AS 2018 227
Ordonnance sur le système de traitement pour la surveillance de la correspondance par poste et télécommunication
Ordonnance sur le système de traitement pour la surveillance de la correspondance par poste et télécommunication (OST-SCPT)
du 15 novembre 2017
Le Conseil fédéral suisse, vu les art. 10, al. 4, 11, al. 6, et 12, al. 2, de la loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)1, arrête:
Section 1 Dispositions générales
Art. 1 Objet La présente ordonnance règle l’exploitation et l’utilisation du système de traitement du Service de surveillance de la correspondance par poste et télécommunication (Service SCPT).
Art. 2 Réseau de transmission des données
1 Les fournisseurs de services de télécommunication (FST), à l’exception de ceux
qui ont des obligations restreintes en matière de surveillance, et les fournisseurs de services de communication dérivés ayant des obligations étendues en matière de fourniture de renseignements et de surveillance exploitent avec le Service SCPT un réseau destiné à transmettre au système de traitement les renseignements et les données issues des surveillances (réseau de transmission).
2 Le réseau de transmission permet aussi d’échanger les demandes de renseigne-
ments et les mandats de surveillance, ainsi que des informations sur leur exécution. 3 Le Département fédéral de justice et police édicte des prescriptions techniques et administratives applicables au réseau de transmission.
RS 780.12 1 RS 780.1
2017-2175 227
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
Section 2 Données et traitement des données
Art. 3 Données
1 Le système de traitement contient les données suivantes:
a. les renseignements et les données issues des surveillances transmis par les personnes obligées de collaborer; b. les données selon la let. a préparées pour être exploitées; c. les demandes de renseignements et les ordres de surveillance transmis par les autorités habilitées; d. les caractéristiques de traitement ajoutées par les autorités qui exploitent les données; e. des données sur l’exécution et le suivi des affaires, y compris les données sur l’assurance de la qualité, les données de test, les statistiques et la comp- tabilité; f. des données permettant de présenter plus simplement et de filtrer les don- nées selon les let. a et b; g. des clés cryptographiques.
2 Peuvent être traitées dans le système:
a. des données concernant des renseignements (chap. 3, sections 4 à 6, de l’ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication [OSCPT]2); b. des données de surveillances en temps réel (chap. 3, sections 8, 9 et 11, OSCPT); c. des données de surveillances rétroactives (chap. 3, sections 10 et 11, OSCPT); d. des données sur l’exécution et le suivi des affaires du Service SCPT (art. 6).
Art. 4 Origine des données
1 Les données enregistrées dans le système de traitement proviennent:
a. des autorités qui ont ordonné une surveillance ou des autorités désignées par celles-ci, des autorités qui ont autorisé une surveillance et des autres autori- tés associées à la procédure; b. des personnes obligées de collaborer; c. du Service SCPT; d. de bases de données pour la vérification des ressources d’adressage;
2 RS 780.11
228
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
e. des fournisseurs d’informations géographiques et de matériel cartogra- phique.
2 Les autorités ne peuvent compléter les données issues de surveillances que par
l’ajout de caractéristiques de traitement selon l’art. 3, al. 1, let. d, et par l’ajout de clés cryptographiques selon l’art. 3, a. 1, let. g; une importation plus étendue de données d’enquête n’est pas admise.
Art. 5 Fonctions de traitement des renseignements et des données issues de surveillances 1 Les fonctions suivantes peuvent être utilisées pour traiter les renseignements et les données issues de surveillances: a. écoute simultanée ou écoute différée; b. affichage et impression; c. localisation et représentation sur une carte; d. décodage et déchiffrage; e. regroupement; f. recherche et filtrage; g. attribution d’un enregistrement vocal à une voix déjà enregistrée dans le sys- tème; h. transcription; i. commentaire; j. déclenchement d’une alerte lorsque surviennent certains événements tels que l’approche géographique d’un point donné ou un processus de communica- tion; k. transmission sécurisée aux personnes autorisées; l. effacement. 2 Les fonctions ne s’appliquent qu’aux données auxquelles la personne qui les exé- cute a accès.
Art. 6 Traitement des données pour l’exécution et le suivi des affaires Le Service SCPT traite les données suivantes pour l’exécution et le suivi des affaires: a. les coordonnées des autorités qui ont ordonné une surveillance et des autori- tés désignées par celles-ci, des autorités qui ont autorisé une surveillance et des autres autorités associées à la procédure, ainsi que des personnes dési- gnées par celles-ci; b. pour autant que ces informations soient connues: les nom, prénom, date de naissance, adresse et profession de la personne à surveiller et de son conseil juridique;
229
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
c. le motif de la demande de renseignements ou de la surveillance, en particu- lier l’indication des articles réprimant les infractions que la mesure doit per- mettre d’élucider; d. les types de renseignements demandés et de surveillances ordonnées; e. des communications écrites ou orales ainsi que les conversations télépho- niques enregistrées selon l’art. 8 OSCPT3; f. des décisions des autorités, telles qu’ordres de surveillance, autorisations et prolongations, des décisions relatives à des sanctions administratives ou pénales, ainsi que des décisions sur recours; g. les données mentionnées aux art. 15, let. h à k, et 49, al. 1, let. h à l, et 2, OSCPT; h. le numéro de référence et le nom de l’affaire à laquelle se rapportent les ren- seignements et les surveillances; i. les coordonnées des personnes obligées de collaborer ainsi que des per- sonnes physiques que celles-ci ont désignées comme interlocuteurs; j. des données sur les personnes obligées de collaborer, notamment concernant la disponibilité à renseigner et à surveiller; k. les ressources d’adressage et les identifiants disponibles; l. d’autres données de nature technique; m. les données sur la perception des émoluments et le versement des indemni- tés.
Art. 7 Droit d’accès au système de traitement 1 Le Service SCPT crée, sur demande transmise au moyen du formulaire à cet effet, des comptes d’utilisateurs personnels pour permettre aux groupes de personnes suivants d’accéder au système, pour autant que ces accès soient nécessaires à l’exécution de leurs tâches: a. collaborateurs des autorités; b. collaborateurs des personnes obligées de collaborer; c. collaborateurs du Service SCPT; d. personnes auxquelles le Service SCPT a confié des tâches de maintenance, d’exploitation ou de programmation. 2 Il peut, sur ordre de la personne compétente, habiliter des collaborateurs des autori- tés mentionnées à l’art. 9, al. 1 à 3, LSCPT à octroyer des accès pour autant que cela soit nécessaire à l’exécution de leurs tâches. Lorsqu’ils octroient un accès, ces collaborateurs demeurent responsables de l’utilisation qui en est faite et documen- tent l’octroi de manière à ce qu’il puisse être retracé.
3 RS 780.11
230
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
3 Le Service SCPT vérifie périodiquement que les conditions d’octroi des droits
d’accès sont toujours remplies. 4 Les droits d’accès au système de traitement sont réglés dans l’annexe. Le Service SCPT les précise dans un règlement de traitement (art. 21 de l’ordonnance du 14 juin 1993 sur la protection des données4).
Art. 8 Droit d’accès aux données des surveillances 1 L’ordre de surveillance indique au Service SCPT quels collaborateurs des autorités mentionnées à l’art. 9, al. 1 à 3, LSCPT ont accès aux données de quelles surveil- lances. Après l’authentification, une procédure d’appel leur permet d’accéder aux données issues des surveillances prévues dans l’ordre. 2 Les personnes concernées par l’art. 279 du code de procédure pénale5, ou l’art. 70j de la procédure militaire du 23 mars 19796, par l’art. 33 de la loi fédérale du 25 septembre 2015 sur le renseignement7, par les art. 35 et 36 LSCPT et par la loi fédérale du 19 juin 1992 sur la protection des données8, ainsi que leurs conseils juridiques peuvent déposer auprès de l’autorité compétente en vertu de l’art. 10, al. 1 à 3, LSCPT une demande d’accès aux données issues des surveillances. Elles ob- tiennent via les autorités compétentes et en vertu des dispositions qui s’appliquent à ces autorités un accès aux données dont elles ont besoin pour exercer leur droit de consulter le dossier et leur droit d’accès aux données.
3 Le Service SCPT autorise certains collaborateurs des autorités mentionnées à
l’art. 7, al. 2, à octroyer des accès au sein de leur autorité ainsi qu’à des personnes autorisées selon l’al. 2, pour autant que ces accès soient nécessaires à l’exécution des tâches ou pour permettre à des tiers d’exercer leurs droits.
4 Le Service SCPT concrétise l’al. 3 dans un règlement de traitement.
Art. 9 Interfaces Le système de traitement possède des interfaces: a. pour la transmission de mandats et la réception de données et de confirma- tions, directement ou via le réseau de transmission connecté aux systèmes des personnes obligées de collaborer; b. pour la copie de données, selon l’art. 14, al. 1, LSCPT, dans le réseau de sys- tèmes d’information de police de l’Office fédéral de la police et selon l’art. 14a LSCPT, dans le système d’information du Service de renseigne- ment; c. pour l’accès aux bases de données pour la vérification de ressources d’adressage.
4 RS 235.11 5 RS 312.0 6 RS 322.1 7 RS 121 8 RS 235.1
231
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
Section 3 Protection des données et sécurité des données
Art. 10 Mesures pour la sécurité des données 1 Le Service SCPT s’assure en particulier des points suivants par des mesures tech- niques et organisationnelles: a. protection des accès et contre les modifications: par une authentification sûre des personnes et des services habilités et une description détaillée de leurs droits respectifs de lecture et d’écriture; b. contrôle du transport: par une transmission sécurisée des données du sys- tème de traitement; c. contrôle des accès et des modifications: par la journalisation de tous les accès à des données et de toutes les modifications de données et par des con- trôles réguliers par sondage pour détecter des irrégularités. 2 Il décide des mesures à prendre sur la base d’une analyse des risques fondée sur l’état de la technique et les normes internationales pertinentes. 3 Il édicte, à l’attention des utilisateurs du système, les instructions nécessaires à la mise en œuvre des mesures. 4 Il conserve les fichiers de journalisation pendant toute la durée de conservation des renseignements et des données issues des surveillances.
Art. 11 Mesures pour la sécurité du système Le Service SCPT décide des mesures à prendre en cas de dérangement ou de risque de dérangement dans l’exploitation ordinaire du système de traitement. Dans la mesure du possible, il entend préalablement les autorités ayant ordonné la surveil- lance ou celles chargées d’analyser les données recueillies.
Art. 12 Anonymisation Les données utilisées à des fins statistiques doivent être anonymisées avant leur publication.
Section 4 Accès aux données des surveillances par une procédure d’appel, destruction et archivage des données
Art. 13 Accès aux données des surveillances par une procédure d’appel 1 Les données des surveillances sont à la disposition des autorités par une procédure d’appel et avec l’ensemble des fonctions de traitement selon l’art. 5, au maximum: a. jusqu’à l’entrée en force de la décision qui clôt la procédure pénale concer- née;
232
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
b. jusqu’à six mois après la fin de l’opération du Service de renseignement de la Confédération (SRC); c. jusqu’à six mois après la fin de la recherche en cas d’urgence; d. jusqu’à six mois après la fin de la recherche d’une personne condamnée, ou e. jusqu’à l’envoi des supports de données ou documents aux autorités pour transmission à une autorité étrangère dans le cadre d’une procédure d’en- traide judiciaire internationale. 2 Les données restent ensuite disponibles dans le système de traitement pendant une période prolongée, mais avec des fonctions de traitement réduites, jusqu’à la fin de la durée de conservation selon l’art. 11 LSCPT. L’autorité compétente peut deman- der plus tôt déjà que les données soient conservées de cette façon.
3 En cas de modifications techniques de grande ampleur apportées au système de
traitement, les données sont encore à la disposition des autorités pendant une durée de six à douze mois avec l’ensemble des fonctions de traitement.
Art. 14 Destruction 1 La dernière autorité à avoir été en charge de la procédure communique au Service SCPT avant l’expiration du délai de conservation selon l’art. 11 LSCPT: a. que les données doivent être détruites, ou b. que les données doivent être mises à la disposition d’une autorité désignée par elle et effacées dans le système après avoir reçu confirmation de la ré- ception. 2 Si l’autorité compétente n’est plus identifiable à l’expiration du délai de conserva- tion ou ne donne aucune instruction après avoir été invitée à le faire, le Service SCPT prépare un support de données. Il adresse celui-ci à la plus haute instance judiciaire cantonale ou au Tribunal pénal fédéral. Après que l’instance en question a confirmé la réception et la lisibilité du support, le Service SCPT détruit les données dans le système. Il consigne la procédure dans un fichier de journalisation.
3 Les données issues de renseignements sont conservées pendant douze mois, puis
pendant la durée de conservation selon l’art. 11 LSCPT avec des fonctions de trai- tement réduites, et sont ensuite détruites.
Art. 15 Archivage 1 Les données de la Confédération à valeur archivistique destinées à être détruites sont proposées pour archivage aux Archives fédérales. Les archives sans valeur archivistique sont détruites.
2 Les données des cantons destinées à être détruites sont proposées à l’autorité
cantonale compétente lorsque le droit du canton en question le prévoit. Conformé-
233
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
ment à l’art. 4, al. 2, de la loi fédérale du 26 juin 1998 sur l’archivage9, l’archivage de données des cantons est de la compétence de ceux-ci.
Section 5 Dispositions finales
Art. 16 Disposition transitoire 1 Jusqu’à la mise en service des nouvelles composantes du système, le Service SCPT peut établir les fichiers de journalisation selon l’ancien droit.
2 Tant que les données ne sont pas conservées de manière centralisée pendant une
longue période, elles sont conservées selon la pratique en vigueur. À partir du mo- ment où, conformément à l’art. 13, l’ensemble des fonctions de traitement ne sont plus disponibles, les autorités reçoivent les données de surveillance sur un support de données ou elles peuvent les télécharger dans leur propre système.
Art. 17 Entrée en vigueur La présente ordonnance entre en vigueur le 1er mars 2018.
15 novembre 2017 Au nom du Conseil fédéral suisse: La présidente de la Confédération, Doris Leuthard Le chancelier de la Confédération, Walter Thurnherr
9 RS 152.1
234
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Annexe (art. 7, al. 4)
Tableau synoptique des accès au système de traitement du Service SCPT Groupes de personnes autorisées 1. Service SCPT
Fonction 1.1 Exécution du 1.2 Gestion 1.3 Contrôle 1.4 Assistance 1.5 Finances 1.6 Formation 1.7 Exploitation mandat technique de gestion technique technique et développement
a. Gestion des utilisateurs D D G M D b. Maintenance, réparation, test et exploitation M D D D du système c. Facturation M A D d. Suivi des affaires M M G M e. Préparation, anonymisation et publication P P P des données statistiques f. Demandes de renseignements D G (G) g. Traitement des données issues de renseignements D*** G*** G*** G*** h. Réponse aux demandes de renseignements A (G) (G) i. Gestion des clés cryptographiques G D G D j. Ordre/fin de la surveillance D*** G G G G k. Autorisation de la surveillance D*** G G l. Prolongation de la surveillance D*** G G
235
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Groupes de personnes autorisées 1. Service SCPT
Fonction 1.1 Exécution du 1.2 Gestion 1.3 Contrôle 1.4 Assistance 1.5 Finances 1.6 Formation 1.7 Exploitation mandat technique de gestion technique technique et développement
m. Traitement des données issues de surveillances D*** D*** D*** n. Examen matériel limité de l’ordre de surveillance D D G o. Examen formel de l’ordre de surveillance D G p. Contrôle des délais D G q. Dossier de surveillance D G M r. Transmission du mandat de surveillance D G G (G) aux personnes obligées de collaborer s. Confirmation des personnes obligées G G G (G) de collaborer t. Triage des données sous la direction d’un tribunal D*** D*** G D*** D*** u. Branchement de test demande/fin D D G D D** D v. Branchement de test autorisation/prolongation D G w. Branchement de test auprès des personnes D G G (G) obligées de collaborer demande/fin x. Accès aux données des branchements de test D D D** D y. Données de procès-verbal du système D M de traitement z. Accès aux données avec des fonctions D*** G*** G*** de traitement réduites
236
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Groupes de personnes autorisées 1. Service SCPT
Fonction 1.1 Exécution du 1.2 Gestion 1.3 Contrôle 1.4 Assistance 1.5 Finances 1.6 Formation 1.7 Exploitation mandat technique de gestion technique technique et développement
aa. Communications téléphoniques enregistrées D M du Service SCPT ab. Création et transmission de supports de données P D G P (G) P ac. Transmission de données dans une procédure (G) (G) (G) (G) P d’appel vers les systèmes d’information de police de la Confédération et vers les systèmes d’information du SRC ad. Archivage des données aux Archives fédérales P P G P P avant leur destruction ae. Destruction des données dans le système D*** (G) D*** (G) D*** de traitement
237
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Groupes de personnes autorisées 2. Autorités habilitées
Fonction 2.1 Administra- 2.2 Autorités qui 2.3 Personne 2.4 Personne 2.5 Traducteur 2.6 Formation 2.7 Autorités qui 2.8 Autorité teur de l’organi- ordonnent la chargée du chargée du donnent judiciaire qui sation (OrgAd- surveillance dossier pour les dossier pour les l’autorisation dirige la procé- min), superutilisa- renseignements surveillances dure teur
a. Gestion des utilisateurs D* D* b. Maintenance, réparation, test et exploitation du système c. Facturation d. Contrôle des opérations e. Préparation, anonymisation et publication des données statis- tiques f. Demandes de renseignements D* D* D* D* g. Traitement des données issues A A A A A** G** de renseignements h. Réponse aux demandes G* G* G* G* G* G** de renseignements i. Gestion des clés cryptographiques D** D** D** j. Ordre/fin de la surveillance M*** M** M*** G* G** k. Autorisation de la surveillance G** G** G** M* G** l. Prolongation de la surveillance G*** M** G*** G* G** m. Traitement des données issues M** M** M** M** G** de surveillances
238
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Groupes de personnes autorisées 2. Autorités habilitées
Fonction 2.1 Administra- 2.2 Autorités qui 2.3 Personne 2.4 Personne 2.5 Traducteur 2.6 Formation 2.7 Autorités qui 2.8 Autorité teur de l’organi- ordonnent la chargée du chargée du donnent judiciaire qui sation (OrgAd- surveillance dossier pour les dossier pour les l’autorisation dirige la procé- min), superutilisa- renseignements surveillances dure teur
n. Examen matériel restreint G** G** G** G* de l’ordre de surveillance o. Examen formel de l’ordre G** G** G** G* de surveillance p. Contrôle des délais G** G** G* G** q. Dossier de surveillance G** G** G** G* G** r. Transmission du mandat de surveillance aux personnes obligées de collaborer s. Confirmation des personnes obligées de collaborer t. Triage des données sous Q Q la direction d’un tribunal u. Branchement de test demande/fin D Q Q v. Branchement de test autorisation/ D** prolongation w. Branchement de test auprès des personnes obligées de collaborer demande/fin x. Accès aux données des branche- D** M** M** G ments de test
239
Système de traitement pour la surveillance de la correspondance par poste et télécommunication. O RO 2018
Groupes de personnes autorisées 2. Autorités habilitées
Fonction 2.1 Administra- 2.2 Autorités qui 2.3 Personne 2.4 Personne 2.5 Traducteur 2.6 Formation 2.7 Autorités qui 2.8 Autorité teur de l’organi- ordonnent la chargée du chargée du donnent judiciaire qui sation (OrgAd- surveillance dossier pour les dossier pour les l’autorisation dirige la procé- min), superutilisa- renseignements surveillances dure teur
y. Données de procès-verbal du système de traitement z. Accès aux données avec des M** M** M** M** G fonctions de traitement réduites aa. Communications téléphoniques enregistrées du Service SCPT ab. Création et transmission G** G** G** G** de supports de données ac. Transmission de données dans D** D** D** une procédure d’appel vers les systèmes d’information de police de la Confédération et vers les systèmes d’information du SRC ad. Archivage des données aux Archives fédérales avant leur destruction ae. Destruction des données dans Q** Q** le système de traitement
240
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
Groupes de personnes autorisées 3. Personne 4. Personne concernée et obligée de Fonction conseil juridique collaborer
a. Gestion des utilisateurs b. Maintenance, réparation, test et exploitation du système c. Facturation d. Suivi des affaires e. Préparation, anonymisation et publication des données statistiques f. Demandes de renseignements G** G** g. Traitement des données issues de renseignements G** h. Réponse aux demandes de renseignements G** A** i. Gestion des clés cryptographiques M* j. Ordre/fin de la surveillance G** k. Autorisation de la surveillance G** l. Prolongation de la surveillance G** m. Traitement des données issues de surveillances G** n. Examen matériel restreint de l’ordre de surveillance o. Examen formel de l’ordre de surveillance p. Contrôle des délais q. Dossier de surveillance G** r. Transmission du mandat de surveillance aux personnes G** G** obligées de collaborer s. Confirmation des personnes obligées de collaborer D** t. Triage des données sous la direction d’un tribunal u. Branchement de test demande/fin v. Branchement de test autorisation/prolongation w. Branchement de test auprès des personnes obligées D** de collaborer demande/fin x. Accès aux données des branchements de test y. Données de procès-verbal du système de traitement z. Accès aux données avec des fonctions de traitement G** réduites aa. Communications téléphoniques enregistrées du Service SCPT
241
Système de traitement pour la surveillance de la correspondance par poste et RO 2018
Groupes de personnes autorisées 3. Personne 4. Personne concernée et obligée de Fonction conseil juridique collaborer
ab. Création et transmission de supports de données ac. Transmission de données dans une procédure d’appel en ligne vers les systèmes d’information de police de la Confédération et vers les systèmes d’information du SRC ad. Archivage des données aux Archives fédérales avant leur destruction ae. Destruction des données dans le système de traitement G** Légende: G (get) = lecture A (add) = lecture, saisie M (mutate) = lecture, saisie, mutation D (delete) = lecture, saisie, mutation, effacement P (produce) = production Q (request) = demande/instruction * = uniquement au sein de la même unité organisationnelle ** = uniquement des données des affaires de surveillance ou des demandes de renseigne- ments attribuées *** = seulement après instruction de l’autorité qui a ordonné la mesure, de celle qui l’autorisée, ou de l’autorité judiciaire qui dirige la procédure ou de la personne dési- gnée par elle ( ) = accès limité uniquement aux métadonnées, par ex. quel type et quelle quantité de données ont été copiées, à quel moment, d’où et vers où
242