Arrivée du service de messagerie Session en Suisse et répercussions sur les poursuites pénales et l'entraide judiciaire
25.1056 · Question · 2025-12-18
Département de justice et police
Liquidé
Wortlaut
En 2024, le service de messagerie Session a transféré ses activités en Suisse. Ce service garantit un trafic de données chiffré et profite du fait que le cadre juridique suisse est avantageux du point de vue de la protection des données. Selon le DFJP, Session est de plus en plus utilisé pour la pédocriminalité et les échanges entre organisations extrémistes et cybercriminelles. Aucune métadonnée (identification, géolocalisation, appareil ou autre) n’est collectée. Il n’est pas non plus requis de fournir une adresse électronique ou un numéro de téléphone au moment de l’inscription. Conformément à l’OSCPT, l’entreprise n’est pas soumise aux obligations étendues en matière de fourniture de renseignements et de surveillance qui s’appliquent notamment aux fournisseurs de services de télécommunication au sens de l’art. 2, let. b, LSCPT. Le DFJP souligne que Session et d’autres prestataires similaires ne peuvent fournir aucune donnée exploitable lorsqu’il leur est demandé de coopérer dans des cas concrets, ce qui complique considérablement les enquêtes menées par les autorités.
La présence de Session en Suisse pourrait avoir des implications considérables, notamment en attirant d’autres services du même genre. Notre pays risquerait alors de devenir, en raison de son cadre juridique, un lieu intéressant pour les échanges entre organisations criminelles. Les autorités pourraient par conséquent être submergées de demandes de coopération et d’identification. De manière générale, ce vide juridique nuit à la réputation de la Suisse et favorise activement la criminalité.
D’où les questions suivantes :
Depuis l’arrivée de Session en Suisse, combien de demandes d’entraide judiciaire avons-nous reçues et combien d’entre elles ont pu être traitées avec succès ?
Pour le Conseil fédéral, quelles conséquences en termes de diplomatie ou de réputation l’arrivée de tels services pourrait avoir ?
Quels avantages concrets notre cadre juridique offre-t-il en matière de confidentialité numérique ?
Le Conseil fédéral envisage-t-il d’adapter le cadre légal pour obliger les fournisseurs de services de messagerie tels que Session à enregistrer des métadonnées ?
Stellungnahme des Bundesrates
1. Depuis l’établissement du siège de Session dans le canton de Zoug pendant l’été 2024 (auparavant en Australie), les autorités compétentes n’ont pas reçu ou traité de requête d’assistance judiciaire en matière pénale (CRI).
2. Pour l’heure, compte tenu du nombre très limité de requêtes d’information policières reçues, Session ne semble pas représenter un risque pour la réputation de notre pays. Néanmoins, il est notoire que les services de messagerie tels que Session, offrant des technologies permettant l’anonymat le plus complet couplé au chiffrement de bout en bout, éveillent aussi l’intérêt d’acteurs malveillants recherchant justement ces caractéristiques.
3. En Suisse, la communication bénéficie d’une protection élevée en raison de l’importance accordée à la protection de la sphère privée. Les mesures de surveillance ne sont autorisées que dans les cas expressément prévus par la loi et dans le respect du principe de proportionnalité.
4. La loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1) et son ordonnance d’exécution (OSCPT ; RS 780.11) permettent déjà, dans leur teneur actuelle, d’obliger ce type de fournisseurs à conserver les données secondaires. On entend généralement par données marginales ou métadonnées les données et informations techniques provenant d'appareils utilisés pour la communication entre personnes et permettant leur identification (par exemple jour, date, heure et autres données techniques d'un appel téléphonique ou d'un courriel). Ces données peuvent être demandées par les autorités de poursuite pénale dans le cadre d'enquêtes ou par la police lors de la recherche de personnes disparues. En Suisse, les fournisseurs de services de télécommunication (par exemple Swisscom) sont classés en différentes catégories, en fonction du type, de l'étendue et de la fonction des services fournis. Une distinction est faite entre les fournisseurs soumis à des obligations légales complètes (par exemple Swisscom) et les services de communication dits dérivés (comme Proton ou Session, par exemple), dont les obligations sont moins étendues. Les fournisseurs de services de communication dérivés (FSCD) livrent, sur demande, les données secondaires de télécommunication de la personne surveillée ou disparue dont ils disposent (art. 8, let. b, et 27, al. 2, LSCPT). Les FSCD ayant des obligations étendues en matière de surveillance (art. 27, al. 3, en relation avec l’art. 26, al. 5, LSCPT et l’art. 52 OSCPT) doivent conserver pendant six mois les données secondaires. La révision en cours de l’OSCPT a notamment pour objet les obligations des FSCD ayant des obligations étendues en matière de conservation des données secondaires.