Surveillance des communications: Proton, Threema et Co. montent au créneau
La Confédération veut préciser, par une modification d'ordonnance, quelles entreprises sont tenues de l'assister dans ses activités de surveillance. Les détracteurs y voient une tentative de la Confédération d'élargir le cercle des entreprises soumises à l'obligation de coopérer et mettent en garde contre les conséquences pour la Suisse.
Une révision partielle des ordonnances relatives au service de surveillance de la correspondance postale et des télécommunications (service SCPT) fait des remous dans le secteur technologique suisse. La pierre d'achoppement est une nouvelle classification des entreprises qui doivent aider le service SCPT dans ses activités de surveillance.
Jusqu'à présent, la Confédération faisait la distinction entre les fournisseurs de services de télécommunication (FST) et les fournisseurs de services de communication dérivés (FSDC), selon un communiqué de la Confédération. La Confédération divisait également les FST en deux sous-catégories, à savoir ceux les FST ayant des obligations complètes et les FST ayant des obligations restreintes.
Trois nouveaux niveaux
La Confédération n'avait pas établi de distinction entre les fournisseurs de services de communication dérivés. Toutes les entreprises classées comme FSDC sont soumises à des obligations de coopération moins strictes – jusqu'à présent. Le Conseil fédéral souhaite désormais introduire une catégorisation plus précise pour les FSDC. Il prévoit à cet effet un modèle à trois niveaux, à savoir les FSDC avec des obligations «minimales», avec des obligations «restreintes» et avec des obligations «complètes».
Cette modification vise à «permettre une gradation plus équilibrée des obligations et un rapprochement entre les FST et les FSCD de taille et d'importance économique comparables», explique la Confédération. Selon le communiqué, une entreprise serait désormais considérée comme une FSCD avec obligations complètes si elle réalise un chiffre d'affaires annuel d'au moins 100 millions de francs et/ou compte 1 million d'utilisateurs. Les entreprises ainsi classées devraient, après une période transitoire, mettre en place un service de piquet pour les demandes du service SCPT, stocker les données secondaires pendant six mois et, sur demande, fournir à la police les données secondaires ainsi que le contenu des communications d'une personne surveillée, conformément au projet d'ordonnance.
Proton et Threema sont indignés
Les modifications prévues suscitent de vives critiques, en particulier parmi les entreprises spécialisées dans les services de communication respectueux de la protection des données. L'entreprise romande Proton et Threema, basée dans le canton de Zurich, se sont exprimées avec véhémence. La première compte 100 millions d'utilisateurs, la seconde 12 millions, rappelle un article du Tages-Anzeiger. Elles considèrent que les modifications prévues mettent en péril leur modèle économique. Le CEO de Proton, Andy Yen, a déclaré que son entreprise envisageait de quitter la Suisse. Il a également déclaré que la révision prévue équivalait à «déclarer implicitement que le pays ne veut plus de dizaines d’entreprises du numérique auxquelles le monde entier accordait sa confiance».
Dans le Tages-Anzeiger, Robin Simon, directeur de Threema, rappelle un arrêt rendu par le Tribunal fédéral en 2021. Selon cet arrêt, la Confédération n'était pas autorisée à classer la messagerie comme un FST et ne pouvait donc pas lui imposer les obligations de coopération qui en découlent. Le Conseil fédéral tente désormais de «réintroduire ces obligations de surveillance par la petite porte», affirme-t-il, ajoutant que cela menace non seulement son entreprise, mais affaiblit également la place économique suisse.
Robin Simon se montre combatif et déclare qu'il ne se contentera pas de contester la réglementation prévue devant les tribunaux: «Nous sommes prêts à lancer une initiative populaire pour empêcher le développement d'un État de surveillance et pour défendre la vie privée.»
La consultation publique reste ouverte jusqu’au 6 mai 2025. Si de nombreuses prises de position officielles ne seront publiées qu’après cette échéance, l’association Digitale Gesellschaft (Société Numérique) s’est déjà exprimée avec fermeté. Elle reproche à la Confédération de vouloir étendre de manière excessive les obligations de surveillance imposées aux prestataires de services numériques.
Dans son communiqué, l’organisation critique notamment la reclassification de certains services en tant que fournisseurs de services de communication dérivés (FSCD) «avec obligations réduites». Cette catégorie inclut des services dès 5'000 utilisateurs actifs par mois, un seuil relativement bas, qui aurait pour effet de soumettre pratiquement tous les fournisseurs de services de communication opérant en Suisse à ces nouvelles exigences renforcées.
La Digitale Gesellschaft alerte également sur le fait que cette révision réglementaire toucherait non seulement les entreprises commerciales, mais aussi les projets open source et les organisations à but non lucratif. Si ces acteurs venaient à quitter la Suisse pour échapper à ces contraintes, cela compromettrait l’accès des utilisateurs à des outils de communication sécurisés et confidentiels.
Enfin, l’association insiste sur le fait qu’une extension aussi substantielle des dispositifs de surveillance ne peut se faire par simple voie d’ordonnance. «Ces réglementations doivent impérativement être inscrites dans une loi, adoptées par le Parlement et soumises à une légitimation démocratique par référendum. La tentative d'introduire des obligations de surveillance aussi étendues par voie d'ordonnance constitue une violation flagrante du principe de légalité et porte atteinte à la répartition des compétences», affirme la Digitale Gesellschaft.
