éditeur genevois de Protonmail de collecter et conserver des données utilisateurs. Le recours de Proton a été admis par le Tribunal administratif fédéral. Le chef du service juridique de l'entreprise répond à nos questions.
La firme genevoise Proton Technologies a remporté une importante victoire d’étape dans le cadre d’une bataille judiciaire l’opposant au Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) de la Confédération. Reuters a rapporté que le recours formulé par l'éditeur de Protonmail et ProtonVPN a été admis par le Tribunal administratif fédéral (TAF).
Dans un arrêt du 13 octobre dernier, le TAF indique que l’entreprise genevoise (sans publiquement la nommer) a fait recours en octobre 2020 contre une décision du SCPT qui, en septembre 2020, a révoqué son statut de fournisseur de services de télécommunication ayant des obligations restreintes en matière de surveillance. Autrement dit, Protonmail entrait dès lors dans la catégorie des services soumis à des exigences de conservation des données. Un statut incompatible avec les promesses de confidentialité de l’éditeur, qui met en avant le fait de ne pas collecter et conserver les données de ses utilisateurs.
Une nouvelle décision doit être prise
Le TAF ayant admis le recours de Proton, la révocation du SCPT est annulée et le service fédéral devra reconsidérer le cas et prendre une nouvelle décision.
Pour rappel, Protonmail a suscité des critiques début septembre, l’éditeur ayant partagé avec la police française, via les autorités juridiques suisses, des adresses IP d'activistes climatiques. L’éditeur s’est défendu, précisant ne collecter aucune adresse IP par défaut mais seulement dans le cas d’un ordre légal spécifique. Et de rappeler que la loi suisse peut l’obliger à collecter des informations pour des délits jugés extrêmement graves.
Quels liens existent entre «l’affaire» des IP fournies par Proton et la révocation du statut de l'éditeur par le SCPT? Comment Proton voit la suite de la bataille judiciaire qui l'oppose au SCPT? Marc Løebekken, Head of Legal chez Proton Technologies, a accepté de fournir des explications à ICTjournal.
Est-ce que Proton est surpris par la décision du tribunal administratif?
Nous n'avons pas été surpris par la décision portant sur la catégorisation. Nous étions déjà convaincus que le SCPT appliquait la loi de manière abusive à cet égard et les derniers développements (notamment l'arrêt Threema) semblaient clairement valider cette conviction.
Est-ce parce que le SCPT a révoqué les obligations de surveillance limitée de Proton en septembre 2020 que vous avez dû fournir les adresses IP des activistes climatiques français il y a quelques mois?
Non, ces deux problématiques sont indépendantes. Le recours que nous avons déposé à l'encontre de la décision bénéficiait de l'effet suspensif et nous n'avons dès lors pas eu à implémenter d'obligations spécifiques découlant de la décision. Le cas que vous mentionnez était effectivement en relation avec une demande d'entraide des autorités françaises et exécuté par les autorités suisses dont l'issue aurait été la même indépendamment de la décision en question.
L'appel que vous avez gagné est une première étape. Avant qu'une décision finale ne soit prise, dans quelle position vous trouvez-vous par rapport aux demandes des autorités judiciaires suisses?
La décision a été renvoyée au SCPT pour être modifiée dans le sens des conclusions du TAF, mais nous nous attendons à ce que cette nouvelle décision soulève également d'autres questions de droit qu'il sera important d'adresser. Nous avons toujours respecté nos obligations légales et avons observé dans la plupart des cas que les autorités suisses faisaient leur travail correctement. Nous avons toutefois également pu observer des exceptions en la forme d'ordres injustifiés ou inappropriés et contesté ceux-ci dès que possible. Dans l'ensemble, nous nous battons non seulement contre la rétention indiscriminée des données secondaires, mais également pour que les fournisseurs aient plus de visibilité et un rôle plus actif dans ce processus.
Etes-vous actuellement obligé de fournir des données seulement dans le cas d'affaires criminelles extrêmes?
L'article 269 al. 2 du Code de Procédure Pénale liste les infractions pour lesquelles des données peuvent être requises auprès de notre société. Même si la liste en elle-même peut être critiquée, il s'agit effectivement en principe d'infractions graves.
Pensez-vous qu'il y a de bonnes chances que la décision finale du SCPT soit en faveur de Proton?
La loi telle que le SCPT essaie de l'appliquer actuellement va à l'encontre de tout ce qui a été jugé par nos voisins européens depuis 2014 et récemment confirmé en 2020. La cadre juridique suisse en la matière est inadapté et pénaliserait grandement son industrie technologique si il était appliqué strictement, tout en menant à très peu de résultats en matière de résolution d'infractions. Le recours pendant à la CEDH (Cour européenne des droits de l'homme, ndlr) atteste des sérieux problèmes juridiques qu'il pose. Nous pensons qu'au bout du compte, les autorités suisses réaliseront que quelque chose doit être entrepris et c'est pourquoi nous sommes confiants quant à l'issue de cette question.
Marc Løebekken, Head of Legal chez Proton Technologies. (Source: DR)
