03.1069 · Question ordinaire · 2003-06-16
Département de l'environnement, des transports, de l'énergie et de la communication
Liquidé
Wortlaut
En vertu de l'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication, tous les fournisseurs de services de télécommunication, y compris les fournisseurs d'accès à Internet, sont tenus, depuis le 1er janvier 2003, de conserver, pendant six mois au moins, toutes les données échangées.
Cette réglementation soulève les questions suivantes :
1. En vertu de quelle base juridique les organisations de droit privé (notamment les fournisseurs d'accès à Internet) sont-elles habilitées à conserver les données numériques de leurs clients ?
2. La conservation de tous les messages électroniques et de toutes les données Internet ne constitue-t-elle pas un moyen optimal de faire de l'espionnage économique moderne en ce sens que l'existence d'une telle masse de données favorise précisément la présélection d'objectifs ou l'exploitation de réseaux économiques de relations ?
3. Comment peut-on garantir que seules les personnes autorisées ont accès à ces données numériques ?
4. Le Conseil fédéral est-il conscient du fait que la majorité des personnes qui utilisent Internet à des fins commerciales ou privées ne peuvent pas créer des programmes de cryptage, et qu'elles sont donc tributaires des programmes disponibles dans le commerce, lesquels ne sont pas protégés contre l'espionnage professionnel ?
5. Le gouvernement de notre pays sait-il que les codes des programmes américains de cryptage sont connus des autorités américaines, ou alors estime-t-il que le cryptage assure une protection absolue des données ?
6. Ces mesures sont destinées avant tout à combattre le crime organisé et les activités terroristes, qui sont donc le fait de professionnels. Comment le Conseil fédéral entend-il éviter que des personnes intègres ne soient mêlées inutilement à des enquêtes policières, en particulier dans les cas où leurs adresses sont utilisées comme couverture ?
7. Combien coûte cette mesure ? En fin de compte, les fournisseurs d'accès ne répercutent-ils pas tout simplement sur leurs clients les frais inhérents à cette surveillance ?
8. La philosophie qui sous-tend cette mesure de surveillance ne témoigne-t-elle pas du fait que chaque individu est un criminel en puissance, et donc qu'il doit faire l'objet d'une surveillance préventive permanente ?
Stellungnahme des Bundesrates
L'obligation pour les fournisseurs d'accès à Internet de livrer sur requête certaines données aux autorités de poursuite pénale, découle de la loi fédérale sur la protection des données (LPD ; RS 235.1) et de la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1 ; art. 15 al. 3). L'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSC-PT ; RS 780.11) n'englobe que les dispositions d'exécution correspondantes. Qu'ils soient actifs dans le domaine des télécommunications (TSP) ou dans celui d'Internet (ISP), tous les fournisseurs d'accès sont concernés par l'obligation de garder à disposition certaines données.
En principe il faut distinguer entre les données que les fournisseurs conservent et celles qu'ils transmettent au Service des tâches spéciales (STS) où elles seront temporairement conservées. Selon le domaine concerné (TSP et ISP, voire STS), les paramètres (volume, contenu, utilisation visée et temps d'archivage des données) et les bases juridiques varient.
1. Le droit de conserver des données découle de la loi fédérale sur la protection des données (art. 4 LPD ; RS 235.1), de la loi sur les télécommunications (art. 43 LTC ; RS 784.10) et de la LSCPT. L'article 4 LPD stipule que les données personnelles ne peuvent être collectées que d'une manière licite, tandis que l'article 43 LTC assoit la légitimité de la conservation des données relevant de la correspondance par télécommunication. En effet, cet article stipule l'obligation d'observer le secret pour toutes les données étant (inévitablement) échangées par le biais des télécommunications, la seule exception étant légalement ancrée dans la LSCPT.
2. Il est vrai que chaque enregistrement de données crée aussi une possibilité d'accéder de manière non autorisée à ces données. Il appartient à celui qui crée et exploite une banque de données d'en empêcher l'accès non autorisé.
Sans mise en place et exploitation de banques de données, les télécommunications sont impossibles. Dans la mesure où les fournisseurs doivent créer des banques de données, ils sont également tenus au secret des télécommunications et s'engagent donc à protéger leurs données contre des accès non autorisés. De son côté, le STS a développé un concept de sécurité basé sur des mesures techniques et organisationnelles pour protéger contre les accès abusifs les données qui lui sont transmises, de cas en cas, par les fournisseurs.
A noter que les données concernées par la présente interpellation, plus spécifiquement, les données relatives aux communications (temps de connexion, numéros concernés, dates) sont de peu d'intérêt pour l'espionnage économique.
3. Ainsi que nous l'avons déjà mentionné, il incombe aux fournisseurs de protéger leurs banques de données contre des accès non autorisés. Concernant les données transmises au STS, il existe un concept de sécurité à deux volets (exploitation et organisation), dont, pour d'évidentes raisons, on ne saurait dévoiler le détail. Globalement, il comporte une protection technique du système (genre pare-feu) et des mesures de type organisationnel (concernant p. ex. la gestion des utilisateurs).
4. Nous savons que généralement les utilisateurs d'Internet achètent dans le commerce leurs logiciels de cryptage, plutôt que de les créer eux-mêmes. Il leur incombe donc, notamment lorsqu'ils utilisent le courrier électronique, de crypter les données ultrasensibles ou d'utiliser d'autres moyens pour les transmettre.
5. En matière de codage, la sécurité absolue n'existe pas, car chaque code peut être décrypté. La sécurité d'un logiciel de cryptage spécifique est principalement fonction de la puissance de l'ordinateur et du temps nécessaire pour le décrypter. Des études ont montré que régulièrement la cause d'un cryptage insuffisant n'était pas sa qualité, mais une mauvaise maîtrise de la technologique. En outre, très souvent, des données sont sensibles uniquement durant une certaine période ; à partir d'un moment donné, leur propriétaire les diffuse lui-même ou elles perdent en importance. De manière générale, il n'est donc pas nécessaire de garantir une protection absolue contre le décryptage, une protection relative étant suffisante.
6. La surveillance de la correspondance par télécommunication se limite toujours à une personne précise d'emblée suspectée ou à un raccordement spécifique que l'on peut attribuer à un suspect. Lors d'une telle surveillance, les données de télécommunication d'un honnête citoyen ne sont enregistrées que s'il est en communication avec un suspect ou qu'il utilise son raccordement.
La surveillance de la correspondance par télécommunication n'est qu'un outil parmi d'autres à disposition des autorités de poursuite pénale lors des enquêtes. Lors de la procédure d'enquête, on remarque vite quelles sont les données enregistrées uniquement par hasard du fait que l'honnête citoyen a été en contact avec un suspect, données qui n'ont donc aucune valeur pour la procédure pénale. Leur traitement est du reste clairement réglé dans la LSCPT. Il en va de même des adresses de couverture dont la fonction est à un moment ou à un autre découverte lors de l'instruction. Du reste, dans ce cas, l'usager dont l'adresse est mal utilisée a aussi intérêt à ce que l'abus soit détecté lors de la procédure pénale.
7. Les coûts de ces mesures englobent les frais d'investissement et d'exploitation du STS et des fournisseurs d'accès. Selon les dispositions légales, le STS, à l'image des autres services de l'administration, applique des tarifs d'émoluments qui lui permettent de couvrir ses coûts d'exploitation. Les fournisseurs d'accès doivent assumer eux-mêmes les frais d'investissement, et ils sont indemnisés de manière adéquate pour les prestations fournies de cas en cas.
Concernant les frais d'investissement du STS, on ne peut distinguer les frais liés à la surveillance du courrier électronique de ceux relatifs aux autres mesures de surveillance de la correspondance par télécommunication, puisqu'on utilise du matériel et des logiciels identiques. Actuellement, le STS est en train d'être réorganisé tant sur le plan technique que sur celui de l'exploitation. Les montants investis dans la nouvelle technologie sont de l'ordre de 7 à 10 millions de francs, répartis sur une période de 5 ans.
Afin de couvrir ses frais de fonctionnement, le STS se base sur un tarif d'émolument variant entre 20 et 200 francs selon la mesure appliquée dans le domaine de la surveillance du courrier électronique (cf. émoluments et indemnités, annexe de l'OSCPT).
Les frais d'investissement des fournisseurs d'accès dépendent de la taille et de la clientèle de leur entreprise et sont évalués entre 80 000 francs et 100 000 francs par fournisseur. L'indemnisation des différentes prestations se fait également selon le tarif susmentionné et varie entre 20 et 750 francs.
Quant à savoir dans quelle mesure un fournisseur fait supporter à sa clientèle les coûts non couverts par l'indemnité ou est en mesure de le faire, cela dépend avant tout de la situation du marché.
8. L'obligation de conserver différentes données accessoires relatives au courrier électronique découle de l'art. 15, al. 3, LSCPT et reprend par analogie la réglementation qui existe pour les fournisseurs d'autres services de télécommunication (p. ex. téléphonie). Les fournisseurs d'accès transmettent au STS les données relatives aux communications uniquement lorsqu'ils sont en possession d'une demande émanant d'une autorité de poursuite pénale et approuvée par un juge. Ces demandes concernent certains usagers des télécommunications, des raccordements définis et certaines données précisées par le législateur.
Si les fournisseurs d'accès conservaient ces données - qui dans leur majorité sont nécessaires à la facturation - uniquement sur demande, la surveillance de la correspondance par télécommunication s'avèrerait dans beaucoup de cas sans valeur pour les autorités de poursuite pénale. Quant à la protection des données, il en est tenu compte, étant donné que les données ne sont transmises aux autorités de poursuite pénale qu'une fois conclue la procédure d'autorisation susmentionnée et que le transfert rétroactif est limité aux six derniers mois. La transmission rétroactive se limite par ailleurs aux seules données accessoires (date, durée et raccordement en communication) et non au contenu des courriers électroniques.
Réponse du Conseil fédéral.