02.3599 · Interpellation · 2002-10-04
Département de l'environnement, des transports, de l'énergie et de la communication
Liquidé
Wortlaut
J'invite le Conseil fédéral à répondre aux questions suivantes :
1. L'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT) ne contribue-t-elle pas à saper la protection des données ?
2. Ne faudrait-il pas obliger les fournisseurs d'accès à Internet à enregistrer les données relatives aux connexions sur des supports indépendants du réseau ?
3. Ne faudrait-il pas prévoir un support séparé pour chaque accès Internet ?
Begründung
L'OSCPT définit notamment les types de surveillance. La surveillance rétroactive, telle qu'elle est prévue à l'art. 2, let. d, impose aux fournisseurs de services postaux ou de télécommunication d'enregistrer et de conserver des données pendant six mois. L'article 24 précise les données que doivent conserver les fournisseurs d'accès à Internet. Le service chargé de la surveillance de la correspondance par poste et télécommunication (service) peut donc exiger des fournisseurs d'accès à Internet qu'ils produisent l'ensemble des données relatives aux connexions des six mois précédents. On peut raisonnablement supposer que ces données sont enregistrées électroniquement et qu'elles ne sont pas disponibles sur des supports indépendants du réseau. Ni la loi ni l'ordonnance n'exigent d'ailleurs que les données soient enregistrées sur un tel support.
Sachant qu'Internet n'est pas synonyme de sécurité, on peut se demander si la protection des données est garantie. Si l'article 9 OSCPT règle la sécurité des données traitées par le service et de la transmission des données résultant d'une surveillance, il ne dit rien sur la manière dont les fournisseurs d'accès à Internet doivent enregistrer les données. On ne peut donc exclure que des personnes non autorisées accèdent aux données relatives aux connexions. Mais ces pirates ne sont pas forcément des jeunes entraînés dans l'illégalité par l'envie de s'affirmer et la recherche de sensations fortes. Il peut s'agir de personnes qui agissent pour le compte d'entreprises, de services secrets ou d'autres organisations pour lesquels les données relatives aux connexions présentent un intérêt et qui peuvent s'en servir pour établir des profils personnels ou commerciaux. Les données mal acquises servent donc à la fois à cibler d'autres piratages et à reconstituer des réseaux de relations personnelles ou commerciales. On comprend dès lors que les banques de données des fournisseurs d'accès à Internet, où les informations sont disponibles sous une forme concentrée, suscitent des convoitises.
Stellungnahme des Bundesrates
La loi sur les télécommunications (LTC ; RS 784.10) autorise le traitement et l'enregistrement de certaines données relevant des télécommunications. Plus spécifiquement, l'article 60 de l'ordonnance sur les services de télécommunication (OST ; RS 784.101,1) définit les données qui peuvent être traitées et à quelles conditions. Il s'agit notamment des données qui sont nécessaires à l'établissement des communications, à l'octroi de renseignements, en vertu de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1) ainsi qu'à l'indemnisation des prestations des fournisseurs de services de télécommunication (FST). Par ailleurs, les abonnés bénéficient de certains droits d'accès aux renseignements par rapport aux FST, dont ils peuvent exiger, en cas de communications abusives, qu'ils leur indiquent les nom et adresse des raccordements appelants.
Cela étant, la LTC oblige déjà les FST à répertorier et enregistrer les données relatives au trafic et à la facturation de tous les abonnés. La LSCPT, plus spécifiquement son ordonnance d'application (OSCPT ; RS 780.11), stipule uniquement que ces données et d'autres spécifiées dans ladite loi peuvent être transmises sur demande et dans certains cas (procédures pénales) aux autorités désignées.
Par ailleurs, les FST ont également besoin de ces données pour satisfaire aux objectifs mentionnés à l'article 60 OST.
1. Compte tenu des raisons invoquées précédemment, l'OSCPT ne contribue pas à saper la protection des données. En effet, en vertu de l'article 43 LTC, les FST sont tenus d'observer le secret concernant les données en question et ne peuvent transmettre des données dûment spécifiées que lorsque les conditions de la LTC, voire de la LSCPT et de l'OSCPT sont remplies.
2. Il est inutile d'obliger les fournisseurs d'accès à Internet à stocker sur des supports indépendants du réseau uniquement les données relatives aux communications et nécessaires pour renseigner les autorités lors de procédures pénales. Comme expliqué précédemment, les FST enregistrent les données concernées de tous les clients pour leurs propres besoins. Or, au moment de l'enregistrement, il n'est pas établi avec certitude qu'une autorité devra peut-être les utiliser dans le cadre d'une procédure pénale. Une obligation qui consisterait à enregistrer les données relatives aux connexions sur des supports indépendants n'est pas envisageable pour la simple et bonne raison qu'au moment de l'enregistrement, on ne sait pas sur quels abonnés il faudra éventuellement un jour fournir des renseignements. Pareille solution entraînerait des coûts disproportionnés et elle n'est par ailleurs pas garante d'une sécurité absolue contre des tentatives de piratage. Au contraire, plus les données enregistrées sont nombreuses, plus il est difficile d'assurer leur sécurité, et ce quel que soit le support utilisé.
Le législateur exige simplement des FST que la sécurité des données soit garantie (art. 43ss. LTC et art. 64 OST), libre à eux de choisir les mesures techniques, administratives et organisationnelles à mettre en oeuvre. Cette réglementation s'avère judicieuse dans la mesure où chaque FST peut choisir les moyens qui lui conviennent. Enfin, la solution proposée par l'auteur de l'interpellation, à savoir une prescription précisant comment garantir la sécurité, présente le risque de ne pas proposer de solution adaptée au cas particulier.
Réponse du Conseil fédéral.