Partout dans le monde, les gouvernements cherchent à obtenir plus d’informations sur les échanges en ligne. La Suisse, qui a pourtant une tradition de protection des libertés individuelles, pourrait rejoindre bientôt le club des pays démocratiques où la confidentialité des échanges est en danger, comme en France, au Royaume-Uni ou aux États-Unis.
VPN, messageries, hébergeurs : la Suisse veut tout surveiller
Le Conseil fédéral a lancé une consultation publique le 29 janvier dernier pour réviser deux ordonnances relatives à la surveillance des communications (OSCPT et OME-SCPT). L’objectif est de clarifier les catégories d’entreprises tenues de collaborer avec les autorités et préciser les conditions dans lesquelles elles doivent supprimer certains chiffrements.
Les fournisseurs de services de télécommunication (FST), à l’instar des opérateurs et des fournisseurs d’accès à internet (Swisscom, Sunrise, Salt) ont déjà cette obligation. Ils doivent ainsi être en mesure d’identifier les usagers, fournir des métadonnées et coopérer en cas de surveillance ordonnée par la justice. La révision ne créé pas d’obligations nouvelles pour ces fournisseurs, mais elle affine leur rôle et leurs responsabilités. Un système de gradation des obligations est ainsi mis en place pour éviter de surcharger les petits FAI et les réseaux académiques.
La principale nouveauté de cette révision est l’inclusion des fournisseurs de services de communication dérivés (FSCD) dans le dispositif de surveillance suisse. Il s’agit des services de messagerie, de visioconférence, de VPN, les apps de messagerie et les hébergeurs de services en ligne. Le statut de FSCD est attribué aux entreprises comptant plus d’un million d’utilisateurs ou ayant un chiffre d’affaires dépassant les 100 millions de francs suisses.
La Suisse, en vertu de sa politique traditionnelle sur les libertés individuelles, abrite plusieurs services bien connus comme Proton, Threema ou encore NymVPN. L’ordonnance ne se limite cependant pas aux régionaux de l’étape : toutes les entreprises qui entrent dans le cadre de son application devront s’adapter. Signal, WhatsApp, Facebook Messenger, NordVPN et les autres sont donc concernés.
Les autorités suisses pourront dès lors exiger d’un fournisseur de VPN ou d’une messagerie des renseignements d’identification (adresse IP, nom d’utilisateur, informations sur le terminal utilisé), des métadonnées (heure de connexion, localisation approximative), voire une partie des paquets d’IP ou de données secondaires associées aux communications en cours, sans le contenu complet.
L’ordonnance précise explicitement que le chiffrement de bout en bout (E2EE) n’est pas concerné : les fournisseurs ne peuvent être tenus de livrer ce qu’ils ne peuvent techniquement déchiffrer. Si le service propose des échanges E2EE que seul l’utilisateur peut déchiffrer (comme WhatsApp ou Signal), l’entreprise ne sera donc pas obligée de briser cette sécurité, et pour cause, elle ne peut pas y accéder elle-même.
Alexis Roussel, cofondateur de NymVPN et directeur des opérations, déplore que la nouvelle version de la loi sur la surveillance rend impossible les activités de Protron, Threema ou de son entreprise. Il entend bien se battre et faire valoir son point de vue durant la consultation, qui s’achève le 6 mai. Au-delà, le Conseil fédéral peut ajuster le texte en fonction des suggestions et des critiques. Mais aucun vote parlementaire ou référendum n’est nécessaire, le gouvernement suisse ayant toute autorité pour l’adopter seul.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
