14.3379 · Interpellation · 2014-05-08
Département des finances
Liquidé
Wortlaut
Existe-t-il un risque que les États-Unis aient accès aux données des comptes bancaires suisses par les entreprises américaines ? Si le risque existe, la Confédération ne doit-elle pas imposer la sécurisation des sites suisses par des entreprises suisses appartenant à des entités suisses ?
Begründung
L'acharnement de la justice américaine contre les banques suisses soulève quelques questions sur la confidentialité des données des clients helvétiques, notamment pour les accès sur les sites d'e-banking. Il semble en effet techniquement possible que les États-Unis soient en possession de données confidentielles obtenues auprès d'entreprises américaines contraintes de donner des informations en lien avec le Patriot Act.
En théorie, le lien entre le client et sa banque est fiable : une autorité de certification est chargée d'attester que la communication entre le client et le serveur est bien cryptée par la société derrière le serveur. Mais en réalité, techniquement, le lien entre le client d'une banque et la banque peut être "corrompu" à plusieurs niveaux : le serveur, l'autorité de certification, les routeurs, les serveurs DNS, ou sur le client. Les États-Unis peuvent travailler sur plusieurs niveaux, notamment l'autorité de certification et les routeurs. Et dans le cas de nos grandes banques, les informations sont certifiées et passent entre autres par plusieurs entreprises américaines dont par exemple Veri Sign, Cisco et Juniper (voire Sercomm).
Veri Sign, par exemple, sécurise Credit Suisse et exploite une vaste infrastructure réseau comprenant notamment deux des treize serveurs racines du DNS. Or, aux États-Unis, la justice fédérale estime qu'une entreprise américaine doit fournir des données aux autorités (Patriot Act, 2001). La règle s'applique également si ces informations sont hébergées hors du territoire, y compris en Europe. Ce qui soulève trois questions :
1. La Suisse est-elle en mesure de protéger les données des clients et entreprises contre cette forme d'"espionnage officiel"?
2. Ne devrions-nous pas confier à des entreprises suisses appartenant à des entités suisses la sécurisation des adresses ".ch", comme Switch, notamment dans le cas de secteurs aussi sensible que la banque ?
3. Laisserions-nous d'autres pays gérer une partie de notre sécurité, notre armée, notre police ? Pourquoi acceptons-nous de le faire avec Internet ?
Stellungnahme des Bundesrates
Le Conseil fédéral est conscient que le Patriot Act 2001 exige des entreprises américaines qu'elles transmettent certaines informations aux services de renseignement américains. Cette loi s'applique également aux filiales étrangères de ces entreprises, le droit du pays de la maison mère primant systématiquement le droit en vigueur dans le pays où se trouve la filiale. Il est incontestable qu'une partie importante de l'infrastructure nécessaire à l'exploitation du World Wide Web (matériel informatique, composantes de logiciels, serveurs, routeurs, navigateurs, etc.) est créée, gérée et entretenue aux États-Unis.
1. Il est irréaliste de penser que l'on peut atteindre une protection absolue contre le cyberespionnage sur les systèmes interconnectés. Les entreprises suisses doivent protéger leurs données de manière adéquate. La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) soutient en outre les exploitants d'infrastructures d'importance vitale. Selon l'article 7 de la loi fédérale sur la protection des données (LPD), les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Les articles 8 et suivants et 20 et suivants de l'ordonnance relative à la loi fédérale sur la protection des données s'appliquent également. Lors de la transmission de données personnelles de la Suisse à l'étranger, les dispositions suisses en matière de protection des données (notamment l'art. 6 LPD concernant la communication transfrontière de données, mais aussi les principes généraux de protection de données selon la LPD) doivent être respectées. Selon l'art. 2, al. 2, let. c, LPD ne s'applique pas lorsque des autorités étrangères demandent la transmission de données dans le cadre de l'entraide judiciaire. Par ailleurs, en raison de l'évolution permanente de la technique et de la société, le Conseil fédéral a chargé le Département fédéral de justice et police d'examiner l'opportunité de renforcer la législation en matière de protection des données.
Sur le plan international, la Suisse est d'avis que tous les États parties au Pacte international relatif aux droits civils et politiques (Pacte ONU II) sont en principe tenus de respecter les dispositions de ce dernier (notamment l'art. 17), même s'il s'agit de tâches relevant de la souveraineté de l'État à l'étranger.
Si des données sont transmises de la Suisse à des services de renseignement étrangers ou acquises directement par ces derniers, il convient d'examiner l'applicabilité des dispositions pénales relevant du domaine informatique (par ex. art. 143 CP, soustraction des données ; art. 143bis CP, accès indu à un système informatique) ou de la sécurité de l'État (par ex. art. 271 CP, actes exécutés sans droit pour un État étranger). Il est en outre possible que s'appliquent diverses dispositions du droit pénal accessoire (par ex. art. 47 al. 1 let. a et b de la loi sur les banques concernant la violation du secret professionnel).
2. Les noms de domaine se terminant par ".ch" peuvent être utilisés aussi bien par des entreprises suisses que par des entreprises étrangères. La fondation Switch est chargée de gérer les domaines Internet finissant par ".ch" et elle peut, sous certaines conditions, bloquer un nom de domaine, conformément à l'art. 14fbis, al. 1, de l'ordonnance du 6 octobre 1997 sur les ressources d'adressage dans le domaine des télécommunications (RS 784.104)
3. Comme il convient de le rappeler, le matériel informatique et les logiciels qui servent à l'exploitation d'Internet provenant en grande partie de constructeurs américains, il n'est guère possible d'éviter que ces produits ne soient utilisés pour la construction et l'exploitation des infrastructures informatiques. Chaque entreprise doit décider si elle entend transmettre ses données par Internet et comment elle compte protéger ses données et infrastructures.
Le Conseil fédéral a pris le problème de la sécurité des données au sein de l'administration fédérale en considération dans le cadre de sa décision du 28 janvier 2014. À cette occasion, il a décidé de confier, dans la mesure du possible, la fourniture des prestations de transport de données en Suisse, lorsque celle-ci n'est pas assurée par l'administration elle-même, uniquement à des entreprises soumises exclusivement au droit suisse, détenues en majorité par des propriétaires suisses et fournissant toutes leurs prestations sur le territoire suisse. Par ailleurs, il a chargé le Service de renseignement de la Confédération de procéder à de nouvelles estimations de la menace et le Département fédéral des finances de préparer, en se fondant sur ces estimations, des principes concernant la fourniture de prestations informatiques.
Réponse du Conseil fédéral.