Lexipedia

Révision partielle de deux ordonnances sur la surveillance de la correspondance par poste et télécommunication (OSCPT, OME-SCPT)

Département fédéral de justice et police DFJP

Berne, 8. Janvier 2025

Révision partielle de deux ordonnances d’exécution de la loi sur la surveillance de la correspondance par poste et télécommunication (OSCPT, OME-SCPT)

Rapport explicatif relatif à l’ouverture de la procédure de consultation

ISC-EJPD-D-01D73401/74

Rapport explicatif

1 Contexte

1.1 Nécessité de la révision et objectifs visés

Modifié dans le cadre de la révision de la LTC du 22 mars 2019 1, l’art. 2 de la LSCPT2 comporte désormais un nouvel al. 2 3 prévoyant que le Conseil fédéral précise les catégories de personnes obligées de collaborer (POC). Le but est que les fournisseurs de prestations postales ou de télécommunication puissent être classés facilement dans différentes catégories de POC (cf. ch. 2) avec des obligations claires pour les entreprises concernées. Le Conseil fédéral doit en particulier préciser les catégories énumérées à l’art. 2, al. 1, let. b (fournisseurs de services de télécommunication ; FST), let. c (fournisseurs de services de communication dérivés ; FSCD) et let. e (personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers) LSCPT.

Les modifications de la LTC du 22 mars 2019 sont entrées en vigueur le 1er janvier 2021, à l’exception de l’art. 2, al. 1, let. b, et 2, LSCPT, ainsi que d’une autre disposition 4. Il est donc prévu que la nouvelle disposition mentionnée de la LSCPT entre en vigueur en même temps que la présente révision.

1 Loi du 30 avril 1997 sur les télécommunications (LTC ; RS 784.10)

2 Loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1).

3 Le nouvel art. 2 LSCPT est divisé en deux alinéas ; voir RO 2020 6159, 6180

4 Voir RO 2020 6159, 6177

La plupart des modifications concernent l’OSCPT 5, tandis que des adaptations mineures sont apportées à l’OME-SCPT 6 et à l’OST-SCPT 7 (cf. ch. 2.1 in fine et ch. 2.2).

Les obligations des FSCD en matière de fourniture de renseignement sont réglées dans l’OSCPT. Il n’existe aujourd’hui, concernant ces obligations, que deux sous- catégories de FSCD (le passage en catégorie supérieure, ou upgrade, s’accompagnant d’obligations supplémentaires). Lorsqu’un FSCD passe dans la catégorie supérieure (FSCD ayant des obligations étendues en matière de fourniture de renseignements, actuel art. 22 OSCPT), il se voit imposer d’un coup toutes les obligations d’un FST ayant des obligations complètes. Le projet proposé ici prévoit désormais non plus deux, mais trois sous-catégories de FSCD. Les critères dictant le passage d’une catégorie à l’autre peuvent ainsi être affinés. Cette solution permet une gradation plus équilibrée et plus conforme au principe de proportionnalité des obligations des différentes sous-catégories de FSCD.

À sa séance du 18 octobre 2023, le Conseil fédéral a adopté le rapport « Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Garantir le principe de proportionnalité » 8 rédigé en réponse au postulat Vitali Albert 19.4031 9. Tout en concluant que la LSCPT prend suffisamment en compte les intérêts des PME, le Conseil fédéral estime dans ce rapport que des améliorations peuvent être apportées à l’OSCPT concernant les définitions des catégories de POC, en particulier celles des FST et des FSCD, afin de permettre aux fournisseurs de comprendre facilement de laquelle de ces catégories ils relèvent.

1.2 Solutions étudiées et solution retenue

Les premiers travaux de mise en œuvre du nouvel art. 2, al. 2, LSCPT ont commencé immédiatement après l’adoption de la loi par le Parlement le 22 mars 2019. Il était à l’origine prévu de définir les FST en s’appuyant sur la notion de service de

5 Ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication (OSCPT, RS 780.11) 6 Ordonnance du DFJP du 15 novembre 2017 sur la mise en œuvre de la surveillance de la correspondance par poste et télécommunication (OME-SCPT ; RS 780.117) 7 Ordonnance du 15 novembre 2017 sur le système de traitement pour la surveillance de la correspondance par poste et télécommunication (OST-SCPT, RS 780.12). La modification de l’art. 2, al. 1, OST-SCPT est intégrée dans la révision de l’OSCPT (ch. III) 8 Voir communiqué de presse du 18 octobre 2023 « Surveillance des télécommunications : vers une simplification des catégories des entreprises obligées de collaborer ». 9 Postulat 19.4031 Vitali Albert : www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20194031

télécommunication utilisée dans la législation sur les télécommunications (LTC). Le 29 avril 2021, dans son arrêt « Threema » (2C_544/2020), le Tribunal fédéral a cependant développé des considérations sur la manière dont sont définis les FST et les FSCD dans la LSCPT. Cet arrêt a d’abord eu pour conséquence d’amener le Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) à modifier sa pratique. Il a aussi nécessité de revoir les premiers projets de définition des FST dans le droit de la surveillance pour s’écarter de la notion de service de télécommunication telle que la définit le droit des télécommunications (voir ci- dessous ch. 3.1, « Introduction relative aux art. 16a-16h »).

Afin de ne pas retarder davantage l’adaptation des ordonnances d’exécution de la LSCPT aux progrès technologiques, devenue entre-temps urgente, il a été décidé à l'été 2021 de mettre en œuvre la révision en deux étapes. La première révision de ces ordonnances a été adoptée le 15 novembre 2023. Il s’agissait principalement d’adaptations techniques de l’OSCPT visant à intégrer de nouvelles technologies telles que l’IP Multimedia Subsystem (IMS) et la 5G. Cette révision est entrée en vigueur le 1er janvier 2024.

1.3 Relation avec le programme de la législature et avec le plan financier, ainsi qu'avec les stratégies du Conseil fédéral L’objet (message concernant la première étape de la révision de la LTC, introduisant le nouvel art. 2, al. 2, LSCPT 10) sur lequel ce projet s’appuie était annoncé dans le message du 27 janvier 2016 sur le programme de la législature 2015 à 2019 11.

Le présent projet ne figure ni dans le message du 24 janvier 2024 12, ni dans l’arrêté fédéral du 6 juin 2024 sur le programme de la législature 2023 à 2027 13.

Cette modification des dispositions d’exécution de la LSCPT relatives au champ d’application s’impose néanmoins parce qu’elle répond au mandat légal donné par l’art. 2, al. 2, LSCPT14. Elle répond aussi, d’autre part, à la demande des fournisseurs de services de télécommunication qui souhaitent davantage de clarté sur les catégories dans lesquelles ils sont classés et sur les obligations qui en découlent. Au niveau politique

10 RO 2020 6159, 6180

11 FF 2016 981, ici 1088, 1090, 1100

12 FF 2024 525

13 FF 2024 1440

14 RO 2020 6159, 6180

aussi, plusieurs interventions parlementaires 15 ont été déposées qui demandent une adaptation de la pratique du Service SCPT et sont susceptibles d’entraîner une modification de l’OSCPT.

2 Grandes lignes du projet

2.1 Modifications apportées à l'OSCPT

La présente révision partielle de l’OSCPT précise les catégories de POC suivantes : - les FST (art. 2, al. 1, let. b, LSCPT 16 ; art. 1, al. 2, let. i, OSCPT) dans le nouvel art. 16a OSCPT ; - les FSCD (art. 2, al. 1, let. c, LSCPT ; art. 1, al. 2, let. j, OSCPT) dans le nouvel art. 16d OSCPT ; - les personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers (art. 2, al. 1, let. e, LSCPT ; art. 1, al. 2, let. l, OSCPT) dans le nouvel art. 16h OSCPT.

La formulation du nouvel art. 2, al. 2, LSCPT permettrait aussi au Conseil fédéral de préciser les autres catégories de POC que sont les exploitants de réseaux de télécommunication internes (art. 2, al. 1, let. d, LSCPT) et les revendeurs professionnels (art. 2, al. 1, let. f, LSCPT). Il n’est cependant pas nécessaire de préciser ces catégories qui ne posent guère de problèmes dans la pratique. En parallèle des nouvelles définitions des FST, des FSCD et de leurs sous-catégories respectives, ainsi que des personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers, dans les art. 16a à 16h OSCPT, une adaptation est proposée des critères qui déterminent le passage dans une sous-catégorie avec des obligations plus étendues (upgrade) ou moins étendues (downgrade). La catégorie des FSCD comptera désormais trois sous-catégories, contre deux pour les FST, comme aujourd’hui. Les obligations, concernant entre autres la disponibilité des données, seront donc modifiées et mieux réparties entre les différentes catégories et sous-catégories de POC. Elles seront ainsi échelonnées de manière plus équilibrée et plus conforme au principe de proportionnalité (voir ch. 5.1). Dans le cadre de cette révision, trois types de renseignements et deux types de surveillance sont créés à la demande des autorités de poursuite pénale. Cela afin, d'une part, de standardiser certains renseignements et surveillances rétroactives aux fins d'identification des utilisateurs, auparavant traités commes des surveillances et des

15 Cf. l’avis du Conseil fédéral du 22.05.2019 sur l’interpellation 19.3267 Beat Flach, la réponse du Conseil fédéral du 11.06.2019 à la question 19.5273 Beat Flach et le rapport du Conseil fédéral du 18.10.2023 en exécution du postulat 19.4031 Vitali Albert

16 Le nouvel art. 2 LSCPT est divisé en deux alinéas ; voir RO 2020 6159, 6180

renseignements spéciaux, et, d'autre part, de créer la possibilité de ne surveiller qu'une partie des données de contenu lors de surveillances en temps réel :

- type de renseignements IR_58_IP_INTERSECT : identification des utilisateurs par formation d’intersections (art. 38a OSCPT) ; - type de renseignements IR_59_EMAIL_LAST : renseignements sur le dernier accès à un service de courrier électronique (art. 42a OSCPT) ; - type de renseignements IR_60_COM_LAST : renseignements sur le dernier accès à un autre service de télécommunication ou service de communication dérivé (art. 43a OSCPT) ; - type de surveillance RT_61_NA_CC-TRUNC_IRI : surveillance en temps réel de données secondaires et du contenu tronqué de services d’accès au réseau (art. 55a OSCPT) ; - Type de surveillance HD_62_IP : surveillance rétroactive aux fins de l’identification des usagers de connexions à l’internet (art. 60a OSCPT).

Enfin des modifications ponctuelles sont faites dans d’autres dispositions.

Pour tenir compte des nouvelles dénominations des catégories de FST et de FSCD dans l’OSCPT, l’art. 2, al. 1, OST-SCPT doit être adapté sur le plan rédactionnel.

2.2 Modifications apportées à l’OME-SCPT

Avec l’introduction dans l’OSCPT des types de renseignements mentionnés ci-dessus, il convient d’adapter l’art. 14 de l’OME-SCPT, qui règle les délais pour la fourniture des renseignements.

Des modifications rédactionnelles sont par ailleurs proposées pour les art. 5, al. 1, et 20, al. 1 et 2, OME-SCPT.

2.3 Questions relatives à la mise en œuvre

Calendrier

Avec les délais transitoires prévus à l’art. 74c OSCPT (de six à douze mois), les POC auront suffisamment de temps pour se préparer à la mise en œuvre des nouveaux types de renseignements et de surveillance. La date d’entrée en vigueur sera fixée de manière à laisser également à la Confédération et aux cantons le temps nécessaire pour s’y préparer. Pour le reste, on se référera aux conséquences exposées au ch. 4.

Examen de l’applicabilité dans le cadre de la procédure législative

Le comité de l’organe consultatif en matière de surveillance de la correspondance par poste et télécommunication (voir art. 6 ss OOC-SCPT 17) a constitué, le 2 mars 2023, un groupe d’accompagnement des projets législatifs. Ce groupe réunit divers représentants d’organisations des POC (asut 18), des autorités de poursuite pénale (CMP 19, CCDJP 20, CCPCS 21 et fedpol) ainsi que des représentants du SRC 22. Le groupe d'accompagnement a examiné à plusieurs reprises le présent projet, y compris sous l'angle de son applicabilité.

Évaluation prévue de l'exécution

Après l’entrée en vigueur, les questions et les problèmes opérationnels en lien avec les nouvelles dispositions du présent projet, en particulier concernant la mise en œuvre des nouveaux types de renseignements et de surveillance, seront traités dans le cadre de l’organe spécialisé suisse dans le domaine de la surveillance des télécommunications23. Pour le reste, le Service SCPT est chargé des tâches liées à l’exécution (art. 16 et 17 LSCPT, not. art. 16, let. d, h, i et j, art. 17, let. d, e et f).

3 Commentaire des dispositions

3.1 OSCPT

I. OSCPT Art. 11, al. 1, phrase introductive et let. a, al. 4 Dans la phrase introductive de l’al. 1, le passage « les FST, à l’exception de ceux ayant des obligations restreintes en matière de surveillance (art. 51), et les FSCD ayant des obligations étendues en matière de surveillance (art. 52) » est remplacé par la formule plus courte « les fournisseurs ayant des obligations complètes » (voir aussi plus bas

17 Ordonnance du DFJP du 15 novembre 2017 sur l’organe consultatif en matière de surveillance de la correspondance par poste et télécommunication (OOC-SCPT ; RS 780.112)

18 Association suisse des télécommunications (asut)

19 Conférence suisse des Ministères publics (CMP)

20 Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP)

21 Conférence des commandantes et des commandants des polices cantonales de Suisse (CCPCS)

22 Service de renseignement de la Confédération (SRC)

23 Organe spécialisé Surveillance des télécommunications (OP Surveillance)

« Introduction aux art. 16a à 16h »). Les « fournisseurs ayant des obligations complètes » sont les FST ayant des obligations complètes (art. 16c) et les FSCD ayant des obligations complètes (art. 16g). Les fournisseurs de services postaux (art. 1, al. 2, let. h) ne sont pas concernés. Sur le fond, la réglementation ne change pas.

La let. a est modifiée pour y intégrer les nouveaux types de renseignements des art. 42a (IR_59_EMAIL_LAST) et 43a (IR_60_COM_LAST). Pour le nouveau type de renseignements introduit par l’art. 38a (IR_58_IP_INTERSECT), un service de piquet n’est pas obligatoire. Une POC peut toutefois choisir de le proposer. Le Service SCPT peut alors profiter de ce service de piquet pour transmettre l’ordre et, le cas échéant, la réponse à l’autorité qui a demandé le renseignement.

À l’al. 4, les désignations des sous-catégories de FSCD sont adaptées et le texte s’en trouve raccourci par le recours à la nouvelle formule « fournisseurs ayant des obligations restreintes », qui inclut les FST ayant des obligations restreintes (art. 16b) et les FSCD ayant des obligations restreintes (art. 16f). Pour des raisons de proportionnalité, les FSCD ayant des obligations minimales (art. 16e), c’est-à-dire ceux qui ne se sont vu imposer aucune obligation supplémentaire, ne devront désormais fournir les coordonnées de leur service de piquet, pour peu qu’ils en aient un, que sur demande du Service SCPT. Les FSCD de cette catégorie n’ont ni une grande importance économique, ni un grand nombre d’utilisateurs, de sorte qu’ils ne sont que rarement concernés par des mesures de surveillance. Cette communication « sur demande » s’appliquera également à d’autres catégories de POC qui disposeraient déjà d’un service de piquet, par exemple un exploitant de réseaux de télécommunication internes. Le reste de la disposition est inchangé.

Titre précédant l’art. 16 Compte tenu du nouveau bloc des art. 16a à 16h contenant les définitions, une nouvelle section intitulée « Catégories de personnes obligées de collaborer » est ajoutée après le titre « Chapitre 3 Correspondance par télécommunication » qui suit l’art. 16. L’ancienne section 1 est renommée 1a (voir ci-dessous « Titre précédant l’art. 17 »).

Introduction sur les art. 16a à 16h Toutes les dispositions relatives aux catégories et sous-catégories de POC sont regroupées dans une nouvelle section 1 « Catégories de personnes obligées de collaborer » (art. 16a à 16h), placée au début du chapitre 3 « Correspondance par télécommunication », d’abord parce qu’elles ne concernent que la correspondance par télécommunication, et ensuite parce qu’elles sont de nature fondamentale.

Jusqu’à présent, les termes de service de télécommunication et de fournisseur de services de télécommunication utilisés dans la LSCPT et ses ordonnances d’exécution se référaient aux définitions de la LTC. Selon cette loi, les services de messagerie tels que WhatsApp, Signal ou Threema sont des services de télécommunication, alors que la LSCPT les classe dans la catégorie particulière des services de communication dérivés. Il a donc été décidé, dans le cadre de la révision de la LTC du 22 mars 2019 de supprimer, dans l’art. 2, let. b, LSCPT, la référence à l’art. 3, let. b, LTC. On évite ainsi toute confusion entre les notions de service de télécommunication selon la LSCPT et selon la

LTC. Dans la législation sur les télécommunications, la notion englobe en particulier les services hors offres du fournisseur d’accès à internet, dit aussi services over the top (services OTT), qui, dans le message sur la LSCPT, sont considérés dans la plupart des cas comme des services de communication dérivés. Par ailleurs, une norme de délégation a été créée dans l’art. 2, al. 2, LSCPT chargeant le Conseil fédéral de préciser les catégories de POC. Cette norme est mise en œuvre dans les nouveaux art. 16a à 16h. Le 29 avril 2021, dans son arrêt « Threema » (2C_544/2020), le Tribunal fédéral a développé des considérations sur la manière dont sont définis les FST et les FSCD dans la LSCPT. Le présent projet tient compte de ces considérations.

Le droit de la surveillance des télécommunications doit se fonder sur les aspects techniques. Les FST et les FSCD ont en commun d’offrir des services pour des tiers. Les services directs d’accès au réseau pour des tiers sont toujours fournis par des FST. Pour les services indirects d’accès au réseau et les services de communication, une distinction est faite selon que ces services sont fournis avec l’accès au réseau (FST) ou indépendamment de celui-ci (FSCD).

La caractéristique fondamentale d’un FST reste la transmission d’informations sur des lignes ou par ondes hertziennes au moyen de techniques de télécommunication. Le point déterminant est de savoir qui propose le service et qui assume la responsabilité de la transmission des informations par des techniques de télécommunication.

À la différence des FST, les FSCD n’assument pas cette responsabilité et n’assurent pas eux-mêmes la transmission : ils s’appuient toujours sur un FST à cette fin. Cela signifie que le service de communication dérivé fonctionne toujours de manière totalement indépendante du service d’accès au réseau et que le client doit avoir deux contrats (le premier pour l’accès à l’internet et le second pour le service de communication dérivé).

Pour déterminer si une personne 24 entre dans le champ d’application de la LSCPT, et si oui, dans quelle catégorie de POC elle se trouve, il faut examiner de manière différenciée les services qu’elle fournit. Une même personne peut, selon les services 25 qu’elle propose, se trouver simultanément dans plusieurs catégories de POC selon l’art. 2 LSCPT. Les obligations de collaborer qui sont alors les siennes au titre de chacune de ces catégories valent pour les services qui justifient l’appartenance à la catégorie en question. Une personne peut donc avoir des obligations différentes pour ses différents services (par ex. service de télécommunication, service de communication dérivé) 26. Elle ne peut toutefois pas faire partie de plusieurs catégories de POC pour un seul et même

24 Une personne physique ou un organisme, peu importe que celui-ci revête la qualité de personne morale ou non, ou qu’il soit étatique ou non (FF 2013 2402)

25 Correspond à l’activité (FF 2013 2402)

26 FF 2013 2402

service. Les services fournis par les FST (art. 16a) et les FSCD (art. 16d) peuvent être réunis dans le terme générique de services de communication.

Il s’agit plus précisément de services permettant une communication au moyen de techniques de télécommunication. Un point commun des FST et des FSCD est le fait de fournir un service de communication pour des tiers (voir aussi annexe de l’OSCPT « Définitions et abréviations », n° 1). Cette fourniture comporte deux aspects, l’un économique et l’autre technique. Du point de vue économique, toute fourniture d’un service repose sur un contrat. Du point de vue technique, la fourniture d’un service nécessite une certaine infrastructure, qui peut aussi être virtuelle ou louée.

Au niveau technique, on peut opérer une distinction entre les services selon qu’ils sont fournis avec l’accès au réseau (par ex. accès à l’internet) ou indépendamment de celui- ci, pour ce que l’on appelle les services fondés sur l’internet ou services over the top (OTT). Les fournisseurs de services OTT entrent en majorité dans le champ d’application de la LSCPT, pour la plupart en tant que FSCD et dans certains cas en tant que FST. Une partie des services OTT n’entrent cependant pas dans le champ d’application de la LSCPT, soit parce qu’ils n’incluent pas une fonction de communication pour des tiers (par ex. achats en ligne), soit parce qu’ils ne visent qu’à transmettre des informations destinées au public (par ex. médias de masse électroniques, services publics de diffusion vidéo en continu [streaming], plateformes publiques de partage de vidéos).

La nature du service fourni et sa mise en œuvre technique déterminent si un fournisseur de services OTT relève de l’une des catégories de POC et, dans l’affirmative, de laquelle.

Vue d’ensemble des catégories et sous-catégories de POC définies dans le présent projet

Les catégories FST et FSCD sont désormais subdivisées en deux sous-catégories pour les FST (comme aujourd’hui) et en trois sous-catégories (une de plus qu’actuellement) pour les FSCD : 1. Catégorie des FST (art. 2, al. 2, let. b, LSCPT) : définition dans le nouvel art. 16a. 1.1. Sous-catégorie des FST ayant des obligations restreintes (art. 26, al. 6, LSCPT) : correspond à l’actuelle sous-catégorie des « FST ayant des obligations restreintes en matière de surveillance ». Les critères et les valeurs qui permettent d’être classé dans cette sous-catégorie (dispense de certaines obligations) ainsi que la procédure à suivre sont réglés dans le nouvel art. 16b. 1.2. Sous-catégorie des FST ayant des obligations complètes (art. 2, al. 2, let. b, LSCPT) : cette sous-catégorie existe déjà de facto, mais elle est désormais explicitement nommée, ce qui permet de simplifier certaines formulations. La procédure de réintégration dans cette sous-catégorie (suppression de la dispense de certaines obligations) est réglée dans le nouvel art. 16c. 2. Catégorie des FSCD (art. 2, al. 2, let. c, LSCPT) : définition dans le nouvel art. 16d. 2.1. Sous-catégorie des FSCD ayant des obligations minimales (art. 2, al. 2, let. c, LSCPT) : statut par défaut des FSCD. Les critères et les valeurs sont définis dans le nouvel art. 16e.

2.2. Sous-catégorie des FSCD ayant des obligations restreintes (art. 2, al. 2, let. c, art. 22, al. 4 et art. 27, al. 3, LSCPT) : premier palier (imposition d’obligations supplémentaires) pour les FSCD. Les critères et les valeurs, ainsi que la procédure pour le passage dans cette sous-catégorie et le retour dans la sous- catégorie par défaut (suppression des obligations supplémentaires) sont réglés dans le nouvel art. 16f. 2.3. Sous-catégorie des FSCD ayant des obligations complètes (art. 2, al. 2, let. c, art. 22, al. 4 et art. 27, al. 3, LSCPT) : deuxième palier (imposition de toutes les obligations) pour les FSCD. Les critères et les valeurs, ainsi que la procédure pour le passage dans la sous-catégorie supérieure ou le retour vers la sous- catégorie inférieure sont réglés dans le nouvel art. 16g. Le projet définit également une autre catégorie de POC :

3. Catégorie des personnes qui mettent leur accès à un réseau public de

télécommunication à la disposition de tiers (art. 2, al. 1, let. e, LSCPT) : la définition, ainsi que les critères et les valeurs permettant de déterminer qu’un accès public au réseau WLAN est exploité à titre professionnel se trouvent dans le nouvel art. 16h. Dans la LSCPT, les obligations en matière de renseignements et de surveillance sont traitées séparément. L’actuelle OSCPT est structurée de la même manière. D'un point de vue pratique, il est toutefois préférable de considérer l’étendue des obligations de coopérer dans son ensemble et d’avoir une gradation simple entre les différentes sous- catégories. La loi définit la situation initiale pour la catégorie des FST et celle des FSCD. Les FST ont par défaut des obligations complètes (voir art. 26, al. 6, LSCPT). Dans les dispositions d’exécution de l’OSCPT, le Conseil fédéral prévoit qu’ils peuvent, sur demande et moyennant le respect des conditions prévues à l’art. 16b OSCPT, être rétrogradés dans une sous-catégorie inférieure par une déclaration du Service SCPT. Pour les FSCD, la situation est exactement inversée (voir. art. 27, al. 3, LSCPT) : par défaut, un FSCD n’a que des obligations minimales (art. 16e). Lorsqu’il remplit les conditions de l’art. 16f, al. 1, il se voit automatiquement imposer des obligations supplémentaires, désignées comme « restreintes » par analogie avec les FST. Lorsqu’il remplit les conditions prévues à l’art. 16g, un FSCD doit en informer le Service SCPT. Il passe alors dans la sous-catégorie des FSCD ayant des obligations complètes. Le passage dans une sous-catégorie supérieure (upgrade) ou inférieure (downgrade) se fait conformément au schéma ci-dessous (voir aussi le commentaire des dispositions pertinentes) :

Vue d’ensemble des obligations de collaborer des FST et des FSCD

Concernant la fourniture de renseignements et les surveillances, les obligations respectives des sous-catégories de FST et de FSCD – et de la catégorie des personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers – peuvent être résumées comme suit : - Les FST ayant des obligations restreintes (art. 16b) ont à peu près les mêmes obligations que les FSCD ayant des obligations restreintes (art. 16f ; voir le commentaire de ces articles). Ils sont en particulier soumis aux obligations de base en matière de renseignements et d’identification, incluant la conservation des données clients. - Les FST ayant des obligations complètes (art. 16c) ont à peu près les mêmes obligations que les FSCD ayant des obligations complètes (art. 16g, voir le commentaire de ces articles). Ils sont en particulier soumis à toutes les obligations en matière de renseignements et d’identification, à l’obligation de fournir certains renseignements de manière automatisée, aux obligations en matière de surveillance, à l’obligation de conserver les données secondaires pendant six mois et à l’obligation d’assurer un service de piquet. - Les FSCD ayant des obligations minimales doivent simplement tolérer l’exécution de mesures de surveillance mais n’ont pas eux-mêmes d’obligations en matière de renseignements ou de surveillance. Ils n’ont pas d’obligations en matière d’identification et ne doivent livrer, par écrit, que les renseignements dont ils disposent (art. 22, al. 3, LSCPT), sans devoir respecter les types de

renseignements définis dans l’OSCPT. Ils doivent en particulier tolérer une surveillance exécutée par le Service SCPT ou par les personnes mandatées par celui-ci et, à cet effet, garantir immédiatement l’accès à leurs installations et fournir les renseignements nécessaires à l’exécution de la surveillance, ainsi que, sur demande, les données secondaires de télécommunication dont ils disposent (art. 27, al. 1 et 2, LSCPT). Il en va de même pour les personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers (art. 29 LSCPT).

Art. 16a FST Cet article introduit dans l’ordonnance une définition de la catégorie des FST. Jusqu’à présent, le terme de FST en droit de la surveillance des télécommunications s’appuie sur la définition du service de télécommunication en droit des télécommunications (renvoi à l’art. 3, let. b, LTC dans l’art. 2, let. b, LSCPT). Ce renvoi disparaîtra au moment de l’entrée en vigueur de la présente révision de l’OSCPT. La nouvelle définition du terme FST dans le droit de la surveillance ne correspond plus à celle qui est utilisée dans le droit des télécommunications. Une particularité de la LSCPT est qu’elle consacre l’existence d’une catégorie très proche des FST, celle des FSCD. Les deux catégories ont en commun la fourniture de services de communication pour des tiers. Les FST et les FSCD se distinguent cependant par la manière dont ils fournissent ces services et par la responsabilité qu’ils assument ou non concernant la transmission des informations au moyen de techniques de télécommunication. Pour les distinguer plus facilement des FSCD, des caractéristiques concrètes sont introduites dans la définition des FST. Les services directs d’accès au réseau sont toujours fournis par des FST. Pour les services indirects d’accès au réseau et les services de communication, une distinction est faite selon que ces services sont fournis avec l’accès au réseau ou de manière dépendante de celui-ci (FST), ou au contraire de manière indépendante de celui-ci (FSCD).

De manière générale, lorsqu’un fournisseur propose plusieurs services différents, chacun d’entre eux est examiné séparément pour déterminer de quelle catégorie de POC le fournisseur relève. Il est donc possible qu’un même fournisseur soit considéré comme un FST pour certains de ses services et comme un FSCD pour d’autres.

La caractéristique fondamentale d’un FST reste la transmission pour des tiers d’informations sur des lignes ou par ondes hertziennes d’informations au moyen de techniques de télécommunication. Le FST ne doit pas forcément assurer lui-même la transmission physique des informations par des moyens de télécommunication. Les termes exploiter et fournir signifient dans cette ordonnance que le fournisseur assume à l’égard de ses clients la responsabilité de la transmission des informations par des techniques de télécommunication. Il peut cependant déléguer la transmission, par exemple dans le cadre d’une externalisation, d’un accord d’itinérance, d’un mandat à un tiers, d’un droit particulier d’utilisation d’une infrastructure (par ex. sur la base d’un contrat de location ou d’un contrat assimilable à un contrat de location et portant sur une utilisation partagée d’éléments de réseau) ou d’un achat de prestations. Le point déterminant est de savoir qui propose le service et assume la responsabilité de la transmission des informations par des techniques de télécommunication.

Selon l’al. 1, let. a, l’exploitation d’un réseau public de télécommunication est un service de télécommunication. Il s’agit notamment des réseaux publics de télécommunication pour la transmission de la voix en temps réel et la communication de données. Sont également inclus dans cette définition les fournisseurs de transit qui ne proposent pas eux-mêmes des services pour des clients finaux. Les réseaux publics de télécommunication sont l’opposé des réseaux de télécommunication internes (art. 1, al. 2, let. k). Les caractéristiques d’un réseau de télécommunication public sont l’accès pour un cercle de personnes en principe indéterminé et la communication au moyen de ressources d'adressage publiques.

Selon la let. b, est aussi un service de télécommunication la fourniture pour des tiers d’un service d’accès direct à un réseau de télécommunications public (en particulier à l’internet). Sont ici visés tous les fournisseurs d’un accès direct à l’internet (service d’accès direct), ce qu’on appelait précédemment une « connexion à l’internet ». Si l’accès est indirect mais néanmoins d’une source unique du point de vue du client, c’est-à-dire que tout est inclus dans un seul et même contrat (service d’accès indirect, par ex. via une offre de gros d’un autre FST) – comme le Broadband Connectivity Service (BBCS) – cet accès indirect est également considéré comme un service de télécommunication.

Les services de communication mobile (let. c) sont également des services de télécommunication. Sont visés ici par exemple les opérateurs de réseaux mobiles et les opérateurs de réseaux mobiles virtuels.

Sont aussi des services de télécommunication les services téléphoniques publics fournis avec l’accès au réseau (let. d), par exemple un service de téléphonie VoIP couplé à un accès à l’internet. Un service téléphonique public est un service de télécommunication permettant de transmettre la parole en temps réel au moyen d’une ou de plusieurs ressources d’adressage prévues à cet effet dans le cadre d’un plan de numérotation national ou international (art. 3, let. cbis, LTC). La formulation « avec l’accès au réseau » ne doit pas être comprise uniquement au sens étroit d’une offre combinée, mais également au sens plus large d’un lien entre le service de téléphonie et l’accès au réseau. On entend par là si le service de téléphonie est différent selon qu’il est utilisé avec l’accès à l’internet fourni par le même opérateur (c’est-à-dire le fournisseur du service de téléphonie) ou avec un accès d’un autre opérateur ; par exemple a-t-il plus de fonctions, ou des tarifs préférentiels.

On rappellera ici que la manière de considérer un fournisseur dépend toujours des services qu’il offre. L’exemple qui précède ne sert qu’à illustrer la manière dont doit être classé le fournisseur d’un service téléphonique public. Le fournisseur d’un service « accès au réseau pour des tiers » (accès à l’internet) est toujours un FST. Le fournisseur d’un service téléphonique public est considéré comme un FST s’il existe un lien entre le service téléphonique et l’accès au réseau (let. d) ; en l’absence d’un tel lien, il est considéré comme un FSCD (art. 16d, al. 1)

Comme dans le droit des télécommunications, l’al. 2 définit quelques exceptions à la qualification de FST. La première (« qui sont destinées au grand public » ; let. a) concerne les médias de masse (par ex. programmes de télévision ou de radio, télévision par câble, services de diffusion en flux ou streaming). Ces services ne sont pas pertinents

pour la surveillance des télécommunications puisqu’ils ne sont pas concernés par le secret des télécommunications et qu’il n’est donc pas nécessaire de les surveiller.

Les let. b, c et d excluent, comme le fait le droit des télécommunications, la transmission d’informations par des techniques de télécommunication à l’intérieur d’une zone restreinte (let. b), au sein d’une entreprise (let. c) ou entre des corporations de droit public ou au sein de celles-ci (let. d). Les fournisseurs des services visés au let. b à d sont des exploitants de réseaux de télécommunication internes (art. 1, al. 2, let. k), tout comme les personnes qui transmettent des informations au moyen de techniques de télécommunication non pour des tiers, mais par exemple pour le personnel de leur entreprise. Comme à présent, deux sous-catégories de FST sont prévues qui se distinguent par le niveau de leurs obligations : les FST ayant des obligations restreintes (art. 16b), correspondant aux actuels FST ayant des obligations restreintes en matière de surveillance (actuel art. 51), et les FST ayant des obligations complètes (art. 16c), qui n’ont actuellement pas de dénomination propre et sont désignés par la formule quelque peu alambiquée des « FST, à l’exception de ceux qui ont des obligations restreintes en matière de surveillance ». Exemples de services de télécommunication : - exploitation de réseaux publics de télécommunication, y compris infrastructures de réseau virtuelles (al. 1, let. a) ; - accès direct (par ex. accès fixe ou mobile à l’internet) ou indirect, du point de vue du client dans un seul contrat (par ex. BBCS), à un réseau public de télécommunication (al. 1, let. b) ; - services de communication mobile (al. 1, let. c, standardisés par le 3GPP 27), y compris l’exploitation virtuelle (Mobile Virtual Network Operator, MVNO) ; - fourniture de services de téléphonie et multimédia destinés à des tiers, y compris services de téléphonie et multimédia basés sur l’internet et services de communication publics auxquels des ressources d’adressage ont été attribuées par l’OFCOM ou qui nécessitent une concession de radiocommunication, dans la mesure où ils sont fournis, du point de vue du client, avec l’accès au réseau (al. 1, let. d). L’al. 2 énumère les services qui ne sont pas des services de télécommunication et dont les fournisseurs sont à ce titre exclus de la catégorie des FST. Cette exclusion est justifiée par le peu d’intérêt que présentent ces services pour la surveillance des télécommunications. Il s’agit par exemple des médias électroniques publics, de la mise à disposition et de la transmission de programmes de radio et de télévision publics, du streaming audio et vidéo public ou des portails vidéo publics (d’autres exemples sont mentionnés dans le commentaire de l’art. 16d, al. 2).

27 Le 3GPP (3rd Generation Partnership Project) est une coopération à l’échelle mondiale d’organismes de normalisation des technologies de téléphonie mobile.

Art. 16b FST ayant des obligations restreintes Comme avec l’actuel art. 51 OSCPT, une exemption de certaines obligations, comme l’art. 26, al. 6, LSCPT en prévoit la possibilité, ne sera accordée que sur demande du FST qui le souhaite. Par défaut, et sans intervention de sa part, un FST au sens de la LSCPT a des obligations complètes (art. 16c).

Les FST qui remplissent les conditions énoncées à l’al. 1 peuvent, comme aujourd’hui, présenter une demande de dispense via l’extranet du Service SCPT, de manière simple et non bureaucratique. Lorsqu’un ordre de surveillance est adressé à un FST qui remplit manifestement les conditions qui lui permettraient de n’avoir que des obligations restreintes, mais qui a négligé d’en faire la demande, le FST en question devrait en principe exécuter l’ordre ou, s’il n’est pas en mesure de le faire, en assumer les coûts (art. 34, al. 1, LSCPT). Dans un tel cas, le service SCPT se montre pragmatique et permet au FST de demander immédiatement une dispense et, dans la mesure du possible, lui donne confirmation le jour même. À ce jour, la disposition permettant de mettre les coûts d’une surveillance à la charge d’un FST qui manque à son obligation de collaborer n’a encore jamais été utilisée.

La désignation de cette catégorie est simplifiée en FST ayant des obligations restreintes (actuel art. 51 : FST ayant des obligations restreintes en matière de surveillance), car la dispense ne concerne pas que des obligations de surveillance. L’al. 1 énumère les conditions permettant de passer dans cette catégorie.

La let. a (services de télécommunication uniquement dans le domaine de la recherche et de l’éducation) correspond à l’actuel art. 51, al. 1, let. a et reste donc matériellement inchangé.

La let. b, ch. 1 (mandats de surveillance portant sur dix cibles différentes au cours des douze derniers mois) correspond à l’actuel art. 51, al. 1, let. b, ch. 1, mais il est désormais précisé qu’aucune distinction n’est faite, pour le décompte des mandats, entre les services de télécommunication et les services de communication dérivés, autrement dit les catégories FSCD et FST ne sont pas comptabilisées séparément. Cet amalgame a des raisons pratiques : la statistique du Service SCPT regroupe tous les fournisseurs en un seul bloc et ne fait pas de distinction entre les catégories pour ceux qui sont à la fois des FST et des FSCD.

Le chiffre d’affaires déterminant reste mentionné au ch. 2, mais il concernera désormais l’ensemble des activités de l’entreprise en Suisse, et non plus uniquement les services de télécommunication et les services de communication dérivés (voir actuel art. 51, al. 1, let. b, ch. 2). Ce changement est motivé par un souci de simplification, car il s’est révélé dans la pratique que le chiffre d’affaires total de l’entreprise est beaucoup plus facile à déterminer et à justifier. Il existe en outre des services de télécommunication et des services de communication dérivés qui en eux-mêmes ne génèrent que peu de chiffre d’affaires, mais qui peuvent à un autre endroit être une source de revenus pour l’entreprise (par ex. publicité). Le montant de 100 millions reste inchangé. Il est en outre précisé que le calcul porte sur les deux derniers exercices, ce qui correspond à la pratique actuelle. Pour le FST, cela signifie que seuls ses exercices clôturés sont pris en compte,

le dernier et l’avant-dernier. Un fournisseur qui entre sur le marché peut demander immédiatement à être classé dans la catégorie des FST ayant des obligations restreintes. Il est alors considéré comme tel pendant un délai transitoire, même s’il est prévisible que son chiffre d’affaires dépassera le seuil requis. Ce n’est qu’une fois qu’il est constaté qu’un FST ayant des obligations restreintes ne remplit plus les conditions de l’al. 1 que le Service SCPT le fait passer dans la catégorie des FST ayant des obligations complètes (art. 16c, al. 2).

L’al. 2 règle, comme c’est déjà le cas aujourd’hui, la question des groupements d’entreprises. Lorsqu’un fournisseur contrôle une ou plusieurs entreprises tenues d’établir des comptes, le groupe est considéré comme une seule entité pour le décompte des mandats de surveillance et le calcul du chiffre d’affaires (al. 1, let. b). L’alinéa renvoie à la règle de l’art. 963, al. 1 et 2, CO 28, qui s’applique par analogie.

L’al. 3 prévoit qu’un FST ayant des obligations restreintes et qui ne remplit plus les conditions de l’al. 1 est tenu d’en informer le Service SCPT. Cette obligation d’informer ne concerne pas le nombre de surveillances selon l’al. 1, let. b, ch. 1, qui est calculé par le Service SCPT. Pour la let. a (les services ne sont plus offerts uniquement dans le domaine de la recherche et de l’éducation), l’information doit être immédiate. Pour la let. b (le chiffre d’affaires dépasse le seuil maximal prévu), un délai de trois mois à compter de la clôture de l’exercice est accordé au FST pour informer le Service SCPT, qui met à disposition des procédures appropriées, par exemple un formulaire en ligne sur l’extranet. Les justificatifs requis doivent suivre assez rapidement. Le Service SCPT peut prendre à l’encontre d’un FST qui manque à son obligation d’informer des sanctions qui vont de mesures de surveillance (art. 41, al. 2, LSCPT en relation avec l’art. 58, al. 2, let. a, LTC) à l’amende (art. 39 LSCPT), en passant par une prise en charge des coûts pour manquement à la collaboration (art. 34 LSCPT).

L’al. 4 constitue la base légale permettant au Service SCPT de vérifier si le seuil défini à l’al. 1, let. b, ch. 2 (chiffre d’affaires annuel) a effectivement été franchi, à la hausse ou à la baisse, et si un fournisseur a indiqué correctement les services de communication qu’il fournit. À cette fin, le Service SCPT peut utiliser les données qu’il obtient lui-même dans le cadre de la mise en œuvre de la législation sur la surveillance de la correspondance par poste et télécommunication (par ex. le nombre de mandats de surveillance). Il peut aussi récupérer les données que d’autres autorités obtiennent lors de la mise en œuvre du droit fédéral.

Les principales obligations d’un FST ayant des obligations restreintes sont les suivantes : 1. pour les services de communication mobile : vérifier les données relatives aux personnes (art. 20), fournir la preuve de l’identité (art. 20a et 20b), remettre des moyens d’accès et activer des services pour les autorités de police et le SRC (art. 20c) ;

28 Loi fédérale du 30 mars 1911 complétant le code civil suisse (livre cinquième : code des obligations ; CO ; RS 220)

2. pour les autres services : identifier les personnes par des moyens appropriés

(art. 19) ; 3. conserver les données nécessaires pour la fourniture de renseignements (art. 21, al. 1 à 4) ;

4. fournir les renseignements standardisés (art. 18, al. 3) ;

5. fournir les renseignements spéciaux (art. 25) ;

6. apporter la preuve de leur disponibilité à renseigner (art. 31) ;

7. livrer les informations nécessaires à l’exécution de la surveillance (art. 26, al. 2, let. a, LSCPT) ; 8. tolérer des mesures de surveillance et garantir l’accès à leurs installations (art. 26, al. 2, let. b, LSCPT et art. 53 OSCPT) ; 9. supprimer les chiffrements qu’ils ont opérés (art. 26, al. 2, let. c, LSCPT et art. 50a OSCPT) ; et 10.fournir sur demande les données secondaires de télécommunication de la personne surveillée dont ils disposent (pas d’obligation de conservation ; art. 26, al. 6, LSCPT).

Rappelons ici que les FST peuvent recourir à l’aide de tiers pour s’acquitter de leurs obligations (art. 23 OSCPT).

Art. 16c FST ayant des obligations complètes Comme mentionné dans le commentaire de l’art. 16b, un FST au sens de la LSCPT a par défaut des obligations complètes. Sans démarches de sa part, il reste considéré comme tel. S’il satisfait aux conditions de l’art. 16b, al. 1, il peut demander au Service SCPT à passer dans la sous-catégorie des FST ayant des obligations restreintes. Il continue toutefois d’avoir des obligations complètes tant que le Service SCPT ne l’a pas déclaré comme ayant des obligations restreintes (al. 1).

Lorsqu’un FST ne remplit plus les conditions qui lui permettent d’être dispensé de certaines obligations selon l’art. 16b, al. 1, il a l’obligation d’en informer le Service SCPT (voir art. 16b, al. 3). Le FST en question étant encore considéré, à ce moment-là, comme ayant des obligations restreintes, cette obligation d’informer le Service SCPT est inscrite à l’art. 16b. En général, le Service SCPT est informé par la notification du FST concerné que celui-ci ne répond plus aux conditions lui permettant d’être dispensé de certaines obligations et le déclare alors, en application de l’al. 2, comme ayant à nouveau des obligations complètes.

L’al. 3 règle les délais de transition applicables en cas de retour à des obligations complètes. Pour les obligations des lettres a à c (voir ch. 4 à 6 dans la liste ci-après), plus compliquées à mettre en œuvre, un délai de douze mois est accordé. Pour les autres obligations supplémentaires (ch. 1 à 3 dans la liste ci-dessous), le délai prévu est de six mois (al. 4). Rappelons ici que les FST peuvent recourir à l’aide de tiers pour s’acquitter de leurs obligations (art. 23 OSCPT).

Un FST ayant des obligations complètes a, par rapport à un FST aux obligations restreintes (art. 16b), les obligations supplémentaires suivantes :

1. mettre en place un service de piquet (art. 11, al. 1) ;

2. conserver les données secondaires nécessaires pour certains renseignements

(art. 21, al. 5 et 7) et pour les surveillances rétroactives (art. 26, al. 5, LSCPT) ; 3. fournir les renseignements via l’interface de consultation (art. 18, al. 1) et apporter la preuve de sa disponibilité à fournir les renseignements pour cette partie de ses nouvelles obligations, notamment pour la fourniture manuelle de renseignements via l’interface de consultation (art. 31) ;

4. fournir les renseignements de manière automatisée (art. 18, al. 2) ;

5. livrer sur demande le contenu des communications et les données secondaires de télécommunication de la personne surveillée (art. 26, al. 1, LSCPT) ; et

6. fournir la preuve de sa disponibilité à surveiller (art. 31) et à fournir les

renseignements pour les autres nouveaux types de renseignements, notamment pour la fourniture automatisée de renseignements. Art. 16d FSCD La définition succincte des FSCD proposée à l’art. 2, let. c, LSCPT ayant donné lieu à différentes interprétations dans la pratique 29, il a été décidé de la préciser dans ce nouvel article.

Les FST et les FSCD ont en commun d’offrir des services de communication pour le compte de tiers. À la différence des FST, les FSCD n’assument toutefois pas la responsabilité de la transmission des informations au moyen de techniques de télécommunication, et ne les transmettent pas eux-mêmes.

L’al. 1 reprend la brève définition de la LSCPT et la complète par la distinction essentielle entre les services de télécommunication et les services de communication dérivés : un service de communication dérivé s’appuie toujours, pour la transmission des informations au moyen de techniques de télécommunication, sur un service de télécommunication. Un service de communication dérivé fonctionne donc de manière totalement indépendante du service d’accès au réseau (il est qualifié en anglais d’access agnostic, c’est-à-dire qu’il est indifférent au choix de l’accès au réseau utilisé).

Pour le dire autrement, les services de communication qui ne font pas partie des services de télécommunication énumérés à l’art. 16a, al. 1, et qui ne relèvent pas des exceptions selon l’art. 16a, al. 2, sont des services de communication dérivés. En raison du grand nombre de services de communication dérivés possibles, l’ordonnance ne peut pas en contenir une liste exhaustive.

En voici quelques exemples parmi les plus importants : - Services d’accès indirect à l’internet fournis indépendamment du service d’accès à l’internet, tels que services fondés sur un VPN ou un serveur mandataire (proxy) ; pour ces services, le client a deux relations contractuelles (une pour

29 Cf. l’avis du Conseil fédéral du 22.05.2019 sur l’interpellation 19.3267 Beat Flach, la réponse du Conseil fédéral du 11.06.2019 à la question 19.5273 Beat Flach et le rapport du Conseil fédéral du 18.10.2023 en réponse au postulat 19.4031 Vitali Albert

l’accès à l’internet et l’autre pour le service de communication dérivé) ; ces services modifient (c’est-à-dire qu’ils la remplacent par une autre) l’adresse IP source attribuée à l’utilisateur par son fournisseur d’accès à l’internet. Le sigle VPN est l’abréviation de Virtual Private Network, en français réseau virtuel privé. Un service VPN transmet des données chiffrées de bout en bout via l’internet dans ce que l'on appelle un tunnel. Les connexions à l’internet peuvent ainsi être redirigées et l’utilisateur apparaît avec une autre adresse IP que celle qui lui a initialement été attribuée lorsqu’il a accédé au réseau. Les services utilisant un serveur mandataire permettent également de rediriger les connexions à l’internet. Ils servent à préserver l’anonymat des utilisateurs ou à contourner les blocages géographiques qui, comme leur nom l’indiquent, visent à restreindre l’accès à un site internet aux utilisateurs d’une zone déterminée, un pays par exemple. Il faut distinguer de ces services d’accès indirect à l’internet les services d’accès à l’internet fournis par une seule entreprise et qui ont une composante avec un accès indirect, mais qui, pour le client, relèvent d’un seul et même contrat et qui sont, pour ce motif, considérés comme des services de télécommunication (par ex. BBCS, voir le commentaire de l’art. 16a). - Applications ou programmes de transmission de données telles que la voix, le texte, le son, l’image, la vidéo, les signaux de mesures, ou toute combinaison de ces types de données, entre des utilisateurs (tiers) et qui ne sont pas fournis avec l’accès au réseau (contraire de l’art. 16a, al. 1, let. d). - Services de communication basés sur internet pour des tiers : ils concurrencent les services de télécommunication classiques fournis par les opérateurs du réseau et leur sont équivalents du point de vue fonctionnel, mais ils sont fournis de manière totalement indépendante de l’accès au réseau (séparation du réseau et des services), par exemple la téléphonie sur internet, qui n’est pas fournie avec l’accès au réseau (contraire de l’art. 16a, al. 1, let. d). - Messageries électroniques pour des tiers, incluant les messageries Web et les applications de courrier électronique. - Services de messagerie basés sur internet pour des tiers, comme les applications et plateformes de messagerie instantanée ou de tchat. - Services de stockage en ligne tels que le stockage infonuagique, l’hébergement de fichiers, l’hébergement partagé, le stockage en ligne, le partage de fichiers : la principale fonction de ces services est généralement le stockage de données. En font partie par exemple des services de stockage nuagiques ou de travail collaboratif en ligne sur des documents dans un nuage informatique. La communication est possible grâce au partage des fichiers déposés sur ces services ou au traitement distribué des contenus. Lorsqu’un hébergeur fournit aussi l’accès internet pour le serveur, il est cependant considéré, pour le service d’accès à l’internet, comme un FST. La situation est plus subtile s’agissant des offres qui contiennent plusieurs services, par exemple les réseaux sociaux et le microblogage. La principale fonction est en général la publication de contenus. Lorsque la communication entre les utilisateurs est publiquement accessible, le service n’est ni un service de télécommunication, ni un service de communication dérivé (informations qui sont destinées au grand public ;

art. 16a, al. 2, let. a). Dans le cas des messages directs ou personnels en revanche, on peut généralement considérer qu’il s’agit d’un service de communication dérivé.

Un autre exemple d’offre réunissant des services de différentes catégories est celui d’un horaire en ligne, dont l’objectif principal est de fournir des informations à un public général et dont le fournisseur n’est donc ni un FST, ni un FSCD. Si cet horaire en ligne comprend aussi une fonction permettant d’envoyer un courrier électronique à des tiers, le fournisseur de cette fonction entre dans la catégorie des FSCD, car il s’agit d’une communication multilatérale qui fonctionne toujours de manière totalement indépendante du service d’accès au réseau.

D’autres exemples de services mixtes sont la communication par courriel ou par tchat entre vendeurs et clients potentiels sur une place de marché en ligne (la fonction principale est l’achat et la vente de marchandises) ou la communication par texte, voix ou vidéo entre les joueurs de jeux en ligne (où la fonction principale est le jeu).

L’al. 2 règle les exceptions en renvoyant à l’art. 16a, al. 2, puisqu’elles sont les mêmes que pour un FST.

Les fournisseurs des services ci-après ne sont par exemple – pour les services en question – ni des FST, ni des FSCD :

- diffusion de programmes publics de radio ou de télévision (par ex. chaînes du câble, télévision par internet, webradio, vidéotransmission en direct) ; - services permettant de transmettre et partager publiquement des contenus (par ex. portail vidéo, vidéo à la demande) ; - services permettant de commenter publiquement des contenus (par ex. commentaires d’un journal en ligne) ; - service connexe (associated services) : un service connexe est un service lié à un réseau ou à un service de télécommunication qui permet de mettre à disposition, ou de fournir soi-même ou automatiquement des services via ce réseau ou ce service de télécommunication ; il est à distinguer des services intégrés, qui font partie d’un service de télécommunication. Exemples : système de noms de domaine (système d’adressage par domaines) pour la traduction en numéros (par ex. réseau intelligent, transposition de numéros courts ou numéros à valeur ajoutée), systèmes d’autorisation d’accès ou services non intégrés en lien avec l’identité, la localisation et la présence de l’utilisateur (par ex. applications qui déterminent le statut, la localisation et la présence de l’utilisateur mais ne permettent pas la communication tels que services cartographiques en ligne, géorepérage, localisation, informations routières, détection des embouteillages, applications calculant le prix d’un billet en fonction du trajet effectué) ; - services basés sur la localisation (location based services) qui ne permettent pas la communication entre les utilisateurs ; - moteurs de recherche ; - services infonuagiques, pour autant que ni accès à l’internet, ni des services de communication ne soient fournis pour des tiers. Les FSCD sont répartis en trois sous-catégories selon le niveau de leurs obligations :

- les FSCD ayant des obligations minimales (art. 16e), qui correspondent aux actuels FSCD sans obligations étendues ; - les FSCD ayant des obligations restreintes (art. 16f), nouvellement définis et qui sont plus ou moins le pendant de la sous-catégorie des FST ayant des obligations restreintes, avec des différences minimes pour les obligations en matière de fourniture de renseignements, parce que les FSCD, par définition, ne fournissent pas de services de téléphonie mobile et que certains types de renseignements (par ex. art. 48b) ou paramètres de renseignements (par ex. le numéro d’appareil) ne sont donc pas pertinents dans leur cas ; - les FSCD ayant des obligations complètes (art. 16g), une nouvelle sous-catégorie qui réunit en gros les actuels FSCD ayant des obligations étendues en matière de fourniture de renseignements et FSCD ayant des obligations étendues en matière de surveillance. La sous-catégorie des FSCD ayant des obligations complètes est plus ou moins le pendant de la sous-catégorie des FST ayant des obligations complètes, avec des différences minimes pour les obligations en matière de fourniture de renseignements, parce que les FSCD, par définition, ne fournissent pas de services de téléphonie mobile et que certains types de renseignements (par ex. art. 48b) ou paramètres de renseignements (par ex. le numéro d’appareil) ne sont donc pas pertinents dans leur cas ; en outre, certains types de surveillance (par ex. AS_34) et certaines données de surveillance (par ex. numéro SIM, numéro d’appareil) ne sont pas non plus pertinents pour les FSCD, pour les mêmes raisons.

L’al. 3 prévoit que les FSCD doivent fournir au Service SCPT, à la demande de celui-ci, les chiffres et les justificatifs lui permettant de déterminer si les seuils fixés aux art. 16f, al. 1, et 16g, al. 1 (nombre d’usagers et chiffre d’affaires annuel) ont été atteints. Pour la transmission de ces chiffres et justificatifs, le Service SCPT met à disposition des procédures appropriées, par exemple un formulaire en ligne sur l’extranet. Le Service SCPT peut infliger à un FST qui manque à son obligation d’informer des sanctions qui peuvent aller de mesures de surveillance (art. 41, al. 2, LSCPT en relation avec l’art. 58, al. 2, let. a, LTC) à l’amende (art. 39 LSCPT), en passant par une prise en charge des coûts pour manquement à la collaboration (art. 34 LSCPT).

L’al. 4 constitue la base légale qui autorise le Service SCPT à vérifier si les seuils prévus aux art. 16f et 16g (nombre d’usagers et chiffre d’affaires annuel) ont été dépassés à la hausse ou à la baisse. À cette fin, le Service SCPT peut utiliser les données qu’il obtient lui-même dans le cadre de la mise en œuvre de la législation sur la surveillance de la correspondance par poste et télécommunication. Il peut aussi récupérer les données que d’autres autorités obtiennent lors de la mise en œuvre du droit fédéral.

Art. 16e FSCD ayant des obligations minimales La sous-catégorie des FSCD ayant des obligations minimales est, comme son nom l’indique, celle qui a le moins d’obligations de collaborer. C’est la situation par défaut d’un FSCD. Contrairement aux FST, qui par défaut ont des obligations complètes, dont ils peuvent se faire dispenser à certaines conditions, les FSCD ont par défaut des obligations minimales, qui peuvent être étendues en deux paliers : 1er palier : FSCD ayant des obligations restreintes (art. 16f) 2e palier : FSCD ayant des obligations complètes (art. 16g)

Selon l’al. 1, un FSCD est considéré comme ayant des obligations minimales pour tous les services de communication dérivés qu’il offre tant que les conditions des art. 16f, al. 1, et 16g, al. 1, ne sont pas remplies. Relèvent ainsi de la sous-catégorie des FSCD ayant des obligations minimales tous ceux qui n’atteignent pas les seuils fixés (moins de 5000 usagers et moins de 100 millions de chiffre d’affaires annuel). Le seuil du chiffre d’affaires doit également être mentionné ici parce que le FSCD qui l’atteint passe dans la sous-catégorie des FSCD ayant des obligations complètes (art. 16g).

Les principales obligations d’un FSCD ayant des obligations minimales sont les suivantes :

1. fournir des renseignements sans prescription de forme (art. 18a et 25) ;

2. tolérer des mesures de surveillance et garantir l’accès à ses installations (art. 27, al. 1, LSCPT et art. 53) ; 3. fournir les informations nécessaires à l’exécution de la surveillance (art. 27, al. 1, let. b, LSCPT) ; et 4. livrer sur demande les données secondaires de télécommunication de la personne surveillée dont il dispose (art. 27, al. 2, LSCPT).

L’al. 2 prévoit que les FSCD ayant des obligations minimales qui franchissent les seuils déterminant leur passage dans la sous-catégorie des FSCD ayant des obligations restreintes (art. 16f, al. 1), voire des FSCD ayant des obligations complètes (art. 16g, al. 1), sont tenus d’en informer le Service SCPT. Le délai accordé pour faire cette information est de trois mois à compter de la date de référence (nombre d’usagers) ou de la clôture de l’exercice (chiffre d’affaires annuel). Les FSCD ayant des obligations minimales doivent donc déterminer chaque année, au 30 juin, le nombre moyen de leurs usagers au cours des douze derniers mois. Ceux pour lesquels ce nombre dépasse 5000 ont alors trois mois pour en informer le Service SCPT. Le FSCD qui remplit les conditions de l’art. 16f, al. 1, passe d’office dans la sous-catégorie des FSCD ayant des obligations restreintes dès le jour suivant la date de référence du 30 juin, c’est-à-dire le 1er juillet. Le changement de catégorie est automatique : il ne dépend pas de l’annonce du FSCD et une déclaration du Service SCPT à cet effet n’est pas requise.

Un FSCD dont le nombre d’usagers a atteint en moyenne au moins un million au cours des douze mois précédant la date de référence a trois mois, à compter de cette date, pour en informer le Service SCPT. Indépendamment de cette information, le FSCD en question passe d’office dans la sous-catégorie des FSCD ayant des obligations restreintes à partir du 1er juillet de la même année. Si les conditions sont remplies, le Service SCPT déclare immédiatement le FSCD comme ayant des obligations complètes (art. 16g), actant ainsi son passage dans la sous-catégorie la plus élevée.

Les FSCD ayant des obligations minimales doivent également déterminer chaque année, lors de la clôture, leur chiffre d’affaires pour l’exercice qui s’achève et le précédent. Si deux années de suite, ce chiffre d’affaires atteint ou dépasse 100 millions de francs (art. 16g, al. 1, let. b), le FSCD doit en informer le Service SCPT dans les trois mois à compter de la clôture de l’exercice. Si les conditions sont remplies, le Service SCPT déclare immédiatement le FSCD comme ayant des obligations complètes (art. 16g), actant ainsi son passage dans la sous-catégorie la plus élevée.

Le Service SCPT met à disposition des FSCD qui doivent faire cette annonce des procédures appropriées, par exemple un formulaire en ligne sur l’extranet. Les justificatifs requis doivent suivre assez rapidement. Le Service SCPT peut infliger à un FST qui manque à son obligation d’informer des sanctions qui peuvent aller de mesures de surveillance (art. 41, al. 2, LSCPT en relation avec l’art. 58, al. 2, let. a, LTC) à l’amende (art. 39 LSCPT), en passant par une prise en charge des coûts pour manquement à la collaboration (art. 34 LSCPT).

Art. 16f FSCD ayant des obligations restreintes Aux art. 22, al. 4, et 27, al. 3, LSCPT, le législateur a donné au Conseil fédéral la compétence d’imposer aux FSCD des obligations plus étendues (voir les actuels art. 22 et 52 OSCPT). Ce nouvel article est fondé sur cette compétence. Une partie des obligations prévues dans la LSCPT pour les FST sont ainsi également applicables par analogie aux FSCD ayant des obligations restreintes. Les obligations restreintes d’un FSCD sont calquées sur celles d’un FST ayant des obligations restreintes (art. 16b).

L’al. 1 définit les conditions dans lesquelles un FSCD est considéré comme ayant des obligations restreintes : le nombre moyen d’usagers de tous les services de communication dérivés qu’il offre a atteint, au cours des douze mois précédant la date de référence du 30 juin, au moins 5000 mais moins d’un million et son chiffre d’affaires annuel en Suisse n’a pas dépassé 100 millions pour chacun des deux exercices précédents. Ce dernier seuil est exprimé par un renvoi à l’art. 16g, al. 1, où figure la limite qui détermine le passage dans la sous-catégorie la plus élevée des FSCD ayant des obligations complètes (concernant la définition d’usager, voir la définition n° 2 de l’annexe de l’OSCPT). Le nombre moyen d’usagers est calculé en divisant par douze le nombre total des usagers de tous les services de communication dérivés entre le 1er juillet de l’année précédente et le 30 juin de l’année en cours. Les usagers de services de télécommunication de ce même fournisseur ne sont pas pris en compte. Si le FSCD en question offre des services de communication dérivés qui ne requièrent ni enregistrement, ni contrat, ni moyen d’accès, on ne compte pas les usagers mais les utilisateurs actifs (unique users) par mois, c’est-à-dire ceux qui utilisent effectivement le service au moins une fois par mois.

Comme expliqué concernant l’art. 16e, al. 2, le premier palier que constitue le passage dans la sous-catégorie des FSCD ayant des obligations restreintes ne nécessite plus de déclaration du Service SCPT : il a lieu d’office, automatiquement, lorsque les conditions de l’al. 1 sont remplies. Les voies de droit restent garanties, puisqu’en cas de désaccord, un FSCD peut exiger du Service SCPT une décision qu’il pourra contester devant le Tribunal administratif fédéral.

L’al. 2 prévoit pour les FSCD ayant des obligations restreintes une obligation d’informer le Service SCPT analogue à celle à laquelle sont soumis les FSCD ayant des obligations minimales (voir le commentaire de l’art. 16e, al. 2).

Selon l’al. 3, le FSCD et les entreprises qu’il contrôle sont considérés comme une seule entreprise pour la détermination du nombre d’usagers et du chiffre d’affaires annuel (voir le commentaire de l’art. 16b, al. 2).

L’al. 4 règle les délais de transition applicables en cas de passage dans la sous-catégorie supérieure. Un FSCD nouvellement considéré comme ayant des obligations restreintes a six mois à compter de la date de référence du 30 juin pour mettre en œuvre ses obligations supplémentaires :

1. identifier les personnes par des moyens appropriés (art. 19) ;

2. conserver les données nécessaires pour la fourniture des renseignements (art. 21, al. 1) ;

3. fournir les renseignements standardisés (art. 18, al. 3) ;

4. fournir les renseignements spéciaux (art. 25) ;

5. apporter la preuve de la disponibilité à renseigner (art. 31) ; et

6. supprimer les chiffrements qu’il a opérés (art. 27, al. 3, LSCPT et art. 50a).

L’al. 5 règle le retour dans la sous-catégorie des FSCD ayant des obligations minimales. Lorsqu’un FSCD ayant des obligations restreintes constate, à la date du 30 juin, qu’il ne satisfait plus aux conditions de l’al. 1, il peut présenter au Service SCPT, justificatifs à l’appui, une demande visant à son retour dans la sous-catégorie inférieure. Le Service SCPT examine la demande et, si la preuve est apportée que les conditions sont remplies, il déclare immédiatement le FSCD en question comme ayant à nouveau des obligations minimales. Dès l’entrée en force de cette déclaration, le FSCD n’a plus à mettre en œuvre les obligations supplémentaires listées plus haut (al. 4).

Art. 16g FSCD ayant des obligations complètes Aux art. 22, al. 4, et 27, al. 3, LSCPT, le législateur a donné au Conseil fédéral la compétence d’imposer aux FSCD des obligations plus étendues (voir les actuels art. 22 et 52 OSCPT). Ce nouvel article est fondé sur cette compétence. La plupart des obligations prévues dans la LSCPT pour les FST sont ainsi également applicables par analogie aux FSCD ayant des obligations complètes. Les obligations complètes d’un FSCD sont calquées sur celles d’un FST ayant des obligations complètes (art. 16c).

Aux termes de l’art. 22, al. 3 et de l’art. 27, al. 3 LSCPT, les FSCD ayant des obligations complètes sont des fournisseurs ayant une grande importance économique ou un grand nombre d’utilisateurs, deux critères qui sont concrétisés à l’al. 1, let. a et b.

On renverra pour le calcul du nombre d’usagers (let. a) au commentaire de l’art. 16f, al. 1, pour celui du chiffre d’affaires annuel (let. b), au commentaire de l’art. 16b, al. 1, let. b, ch. 2. Le seuil de 100 millions de francs reste inchangé et correspond au montant figurant dans l’actuel art. 52, al. 1, let. b, OSCPT applicable aux FSCD ayant des obligations étendues en matière de surveillance.

Selon l’al. 2, le FSCD et les entreprises qu’il contrôle sont considérés comme une seule entreprise pour la détermination du nombre d’usagers et du chiffre d’affaires annuel (voir le commentaire de l’art. 16b, al. 2).

L’al. 3 règle les délais de transition applicables en cas de passage à des obligations complètes. Un délai de six mois est accordé pour les obligations plus simples à mettre en œuvre de la let. a. Il est de douze mois pour les obligations plus compliquées de la

let. b. Rappelons ici que les FSCD peuvent recourir à l’aide de tiers pour s’acquitter de leurs obligations (art. 23 OSCPT).

L’al. 4 règle le retour dans les sous-catégories inférieures des FSCD ayant des obligations restreintes ou minimales. Lorsqu’un FSCD ayant des obligations complètes constate, à la date de référence, qu’il n’atteint plus le seuil fixé à l’al. 1, let. a (nombre d’usagers) ou au moment de la clôture de son exercice, qu’il n’atteint plus le seuil fixé à l’al. 1, let. b (chiffre d’affaires annuel), il peut présenter au Service SCPT, justificatifs à l’appui, une demande visant à son retour dans une sous-catégorie inférieure. Le Service SCPT examine la demande et, si la preuve est apportée que les conditions sont remplies, il déclare immédiatement le FSCD en question comme ayant à nouveau des obligations restreintes ou minimales. Dès l’entrée en force de cette déclaration, le FSCD n’a plus à mettre en œuvre les obligations supplémentaires concernées.

Art. 16h Personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers Une autre incertitude dans l’interprétation de la LSCPT concerne aujourd’hui la délimitation entre la catégorie des FST (art. 2, let. b, LSCPT) et celle des personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers (art. 2, let. e, LSCPT) dans le cas d’accès WLAN publics exploités de manière professionnelle (hotspots WiFi®).

Selon l’al. 1, les personnes dont il est question mettent donc à la disposition de tiers leur accès à un réseau public de télécommunication (par ex. accès WLAN à l’internet), mais ne fournissent pas le service d’accès. Qu’il s’agisse d’une personne physique ou d’une personne morale n’a pas d’importance. Ces personnes sont par exemple des particuliers, des hôtels, des restaurants, des cafés, des hôpitaux, des EMS ou des écoles.

L’al. 2 détermine désormais à partir de quelle taille un accès public au réseau WLAN doit être considéré comme « exploité à titre professionnel » Pour le calcul, tous les accès publics au réseau WLAN exploités par la même personne sont pris en compte, quel que soit l’endroit où ils se trouvent. La taille est déterminée par le nombre maximal possible d’utilisateurs finaux (capacité), et non par le nombre effectif d’utilisateurs à un moment donné.

Exemples :

1) Une personne A met à disposition trois accès publics au réseau WLAN, qui ont des capacités maximales respectives de 100, de 200 et de 500 utilisateurs finaux. La capacité cumulée est de 800, les trois accès de cette personne ne sont donc pas considérés comme « exploités à titre professionnel ».

2) Une personne B met à disposition deux accès publics au réseau WLAN, qui ont des capacités maximales respectives de 500 et de 600 utilisateurs finaux. La capacité cumulée est de 1100, les deux accès de cette personne sont donc considérés comme « exploités à titre professionnel ».

Pour ces accès publics au réseau WLAN exploités professionnellement, l’obligation est maintenue d’être en mesure d’identifier tous les utilisateurs finaux par des moyens appropriés (art. 19, al. 2, OSCPT, identification dite indirecte, par ex. via un SMS à un numéro de téléphone mobile). Comme aujourd’hui, cette obligation d’identification incombe au FST qui fournit le service d’accès à l’internet sur lequel repose l’accès au réseau WLAN concerné. Dépasser les valeurs fixées à l’al. 2 ne fait pas de la personne qui met son accès à un réseau public de télécommunication à la disposition de tiers un FST. Elle ne le devient (conformément à l’art. 16a, al. 1, let. b) que si elle fournit également l’accès sous-jacent à l’internet, et pour cette activité uniquement.

Un accès au réseau WLAN est considéré comme public lorsqu’il est mis à la disposition d’un cercle d’utilisateurs qui ne sont pas préalablement déterminés ni individuellement identifiés. Le législateur a prévu pour la catégorie des personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers des obligations moindres que pour les FST, respectant ainsi le principe de proportionnalité.

S’il serait souhaitable, du point de vue de la poursuite pénale, de pouvoir assurer une identification complète de tous les utilisateurs finaux d’un réseau WLAN, une solution pragmatique est envisagée qui permet, pour un nombre restreint d’utilisateurs, de mettre à disposition des accès WLAN (« WiFi ») sans identification. Cette solution est concrétisée à l’al. 2, qui fixe une limite en termes de capacité cumulée.

La délimitation entre un FST (art. 16a) et une personne qui met son accès à un réseau public de télécommunication à la disposition de tiers est expliquée ci-après en prenant l’exemple d’accès publics au réseau WLAN. Ces accès peuvent impliquer différents acteurs :

1. la personne qui fournit l’accès à l’internet (la « connexion ») qui relie l’accès au réseau WLAN à l’internet ;

2. la personne qui met son accès à l’internet à la disposition de tiers via un réseau WLAN ; et

3. la personne qui fournit d’autres prestations pour l’accès public au réseau WLAN, par exemple l’installation ou la maintenance.

La personne 1 est toujours un FST (selon l’art. 16a, al. 1, let. b), car elle fournit l’accès à l’internet pour un tiers (par ex. la personne 2).

La personne 2 est, pour la « mise à disposition de tiers » d’un accès public au réseau WLAN, une personne qui met son accès à un réseau public de télécommunication à la disposition de tiers (art. 2, al. 1, let. e, LSCPT), même si cet accès est « exploité à titre professionnel ».

La personne 3 (par ex. un installateur électricien) n’est pas soumise à la LSCPT pour ces autres prestations.

La personne 2 peut configurer son offre de manière à ce que l’accès public au réseau WLAN qu’elle met à disposition soit considéré comme exploité à titre professionnel ou pas. En fonction de son choix, elle sera ou non soumise à l’obligation d’identifier les utilisateurs finaux par des moyens appropriés (art. 19, al. 2, voir ci-dessus le commentaire de l’al. 2).

Une autre possibilité est pour la personne 2 de simplement faire installer, dans ses locaux ou sur sa propriété, une offre publique WLAN d’un FST. L’accès qu’elle met à disposition n’est alors pas le sien, mais une offre directe d’un FST. Dans ce cas, elle ne relève pas de la catégorie des personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers (art. 2, al. 1, let. e, LSCPT). C’est le FST qui fournit à la fois l’accès public au réseau WLAN et la connexion à l’internet, et c’est par conséquent lui qui assume la totalité des obligations de collaborer prévues par la LSCPT.

L’accès public « exploité à titre pas « exploité à titre au réseau WLAN professionnel » professionnel » …

est mis à La personne 2 est une La personne 2 est une disposition par personne mettant son accès personne mettant son accès une personne 2 à un réseau public de à un réseau public de télécommunication à la télécommunication à la disposition de tiers. disposition de tiers.

Le FST qui fournit l’accès Le FST qui fournit l’accès sous-jacent à l’internet a sous-jacent à l’internet a l’obligation d’identifier « par l’obligation d’identifier « par des moyens appropriés » la des moyens appropriés » la personne 2, selon l’art. 19, personne 2, selon l’art. 19, al. 1, et les utilisateurs al. 1, mais n’est pas soumise finaux, selon l’art. 19, al. 2. à l’obligation d’identifier les utilisateurs finaux selon l’art. 19, al. 2.

est une offre Le FST a l’obligation non applicable directe d’un FST d’identifier « par des moyens appropriés » aussi bien les usagers que les utilisateurs finaux (identiques) selon l’art. 19, al. 1 et 2.

Titre précédent l’art. 17 En raison de la création d’une nouvelle section 1 « Catégorie de personnes obligées de collaborer » pour réunir les nouveaux art. 16a à 16h, l’actuelle section 1 devient la

section 1a. Son titre ne change pas (« Dispositions générales concernant la fourniture de renseignements et les surveillances ».)

Art. 18 Obligations concernant la fourniture de renseignements par les fournisseurs ayant des obligations complètes ou restreintes À l’al. 1, les formulations actuelles « les FST, à l’exception de ceux ayant des obligations restreintes en matière de surveillance (art. 51) », « les FSCD ayant des obligations étendues en matière de fourniture de renseignements (art. 22) » et « les FSCD ayant des obligations étendues en matière de surveillance (art. 52) » sont remplacées par le plus concis « les fournisseurs ayant des obligations complètes ». Les « fournisseurs ayant des obligations complètes » sont les FST ayant des obligations complètes (art. 16c) et les FSCD ayant des obligations complètes (art. 16g). Les désignations sont adaptées en fonction des nouveaux paliers de sous-catégories des FSCD. Comme aujourd’hui, seuls les fournisseurs ayant des obligations complètes sont tenus de se raccorder à l’interface de consultation du système de traitement du Service SCPT, c’est-à-dire au composant utilisé pour transmettre les renseignements. Les autres POC peuvent décider librement de s’y raccorder si elles le souhaitent.

L’al. 2 subit également une simplification rédactionnelle. La formulation « les FST, à l’exception de ceux ayant des obligations restreintes en matière de surveillance » devient « les FST ayant des obligations complètes ». La liste des renseignements qui doivent être transmis de manière automatisée reste inchangée. Les nouveaux types de renseignements créés aux art. 38a, 42a et 43a sont inclus dans les « autres renseignements standardisés » et sont donc en principe fournis manuellement via l’interface de consultation du système de traitement, avec comme aujourd’hui, l’option de les transmettre également de manière automatisée (« s’ils le souhaitent et en accord avec le Service SCPT »).

À l’al. 3, la seule modification est le remplacement de la formule « FST ayant des obligations restreintes en matière de surveillance » par « fournisseurs ayant des obligations restreintes ». Les « fournisseurs ayant des obligations restreintes » sont les FST ayant des obligations restreintes (art. 16b) et les FSCD ayant des obligations restreintes (art. 16f).

À l’al. 4, la formulation « FSCD ayant des obligations étendues selon les art. 22 ou 52 » est remplacée par « FSCD ayant des obligations complètes (art. 16g) ». Ce changement s’impose à cause des nouveaux paliers et désignations des sous-catégories de FSCD. La fourniture automatisée des renseignements n’est exigée que des FSCD ayant des obligations complètes. Cet alinéa réglant les obligations en matière de fourniture de renseignements des FSCD ayant des obligations complètes est en principe le pendant de l’al. 2 (qui vise, lui, les FST ayant des obligations complètes). La définition des FST (art. 16a) et des FSCD (art. 16d) que propose le présent projet permet de clarifier la question des renseignements à fournir selon les art. 48a à 48c introduits à la faveur de la précédente révision. Les FSCD ayant des obligations complètes ne seront dispensés de fournir que les renseignements visés à l’art. 48b, puisque ceux-ci ne concernent que les fournisseurs de services de téléphonie mobile, ce que les FSCD, par définition, ne peuvent pas être. Les FSCD ayant des obligations complètes doivent cependant fournir

les renseignements des deux autres types (art. 48a et 48c). Le reste de l’alinéa est inchangé. Les nouveaux types de renseignements créés aux art. 38a, 42a et 43a sont inclus dans les « autres renseignements standardisés » mentionnés à la dernière phrase et sont donc en principe fournis manuellement via l’interface de consultation du système de traitement avec, comme aujourd’hui, l’option de les transmettre également de manière automatisée si le FSCD le souhaite et en accord avec le Service SCPT.

Art. 18a, titre, al. 1 et 3 (ne concerne que l’allemand) Des adaptations purement rédactionnelles sont apportées au titre, à l’al. 1 et, dans la version allemande, à l’al. 3. À l’al. 1, la formulation « les FSCD qui n’ont pas d’obligations étendues » est remplacée par « les FSCD ayant des obligations minimales ». Le reste de l’article est inchangé.

Art. 19 Identification des usagers et des utilisateurs Des modifications rédactionnelles sont apportées au titre et à l’al. 1. Le titre actuel « Identification des usagers » est remplacé par « Identification des usagers et des utilisateurs », car il est effectivement question, dans le deuxième alinéa, d’utilisateurs plutôt que d’usagers.

À l’al. 1, la formulation « les FSCD ayant des obligations étendues en matière de fourniture de renseignements visés à l’art. 22, les FSCD ayant des obligations étendues en matière de surveillance visés à l’art. 52 » est remplacée par « les FSCD ayant des obligations restreintes, les FSCD ayant des obligations complètes ». Ensuite, la référence à l’art. 2 LSCPT est adaptée, puisque dans sa nouvelle version, cette disposition comprend deux alinéas 30. Les usagers peuvent être des abonnés, des partenaires contractuels, des clients finaux, etc., mais ils ne sont pas obligatoirement les utilisateurs finaux effectifs d’un appareil ou d’une connexion à l’internet. Dans le cas d’une connexion à l’internet utilisée par différents membres d’une famille, par exemple, l’usager est la personne qui a conclu le contrat. Les autres membres de la famille ou d’éventuels invités qui utiliseraient la connexion à l’internet, c’est-à-dire les utilisateurs finaux effectifs, n’ont pas besoin d’être identifiés. Une identification des utilisateurs finaux est cependant exigée dans les cas d’accès publics au réseau WLAN exploités à titre professionnel (voir art. 19, al. 2).

Les « moyens appropriés » d’identification – on parle aussi d’identification indirecte – sont des enregistrements implicites ou simplifiés au moyen d’indications de confiance (trusted). En voici quelques exemples : - code d’accès envoyé par SMS sur le téléphone mobile et enregistrement du MSISDN ; - identification par une carte de crédit et enregistrement des données d’autorisation ; - dans un aéroport, identification par une carte d’embarquement valable et enregistrement des données qui y figurent ;

30 Voir RO 2020 6159, 6181

- identification par une carte de voyageur fréquent d’une compagnie aérienne qui donne accès aux salons privés, et enregistrement des données d’autorisation ; - identification par la zone lisible par machine (MRZ) d’un document d’identité et enregistrement des données de la MRZ ; - identification via des données dignes de confiance fournies par des partenaires d’itinérance et enregistrement des données d’autorisation ; - code d’accès individuel fourni par un hôtel à ses clients lors de leur enregistrement ; - identification via une carte SIM et enregistrement de l’IMSI.

Un fournisseur de services de courrier électronique peut par exemple s’acquitter de ses obligations en matière d’identification en enregistrant et en fournissant les indications sur l’origine de la connexion lors du dernier accès (art. 42a), comme peut aussi le faire un fournisseur d’autres services de télécommunication ou services de communication dérivés selon l’art. 43a. Enregistrer les données sur l’origine de la connexion uniquement lors de l’ouverture d’un compte de courrier électronique (boîte mail) ou lors de la première activation du service ne suffit pas, parce que ces données ne peuvent en général être utilisées aux fins de l’identification des usagers que pendant six mois (durée de conservation des données d’attribution d’adresses IP dynamiques et des données NAT).

Un ajout est effectué à l’al. 2 pour préciser que les FST visés sont bien ceux qui fournissent l’accès à l’internet sous-jacent. La distinction est ainsi établie clairement entre les FST et les personnes qui mettent à la disposition de tiers un accès public au réseau WLAN exploité à titre professionnel. À la différence de ce que prévoit l’al. 1, ce sont ici les utilisateurs finaux qui doivent être identifiés, et non seulement les titulaires du raccordement, c’est-à-dire les personnes qui mettent leur accès au réseau à la disposition de tiers.

Art. 20, al. 2 À l’al. 2, la référence à l’art. 2 LSCPT est adaptée, puisque dans sa nouvelle version, cette disposition comprend deux alinéas 31.

Art. 20a, al. 1, let. d, et 1bis Une let. d 1 est ajoutée à l’al. d. Les personnes physiques pourront désormais présenter un permis de conduire suisse comme preuve d’identité. Cette modification répond à un désir largement exprimé de solutions pragmatiques. Seuls les permis suisses au format carte de crédit seront acceptés. C’est le document original qui devra être présenté, ou une version électronique officiellement autorisée. Les copies (sans présentation de l’original), les permis suisses au format papier et les permis étrangers ne seront pas admis.

31 Voir RO 2020 6159, 6180

Selon l’al. 1bis, une personne physique pourra également prouver son identité selon l’art. 20b lorsqu’elle gère une entreprise qui dispose d’un numéro d’identification national (IDE) selon la LIDE 32 ou international (Legal Entity Identifier, LEI), comme peut le faire une personne morale. Ces personnes physiques peuvent être par exemple une raison individuelle (voir. art. 3, al. 1, let. c, LIDE et le message relatif à la LIDE 33).

Art. 20b, al. 1, let. b Une adaptation rédactionnelle est apportée à la let. b : les abréviations IDE et LEI sont désormais introduites dans le nouvel al. 1bis de l’art. 20a et n’ont plus besoin d’être écrites en toutes lettres ici.

Art. 21, al. 1, let. a, 5, phrase introductive et let. b, al. 6 Une adaptation rédactionnelle est apportée à l’al. 1, let. a en raison des changements de désignation des sous-catégories de FSCD : la formulation « FSCD ayant des obligations étendues selon les art. 22 ou 52 » est remplacée par « FSCD ayant des obligations restreintes et les FSCD ayant des obligations complètes ». La let. b reste inchangée.

La phrase introductive de l’al. 5 subit également une modification rédactionnelle : « les FST, à l’exception de ceux ayant des obligations restreintes en matière de surveillance » est simplifiée en « les FST ayant des obligations complètes ». La let. b est complétée par un renvoi au nouvel art. 38a, tandis que le renvoi à l’art. 39, abrogé, est supprimé.

L’al. 6 est lui aussi adapté pour reprendre les nouvelles désignations des sous-catégories de FSCD : « FSCD ayant des obligations étendues en matière de surveillance (art. 52) » est remplacé par « FSCD ayant des obligations complètes ». Contrairement aux FST ayant des obligations complètes, les FSCD ayant des obligations complètes ne doivent conserver pendant six mois aux fins de l’identification que les données visées à l’al. 5, let. c. En effet, selon les nouvelles définitions données aux art. 16a et 16d, les FSCD n’offrent ni services de téléphonie mobile, ni services d’accès au réseau. Les renvois aux let. a et b de l’al. 5 peuvent donc être supprimés.

Art. 22 (abrogé) L’art. 22 (FSCD ayant des obligations étendues en matière de fourniture de renseignements) est abrogé, puisque toutes les dispositions relatives aux catégories et sous-catégories de POC se trouvent désormais dans la nouvelle section 1 « Catégories de personnes obligées de collaborer » (art. 16a à 16h). En outre, la subdivision des sous- catégories de FSCD change. Ils ne sont plus distingués en fonction de leurs obligations en matière de fourniture de renseignements ou de surveillance. Il n’y a donc plus de sous- catégorie équivalente à celle des FSCD ayant des obligations étendues en matière de fourniture de renseignements.

32 Loi fédérale du 18 juin 2010 sur le numéro d’identification des entreprises (LIDE ; RS 431.02) 33 Message du 28 octobre 2009 relatif à la loi fédérale sur le numéro d’identification des entreprises (FF 2009 7093)

Art. 26, al. 1, let. b et c Cet article donne un aperçu des types de renseignements définis dans l’ordonnance. La let. b de l’al. 1 est donc complétée pour inclure les trois nouveaux types de renseignements introduits dans les art. 38a (IR_58_IP_INTERSECT), 42a (IR_59_EMAIL_LAST) et 43a (IR_60_COM_LAST). L’art. 39 (IR_9_NAT) n’est plus cité, vu qu’il est abrogé (voir le commentaire de l’art. 39).

La let. c est adaptée pour correspondre à l’art. 44, où il est désormais question de renseignements sur les paiements et non plus seulement sur les méthodes de paiement (voir le commentaire de l’art. 44)

Art. 27, al. 2 La recherche flexible de nom est désormais explicitement étendue aux personnes morales. Pour les personnes physiques, rien ne change. Pour les personnes morales, les critères de recherche sont la désignation et, à titre optionnel, le siège. Le siège devrait pouvoir être délimité autant que possible au niveau du canton, car les personnes morales sont inscrites dans des registres du commerce cantonaux.

Art. 28, let. a, ch. 2bis, b, ch. 1biset 4 Cet article donne un aperçu des types de surveillance définis dans l’ordonnance. Un nouveau ch. 2bis est ajouté à la let. a pour inclure le nouveau type de surveillance en temps réel introduit par le nouvel art. 55a (RT_61_NA_CC-TRUNC_IRI). Les ch. 3 à 5 qui suivent restent inchangés.

Un nouveau ch. 1bis est ajouté à la let. b pour inclure le nouveau type de surveillance rétroactive introduit par le nouvel art. 60a (HD_62_IP). Les ch. 2 et 3 qui suivent restent inchangés. Le ch. 4 perd sa deuxième partie « avec les mesures préalables nécessaires (art. 64 et 65) », car les art. 64 et 65 (préalables à une recherche par champ d’antennes) sont abrogés.

Art. 31, al. 1 Le texte de l’actuel al. 1 ne distingue pas entre la disponibilité à renseigner et la disponibilité à surveiller. Les POC étant diversement concernées selon la catégorie et sous-catégorie desquelles elles relèvent, le nouvel al. 1 fait maintenant cette distinction et précise quelles POC doivent apporter la preuve de leur disponibilité à renseigner, et lesquelles celle de leur disponibilité à surveiller. En outre, les anciennes désignations des sous-catégories de FSCD et de FST sont remplacées par les nouvelles. Les formulations courtes sont utilisées. Les « fournisseurs ayant des obligations restreintes » sont les « FST ayant des obligations restreintes (art. 16b ) et les FSCD ayant des obligations restreintes (art. 16f), tandis que les « fournisseurs ayant des obligations complètes » sont les FST ayant des obligations complètes (art. 16c ) et les FSCD ayant des obligations complètes (art. 16g).

Art. 35, al. 1, let. b, ch. 4 Lors de la précédente révision de l’ordonnance, l’indication relative à l’équipement principal ou secondaire d’une offre multi-appareils avait été ajoutée dans le type de renseignements IR_6_NA (art. 36, al. 1, let. b, ch. 6). La pratique a néanmoins montré

qu’il peut être préférable pour les FST de transmettre les indications relatives aux offres multi-appareils dans le cadre du type de renseignements IR_4_NA. C’est pourquoi un ch. 4 est ajouté à l’al. 1, let. b, de ce type de renseignements. L’information relative à l’offre multi-appareils (équipement principal ou secondaire) est donc en principe transmise dans le cadre du type de renseignements IR_4_NA, en particulier pour les implémentations nouvelles. Les FST qui ont déjà intégré cette indication dans le IR_6_NA n’ont toutefois pas besoin de faire de changement.

Art. 36, al. 1, let. b, ch. 6 Comme indiqué dans le commentaire de l’art. 35, l’indication relative à l’équipement principal ou secondaire d’une offre multi-appareils avait été intégrée dans le type de renseignements IR_6_NA (art. 36, al. 1, let. b, ch. 6) lors de la précédente révision de l’ordonnance. La pratique a néanmoins montré qu’il peut être préférable pour les FST de transmettre les indications relatives aux offres multi-appareils dans le cadre du type de renseignements IR_4_NA (voir le commentaire de l’art. 35). Les FST qui ont déjà intégré cette indication dans le IR_6_NA n’ont pas besoin de changer. Le mot « éventuellement » est donc ajouté au ch. 6 pour signifier qu’un FST qui fournit l’indication en question dans le cadre du type de renseignements IR_4_NA n’a pas besoin de le fournir également dans le cadre du type IR_6_NA (où elle est ainsi optionnelle).

Art. 37, titre (ne concerne que l’allemand), al. 1, phrase introductive, et 3 Le titre subit une adaptation rédactionnelle en allemand.

Dans la phrase introductive de l’al. 1, une formulation plus simple et plus courte est utilisée, comme pour la phrase introductive de l’art. 38, al. 1.

Sur le fond, rien ne change.

L’al. 3 prévoit que seul un résultat univoque peut être livré. En cas de résultats multiples, la POC communique ce fait mais ne livre aucun résultat. L’autorité à l’origine de la demande peut alors faire une nouvelle demande du type IR_8_IP_NAT (art. 38). Si les résultats disponibles ne suffisent pas pour une identification univoque, l’autorité peut aussi prendre des dispositions pour que soit ordonnée et autorisée une surveillance rétroactive du nouveau type HD_62_IP_IDENT (art. 60a, voir le commentaire de cet article).

Art. 38 Type de renseignements IR_8_IP_NAT : identification des utilisateurs dans le cas d’adresses IP avec NAT Les renseignements visant l’identification des utilisateurs d’adresses IP avec traduction d’adresses de réseau (NAT) sont désormais tous regroupés sous ce type de renseignements. Le type similaire, à l’actuel art. 39, est abrogé. Pour plus de clarté, le titre de l’article est aussi modifié : la formule « adresses IP qui ne sont pas attribuées de manière univoque » donne parfois lieu à des confusions avec l’obligation de fournir des résultats univoques. Une adaptation rédactionnelle est par ailleurs faite dans le texte allemand.

Ce type de renseignements concerne en priorité les FST ayant des obligations complètes, qui doivent conserver pendant six mois les données de la procédure de traduction d’adresses de réseau (art. 21, al. 5, let. b). Les FST ayant des obligations restreintes de même que les FSCD ayant des obligations complètes ou restreintes fournissent uniquement les données dont ils disposent en réponse à une demande portant sur ce type de renseignements.

Le but ce type de renseignements est d’identifier de manière univoque l’utilisateur d’une adresse IP dans le contexte de la traduction d’adresses de réseau, plus précisément de remonter à l’origine d’une connexion internet spécifique désignée par une procédure déterminée de traduction d’adresses de réseau. Il s’agit d’identifier le plus précisément possible la personne ou l’accès au réseau qui entre en ligne de compte comme étant à l’origine d’une connexion internet donnée. Les modifications apportées à cette disposition ne changent pas le principe même de ce type de renseignements.

L’al. 1 définit les indications que la POC doit fournir si l’identification a réussi et qu’un résultat au moins a été trouvé. La phrase introductive précise qu’il est ici question des utilisateurs d’adresses IP avec traduction d’adresses de réseau (NAT). L’emploi du pluriel, autre modification par rapport à la formulation actuelle, indique que des résultats multiples sont admis. Ils constituent néanmoins l’exception. En règle générale, si la demande aboutit, un seul résultat est trouvé (voir aussi le commentaire du nouvel al. 3). À la let. a, l’exemple entre parenthèses est modifié pour reprendre l’identifiant « numéro de client », aussi utilisé dans d’autres dispositions. Dans le texte allemand, une adaptation rédactionnelle est par ailleurs faite à la let. b.

Inchangé quant au fond, l’al. 2 énumère les indications qui doivent figurer sur la demande de renseignements. Pour une meilleure lisibilité, les actuelles lettres a à f ont fait l’objet de modifications rédactionnelles visant à en synthétiser la formulation. Les actuelles lettres b à e sont résumées sous la let. b, tandis que l’actuelle let. f devient la nouvelle let. c (moment). En complément des explications figurant dans le rapport explicatif relatif à la modification de l’OSCPT entrée en vigueur le 1er janvier 2024, il y a lieu de relever au sujet du moment de la traduction que la POC doit tenir compte d’éventuels écarts mineurs de tolérance des horloges des systèmes lorsqu’elle effectue une recherche aux fins de l’identification d’un utilisateur ou de l’auteur ou l’origine d’une connexion.

L’al. 3 est nouveau. Il précise que la fourniture de résultats multiples n’est admise que si les indications selon l’al. 2 sont de nature à permettre une identification univoque. Il n’est toutefois pas possible de fixer de manière générale un nombre maximum de résultats admis, car ce nombre dépend en fait des spécificités techniques de chaque POC. Il s’agit dans tous les cas d’un petit nombre de résultats. Aussi la POC est-elle autorisée, en cas d’erreur (par ex. si elle trouve un nombre anormalement élevé de résultats) à rejeter la demande avec une brève justification (par ex. parce que les critères de recherche sont incomplets). Si possible, la POC qui rejette une demande indique aussi le nombre de résultats trouvés. L’autorité à l’origine de la demande a ainsi la possibilité de faire les démarches pour ordonner et faire approuver une surveillance rétroactive du nouveau type HD_62_IP (art. 60a ; voir le commentaire s’y rapportant).

Art. 38a Type de renseignements IR_58_IP_INTERSECT : identification des utilisateurs par formation d’intersections Ce nouveau type de renseignements est créé pour améliorer l’identification de l’utilisateur, de l’auteur ou de l’origine d’une connexion internet. Vu la fréquence des demandes de cette nature, traitées actuellement comme des cas spéciaux (art. 25), décision a été prise de procéder à une standardisation. Dans le cas de traduction d’adresses de réseau, ce type de renseignements, qui porte sur des connexions internet découvertes par les autorités durant leurs investigations, concerne en priorité des FST ayant des obligations complètes, qui sont tenus de conserver les données nécessaires à cette procédure pendant six mois (art. 21, al. 5, let. b). Les FST ayant des obligations restreintes et les FSCD ayant des obligations complètes ou restreintes fournissent les données dont ils disposent.

Si une demande du type IR_7_IP ne livre pas de résultat univoque et qu’une demande du type IR_8_IP_NAT n’est pas non plus probante, une intersection des différents résultats obtenus peut, selon le cas, permettre une identification : la condition est que l’autorité d’enquête dispose d’indications sur plusieurs connexions internet de l’utilisateur présumé ou sur plusieurs connexions qui ont le même auteur ou la même origine. Si c’est le cas, elles peuvent utiliser ce nouveau type de renseignements pour communiquer les données de toutes les connexions internet qu’elles ont trouvées au Service SCPT, qui transmet la demande à la POC.

Aux termes de l’al. 1, la POC détermine l’intersection de tous les résultats d’identification de l’utilisateur, de l’auteur ou de l’origine d’une connexion internet. En cas de succès, la recherche livre un seul résultat, qui est transmis à l’autorité requérante (voir le commentaire de l’al. 4).

L’al. 2 précise les indications que la POC doit fournir si l’identification et la détermination de l’intersection aboutissent (c’est-à-dire si elle trouve un résultat unique).

L’al. 3 énumère les indications qui doivent figurer dans la demande pour chaque connexion internet. Les lettres a à c correspondent aux lettres de l’art. 38, al. 2. L’expression le « moment déterminant » à la let. c signifie que les indications mentionnées aux let. a et b doivent se référer précisément à la date et l’heure en question, décisives pour la recherche et l’identification de l’usager. Comme pour une identification selon l’art. 38, al. 2, let. c, la POC a besoin d’indications horaires le plus précises possibles ; elle doit aussi tenir compte d’éventuels écarts de tolérance mineurs des horloges des systèmes, par exemple en effectuant une recherche avec un intervalle de tolérance plus important de manière à englober toutes les connexions internet qui peuvent entrer en ligne de compte. La POC peut créer, pour chacune des connexions internet visées par la demande, un sous-groupe de connexions potentiellement pertinentes trouvées dans les données secondaires. La détermination de l’intersection de tous les sous-groupes doit ensuite permettre d’identifier l’utilisateur recherché.

Conformément à l’al. 4, la POC ne livre d’indications sur l’utilisateur, l’auteur ou l’origine d’une connexion internet que si la requête aboutit à seul résultat. En cas de résultats multiples, elle ne livre pas de données et communique simplement qu’elle a trouvé plus

d’un résultat, en en précisant si possible le nombre. L’autorité à l’origine de la demande a ainsi la possibilité de faire les démarches pour ordonner et faire approuver une surveillance rétroactive du nouveau type HD_62_IP (art. 60a ; voir le commentaire s’y rapportant).

Art. 39 (abrogé) Le type de renseignements IR_9_NAT (renseignements sur les contextes de traduction d’adresses de réseau) n’a que rarement été utilisé. Les quelques cas dans lesquels ce type de requête est ordonné pouvant être traités soit avec le type de renseignements IR_8_IP_NAT, soit en tant que cas spécial (art. 25), le maintien de cette disposition ne se justifie pas.

Art. 40, al. 1, let. b, ch. 4 Lors de la précédente révision de l’ordonnance, l’indication relative à l’équipement principal ou secondaire d’une offre multi-appareils avait été ajoutée dans le type de renseignements IR_12_TEL (art. 41, al. 1, let. b, ch. 4). La pratique a néanmoins montré qu’il peut être préférable pour les POC de transmettre les indications relatives aux offres multi-appareils dans le cadre du type de renseignements IR_10_TEL. C’est pourquoi un ch. 4 est ajouté à l’al. 1, let. b, de ce type de renseignements. L’information relative à l’offre multi-appareils (équipement principal ou secondaire) est donc en principe transmise dans le cadre du type de renseignements IR_10_TEL, en particulier pour les implémentations nouvelles. Les FST qui ont déjà intégré cette indication dans le type IR_12_TEL n’ont toutefois pas besoin de faire de changement.

Art. 41, al. 1, let. b, ch. 4 Comme exposé dans le commentaire de l’art. 40 ci-dessus, l’indication relative à l’équipement principal ou secondaire d’une offre multi-appareils avait été ajoutée dans le type de renseignements IR_12_TEL (art. 41, al. 1, let. b, ch. 4) lors de la précédente révision de l’ordonnance. La pratique a néanmoins montré qu’il peut être préférable pour les POC de transmettre les indications relatives aux offres multi-appareils dans le cadre du type de renseignements IR_10_TEL (voir le commentaire de l’art. 40). Les FST qui ont déjà intégré cette indication dans le type de renseignements in IR_12_TEL n’ont pas besoin de changer. Le mot « éventuellement » est donc ajouté au ch. 4 pour signifier qu’un FST qui fournit l’indication en question dans le cadre du type de renseignements IR_10_TEL n’a pas besoin de le fournir également dans le cadre du type IR_12_TEL (où elle est ainsi optionnelle).

Art. 42a Type de renseignements IR_59_EMAIL_LAST : renseignements sur le dernier accès à un service de courrier électronique Cette requête vise à obtenir des renseignements sur le dernier accès à un service de courrier électronique. Les données fournies servent à l’identification de l’utilisateur. En outre, le moment du dernier accès est déterminant pour établir la fin de la procédure de communication : pour tous les messages sauvegardés dans la boîte aux lettres électronique qui ont été reçus et envoyés avant le dernier accès, le processus de communication est réputé terminé. Cela signifie que le ministère public peut obtenir ces

messages en vertu des art. 263 ss CPP 34 (par voie d’une ordonnance de production de pièces adressée directement au fournisseur). Pour connaître le contenu des messages reçus et envoyés après le dernier accès, l’autorité habilitée n’a d’autre choix que d’ordonner une surveillance en temps réel selon l’art. 59 (RT_27_EMAIL_CC_IRI). Cette délimitation en fonction du dernier accès n’est en revanche pas pertinente pour les données secondaires puisque les fournisseurs qui ont des obligations complètes doivent de toute façon les conserver pendant six mois. En outre, les FST et les FSCD sont tous tenus de fournir, sur demande, les données secondaires dont ils disposent.

Il n’est pas possible d’indiquer de moment déterminant dans la demande. Avec ce type de renseignements, les POC doivent uniquement fournir des informations sur le dernier accès à un service de courrier électronique et cet accès ne peut remonter à plus de six mois. Elles ne sont pas non plus tenues de livrer des renseignements sur des activités antérieures au dernier accès. En d’autres termes, il n’est pas possible d’obtenir ici un historique des accès au service de courrier électronique. Seule une surveillance rétroactive du type HD_30_EMAIL (art. 62) permet d’obtenir ce relevé rétroactif des activités d’accès au service de courrier électronique et les données secondaires historiques s’y rapportant. Pour les données secondaires en temps réel du service de courrier électronique, la seule option est une surveillance en temps réel selon l’art. 58 (RT_26_EMAIL_IRI).

L’al. 1 précise les indications que la POC mandatée doit livrer. La let. a mentionne un identifiant de l’usager (par ex. le numéro de client), pour autant que le fournisseur utilise ce type de codes pour identifier de manière univoque ses usagers. L’« identifiant du service » selon la let b désigne de manière univoque le service de courrier électronique (boîte aux lettres électronique) sur lequel porte la réponse (par ex. une adresse électronique, un nom d’utilisateur). La let c énumère les données à livrer sur l’origine de la connexion lors du dernier accès. Ces indications peuvent en effet être utiles pour identifier l’utilisateur. En fournissant ces données, la POC s’acquitte de son obligation d’identifier les usagers par des moyens appropriés selon l’art. 19, al. 1. Il ne suffit pas d’enregistrer ces données au moment de l’ouverture du compte de courrier électronique (boîte aux lettres électronique), car ces données ne peuvent généralement être utilisées que durant six mois (durée de la conservation des données relatives à l’attribution dynamique d’adresses IP et des données relatives à la traduction d’adresses de réseau) aux fins de l’identification des usagers.

L’al. 2 mentionne les indications qui doivent figurer dans la demande de renseignements, par exemple l’adresse électronique ou le nom d’utilisateur. Le critère de recherche doit être suffisamment précis pour que la POC puisse identifier de manière univoque le service de courrier électronique (boîte aux lettres électronique) dont il est question. Il est aussi possible d’indiquer dans la demande un alias d’adresse électronique.

34 Code de procédure pénale suisse, du 5 octobre 2007 (code de procédure pénale, CPP ; RS 312.0)

Art. 43a Type de renseignements IR_60_COM_LAST : renseignements sur le dernier accès à un autre service de télécommunication ou service de communication dérivé Ce nouveau type de renseignements vise à obtenir des renseignements sur le dernier accès à un autre service de télécommunication ou service de communication dérivé. Les données fournies servent à l’identification de l’utilisateur. En outre, le moment du dernier accès est déterminant pour établir la fin de la procédure de communication : comme dans le cas du courrier électronique, pour tous les messages sauvegardés dans la boîte de réception du service qui ont été reçus et envoyés avant le dernier accès audit service, le processus de communication est réputé terminé. Le ministère public peut obtenir ces messages en vertu des art. 263 ss CPP 35 (par voie d’une ordonnance de production de pièces adressée directement au fournisseur).

Il n’est pas possible d’indiquer de moment déterminant dans la demande. Avec ce type de renseignements, les POC doivent uniquement fournir des informations sur le dernier accès à un service de courrier électronique et cet accès ne peut remonter à plus de six mois. Elles ne sont pas non plus tenues de livrer des renseignements sur des activités antérieures au moment du dernier accès. En d’autres termes, il n’est pas possible d’obtenir ici un historique des accès au service de télécommunication ou service de communication dérivé concerné.

L’al. 1 précise les indications que la POC mandatée doit livrer. La let. a mentionne un identifiant de l’usager (par ex. le numéro de client), pour autant que le fournisseur utilise ce type de codes pour identifier de manière univoque ses usagers. L’« identifiant du service » selon la let b désigne le service de télécommunication ou service de communiqué dérivé offert par le fournisseur et sur lequel porte la réponse. La let c énumère les données à livrer sur l’origine de la connexion lors du dernier accès. Ces indications peuvent en effet être utiles pour identifier l’utilisateur. En fournissant ces données, la POC s’acquitte de son obligation d’identifier les usagers par des moyens appropriés selon l’art. 19, al. 1. Il ne suffit pas d’enregistrer ces données au moment de la première activation du service, car ces données ne peuvent généralement être utilisées que durant six mois (durée de la conservation des données relatives à l’attribution dynamique d’adresses IP et des données relatives à la traduction d’adresses de réseau) aux fins de l’identification des usagers.

L’al 2 mentionne les indications qui doivent figurer dans la demande de renseignements, par exemple l’adresse de l’utilisateur, un pseudonyme ou un jeton d’identification. Un jeton d’identification – push token en anglais – est un identifiant spécifique à une application, qui est utilisé pour l’envoi de notifications de l’application en question. Concrètement, le jeton d’identification garantit que la notification du service concerné est envoyée à une application spécifique sur un appareil déterminé (par ex. le « Device Token » du service de notification push d’Apple, le « Registration Identifier » du service Cloud Messaging de Google, le « Channel URI » du service de notification push de Windows). Le critère de recherche doit être suffisamment précis pour que la POC puisse

35 Code de procédure pénale suisse, du 5 octobre 2007 (code de procédure pénale, CPP ; RS 312.0)

identifier de manière univoque le service de télécommunication ou le service de communication dérivé dont il est question.

Art. 44, titre, al. 1, phrase introductive, let. f et al. 3, let. d et e La portée de ce type de renseignements est étendue pour permettre d’obtenir des informations sur la méthode de paiement mais aussi sur les paiements proprement dits effectués par des usagers de services de télécommunication et de services de communication dérivés. Comme les paiements ne diffèrent guère entre les différentes catégories de services, ce type de renseignements – qui se fonde sur le paramètre ETSI « PaymentDetails » – couvre toutes les catégories de services. La nature du service – prépayé ou sur abonnement – n’a pas non plus d’importance.

Face à l’évolution des habitudes de paiement, les requêtes actuelles visant les comptes bancaires ne suffisent plus. Avec ce type de renseignements étendu, il est possible de demander des détails sur des paiements effectués à partir de comptes déterminés et sur des transactions électroniques. Il s’agit d’informations que les autorités de poursuite pénale peuvent utiliser dans la suite de leurs investigations par exemple pour remonter la piste d’une source de paiement ou pour découvrir quel service a été payé à partir d’une source de paiement donnée. Ce type de renseignements standardisé permet de simplifier et d’accélérer les demandes adressées aux POC.

Dans le titre et la phrase introductive de l’al. 1, le terme méthode de paiement est remplacé par paiements. La structure de l’article reste inchangée. L’al. 1 précise les indications que la POC doit livrer.

La let. f de l’al. 1 est entièrement reformulée. Les autorités pourront demander non seulement des informations sur les comptes bancaires, mais aussi toutes les informations connues sur les paiements effectués, les transactions, les transferts, les moyens de paiement et les comptes de paiement utilisés pour payer des services de télécommunication et des services de communication dérivés. Ces informations sont par exemple : date du paiement, montant, devise, mode de paiement (par ex. débit, virement, service prépayé, carte de crédit, cryptomonnaie, en ligne), nom de l’établissement de paiement (par ex. banque, service de paiement en ligne tel que PayPal, service de paiement mobile tel que Twint, société de cartes de crédit, prestataire de services cryptographiques), compte de paiement (par ex. numéro, désignation éventuellement différente du nom de l’établissement de paiement, IBAN, nom et adresse du titulaire du compte), moyen de paiement et numéro de transaction.

Rien ne change en revanche concernant les obligations de sauvegarde : les POC ne doivent fournir que les informations dont elles disposent (al. 2 inchangé).

L’al. 3 définit, comme dans l’ordonnance en vigueur, les différents critères de recherche possibles. Entièrement récrite, la let. d mentionne les éléments suivants :

- un paiement donné (par ex. des indications sur un transfert bancaire avec précision du montant, de la date ainsi que de l’institut et du compte de paiement) ;

- une transaction donnée (par ex. des indications sur des transactions en cryptomonnaies, par carte de crédit, via des services de paiement en ligne comme PayPal ou de paiement mobile comme Twint) ; - un moyen de paiement donné (par ex. un numéro de carte de crédit ou de débit) ; - un compte de paiement donné (par ex. l’IBAN ou le numéro d’un compte en banque et le BIC, adresse du compte ou du portefeuille de cryptomonnaies, un compte PayPal [adresse électronique / numéro de mobile], compte Twint [numéro de mobile]).

À la let. e (adresse de facturation), les indications entre parenthèses sont simplifiées.

Art. 48b, al. 2 Ce type de renseignements a été introduit lors de la précédente révision de l’OSCPT. La pratique a néanmoins montré qu’il n’est pas toujours nécessaire de préciser dans la demande de renseignements la zone concernée du réseau de téléphonie mobile (« tracking area »), même si l’al. 2 en fait dans sa teneur actuelle une indication obligatoire. La zone concernée du réseau de téléphonie mobile fait plus globalement partie des indications relatives à la localisation. Or ce n’est que si elles sont nécessaires pour déterminer de manière univoque l’identifiant permanent que ces indications doivent être précisées dans la demande. C’est le cas par exemple lorsqu’un identifiant temporaire est utilisé au même moment à un autre emplacement dans le même réseau de téléphonie mobile. Les données de localisation permettent alors au FST d’identifier sans ambiguïté la combinaison temporaire / permanent dont il est question. En l’absence d’utilisation multiple d’un même identifiant temporaire, la précision de ces indications dans la demande n’est pas nécessaire.

Art. 50, al. 1 et 9 L’al. 1 subit une adaptation rédactionnelle : dans la première phrase, la formule « tout FST, à l’exception de ceux qui ont des obligations restreintes en matière de surveillance (art. 51), et tout FSCD ayant des obligations étendues en matière de surveillance (art. 52) » est remplacée par celle, plus simple, de « fournisseur ayant des obligations complètes ». Le terme englobe les FST ayant des obligations complètes (art. 16c) et les FSCD ayant des obligations complètes (art. 16g). Dans la deuxième phrase, « FSCD ayant des obligations étendues en matière de surveillance » est remplacé par « FSCD ayant des obligations complètes » (art. 16g) et la formulation est corrigée pour indiquer plus justement que ces fournisseurs sont dispensés des « surveillances » plutôt que des « types de surveillance ». Ils ne doivent donc pas établir une disponibilité à exécuter les surveillances des types énumérés, rien ne change quant au fond.

La modification de la première phrase de l’al. 9 est liée à l’entrée en vigueur de l’OF- SCPT 36 et l’introduction des forfaits : la précision « dans le cadre du même ordre » est ajoutée et la deuxième phrase de la disposition dans sa teneur actuelle est supprimée. 36 Ordonnance du 15 novembre 2023 sur le financement de la surveillance de la correspondance par poste et télécommunication (OF-SCPT ; RS 780.115.1)

L’ajout dans la première phrase vise à préciser que l’extension d’une surveillance en temps réel ou d’une détermination périodique de position déjà actives ne compte pas comme un nouvel ordre et n’a donc pas d’incidences sur la comptabilisation des mandats et les statistiques, ni sur la répercussion des coûts et les indemnisations versées aux POC. La dernière phrase reste inchangée.

Art. 50a Suppression des chiffrements La critique avait été entendue durant la consultation relative à la modification de l’OSCPT du 15 novembre 2023 (première étape, voir ch. 1.2) que l’obligation de supprimer les chiffrements opérés par les fournisseurs allait permettre de surveiller les échanges par messagerie instantanée (« tchats »), ce qui contreviendrait aux droits humains37 : les opposants ont fait valoir que le chiffrement de la communication numérique était un droit fondamental et que la levée du secret de la correspondance numérique violait l’art. 13 Cst. 38. La disposition, également critiquée dans les médias, a été de toute évidence mal comprise, car elle ne s’applique pas au chiffrement de bout en bout côté client et n’entraîne aucunement une interdiction d’utiliser ce type de procédé. Selon le libellé proposé dans l’avant-projet de la première étape de la révision de l’OSCPT, l’obligation de supprimer les chiffrements opérés devait s’appliquer non seulement aux FST (obligation conformément à l’art. 26, al. 2, let. c, LSCPT), mais aussi aux FSCD ayant des obligations étendues (art. 22 et 52 OSCPT). Vu néanmoins que la question de la définition des catégories de FST et de FSCD n’était pas encore tranchée et compte tenu du statu quo concernant les critères dictant le passage d’un FSCD dans une catégorie avec des obligations plus étendues, décision a été prise d’intégrer la question de la suppression des chiffrements dans la deuxième étape de la révision.

Cette disposition est donc reprise dans ce projet, avec une description plus détaillée de l’obligation pour les fournisseurs de supprimer les chiffrements qu’ils ont opérés. Cette obligation résulte de l’art. 26, al. 2, let. c, LSCPT dans le cas des FST, et de l’art. 26, al 2, let. c en relation avec l’art. 27, al. 3, LSCPT dans le cas des FSCD offrant des services d’une grande importance économique ou à un grand nombre d’utilisateurs.

L’expression « les fournisseurs ayant des obligations restreintes et les fournisseurs ayant des obligations complètes » englobe les FST ayant des obligations restreintes (art. 16b) les FST ayant des obligations complètes (art. 16c) ainsi que les FSCD ayant des obligations restreintes (art. 16f) et les FSCD ayant des obligations complètes (art. 16g).

Un fournisseur qui opère un chiffrement de transport entre ses systèmes et ses clients finaux, c’est-à-dire que la transmission n’est pas chiffrée de bout en bout, doit intercepter, en des points appropriés, la correspondance par télécommunication non chiffrée de la personne surveillée et la transmettre au Service SCPT.

37 Voir aussi le rapport du 15.11.2023 rendant compte des résultats de la consultation (Procédures de consultation closes DFJP 2022), p. 7 et 18 ad art. 50 38 Constitution fédérale de la Confédération suisse, du 18 avril 1999 (Cst. ; RS 101)

Comme le souligne la dernière phrase de l’article, l’obligation de supprimer les chiffrements ne concerne pas les chiffrements de bout en bout entre les clients finaux, plus précisément entre leurs équipements terminaux ou les applications qu’ils utilisent pour communiquer. Dans ce cas, ce n’est généralement pas le fournisseur qui appose le chiffrement et il ne dispose pas de la clé. Toutefois, si c’est une clé du fournisseur qui est utilisée pour le chiffrement, c’est-à-dire si le fournisseur est en mesure de déchiffrer la correspondance par télécommunication chiffrée de la personne surveillée, le fournisseur est alors tenu de supprimer les chiffrements.

Art. 51 et 52 (abrogés) Les art. 51 (FST ayant des obligations restreintes en matière de surveillance) et 52 (FSCD ayant des obligations étendues en matière de surveillance) sont abrogés, car les dispositions se rapportant à ces catégories de POC se trouvent à présent respectivement à l’art. 16b (FST ayant des obligations restreintes) et à l’art. 16g (FSCD ayant des obligations complètes).

Art. 55a Type de surveillance RT_61_NA_CC-TRUNC_IRI : surveillance en temps réel de données secondaires et du contenu tronqué de services d’accès au réseau Ce nouveau type de surveillance est créé pour intégrer le procédé de découpage par paquets ou troncature (« packet truncation », « packet slicing »), une nouvelle forme standardisée de surveillance qui peut être ordonnée uniquement pour surveiller en temps réel des contenus d’un service d’accès au réseau. Aucune autre application n’est prévue.

Dans ce procédé, la POC enlève un bout des paquets IP, c’est-à-dire qu’elle ne transmet qu’une copie réduite de chaque paquet IP de la correspondance par télécommunication de la personne surveillée. Seules les données de contenu (CC) sont tronquées, pas les données secondaires (IRI). Le but de cette troncature est de réduire le volume des données issues de la surveillance qui sont envoyées via le réseau de transmission dans le système de traitement 39 pour y être traitées, analysées et sauvegardées.

Concrètement, la troncature consiste à ne transmettre qu’un nombre déterminé des octets initiaux de chaque paquet IP de la correspondance par télécommunication entrante et sortante de la personne surveillée. L’autorité peut définir pour chaque surveillance le nombre d’octets initiaux qu’elle veut obtenir et l’indiquer dans l’ordre de surveillance. La POC découpe le reste des octets de chaque paquet et les supprime sans les transmettre. La correspondance par télécommunication originale de la personne surveillée ne s’en trouve pas modifiée.

Cette méthode offre un double avantage : elle est simple à mettre en œuvre et intervient sur une des couches inférieures du protocole (couche n° 3 du réseau). On s’assure ainsi que tous les paquets IP des télécommunications surveillées sont copiés et tronqués précisément, sans que la POC n’ait à prendre connaissance du contenu (pas d’inspection

39 Système de traitement pour la surveillance des télécommunications

des paquets). La troncature présente toutefois aussi un inconvénient, à savoir que le contenu, une fois transmis, n’est plus guère lisible lorsque les coupes sont importantes.

On réservera donc la troncature de paquets aux cas dans lesquels les autorités veulent exploiter avant tout les données d’en-tête (« header ») des paquets IP et, le cas échéant, d’autres données intéressantes de la partie antérieure de la charge utile (« payload »), mais n’ont pas besoin des données de la partie postérieure, par exemple parce que le contenu est chiffré et donc illisible, parce que le volume de données est extrêmement important et ne peut être pris en charge par le système de traitement ou parce que le contenu n’est pas pertinent pour l’enquête.

Seule l’autorité qui ordonne une mesure peut le cas échéant demander à ce que ne lui soient transmis qu’un nombre déterminé d’octets de tous les paquets IP de la correspondance par télécommunication surveillée, par exemple les 60 premiers octets. Le nombre d’octets à livrer peut être choisi librement et ne doit pas forcément correspondre à celui de l’en-tête ou d’une autre portion de la structure interne des paquets. Cette limite s’applique pendant toute la durée de la surveillance. Pour la modifier, une nouvelle surveillance doit être ordonnée et un nouveau mandat donné à la POC.

La POC n’enfreint pas son obligation selon l’art. 29, al. 1, let. b de transmettre les données issues de la surveillance sans perte de données tant que les données transmises correspondent au mandat de surveillance (art. 29, al. 1, let. c).

Art. 60, let. g La let. g est précisée pour permettre la fourniture également des données de localisation de la cible provenant des informations de signalisation NAS. La qualité et la fréquence des données de localisation de la cible s’en trouvent ainsi améliorées. La transmission de ces indications n’est toutefois possible que si ces données de localisation provenant des informations de signalisation NAS sont disponibles. La NAS, c’est-à-dire la strate de non-accès (« non-access stratum »), est une couche située entre l’équipement terminal (« user equipment », UE) et le réseau central (« core network ») pour la transmission de messages de signalisation. Utilisée lorsque l’équipement terminal accède au réseau – pour téléphoner, consulter internet, envoyer des messages, etc. – via une connexion radio (« Radio Access Network », RAN), elle sert à la gestion de certaines fonctions dans le réseau de communication mobile (par ex. enregistrement, établissement de la session, sécurité, gestion de la mobilité).

Art. 60a Type de surveillance HD_62_IP : surveillance rétroactive aux fins de l’identification des usagers de connexions à l’internet L’identification des usagers et des utilisateurs soulève le problème de la délimitation entre données secondaires et données d’identification. Il n’est pas possible en effet de livrer des données secondaires en réponse à une demande de renseignements. L’autorité peut cependant les demander dans le cadre d’une surveillance dûment ordonnée et autorisée conformément à l’art. 273 CP.

Ce type de surveillance rétroactive est créé pour résoudre le problème des réponses multiples pour les demandes de renseignements des types IR_7_IP (art. 37), IR_8_IP_NAT (art. 38) et IR_58_IP_INTERSECT (art. 38a). Les demandes des types IR_7_IP et IR_58_IP_INTERSECT n’admettent qu’une identification univoque de l’utilisateur. En d’autres termes, la réponse ne peut être fournie que si la recherche livre un seul résultat. Pour les demandes du type IR_8_IP_NAT, l’objectif est aussi d’obtenir si possible un résultat univoque. Exceptionnellement toutefois, la livraison de résultats multiples peut être autorisée si et seulement si les indications qui figurent dans la demande de renseignements sont de nature à permettre une identification univoque, autant que possible, de l’utilisateur. La raison de cette restriction est d’empêcher la communication de résultats faussement positifs dans le cadre de la procédure simplifiée de la fourniture de renseignements. C’est pourquoi en cas de résultats multiples à des demandes des types IR_7_IP et IR_58_IP_INTERSECT et en cas d’erreur pour les demandes du type IR_8_IP_NAT, la POC communique uniquement que plusieurs résultats ont été trouvés, en en précisant le nombre si elle le connaît. L’autorité qui a ordonné la surveillance et l’autorité d’autorisation peuvent alors évaluer au cas par cas s’il est proportionné d’ordonner ce nouveau type de surveillance rétroactive pour obtenir tous les résultats, donc aussi les faux positifs.

Les résultats fournis requièrent des investigations plus poussées de manière à pouvoir identifier l’utilisateur recherché ou les données concernant l’origine de la connexion à l’internet dont il est question. L’utilisation multiple de l’adresse IP (source) fait que des données sur des tiers non concernés peuvent aussi se trouver dans les résultats livrés. Sur le plan de la gravité à l’atteinte aux droits fondamentaux, ce type de surveillance rétroactive est donc comparable à une recherche par champ d’antennes.

L’al. 1 définit deux modalités d’exécution de cette surveillance rétroactive : dans la modalité prévue à la let. a, la POC procède à une identification selon l’art. 38 (voir aussi le commentaire de cet article). Si c’est la modalité de la let. b qui est ordonnée, la POC procède à l’identification par formation d’intersections conformément à l’art. 38a (voir aussi le commentaire de cet article).

L’al. 2 précise les indications que la POC doit transmettre. Il s’agit des mêmes indications qu’aux art. 38, al. 1, et 38a, al. 2, à la différence près que la fourniture de résultats multiples est ici autorisée.

L’al. 3 enfin énumère les informations qui doivent figurer dans l’ordre de surveillance pour chaque connexion à l’internet. Comme pour les demandes de renseignements des types IR_8_IP_NAT (art. 38) et IR_58_IP_INTERSECT (art. 38a), l’autorité doit préciser pour chaque connexion le moment déterminant et non une période. L’indication d’une période accroîtrait encore le nombre de résultats possibles. La POC doit tenir compte d’éventuels écarts de tolérance mineurs des horloges des systèmes (cf. commentaire de l’art. 38, al. 2, let. c et de l’art. 38a, al. 3, let. c).

Conformément à la let. a, la POC doit indiquer dans l’ordre l’adresse IP source publique. Il s’agit de l’adresse visible dans l’internet en tant qu’IP d’origine.

Les informations selon la let. b ne doivent être indiquées que si elles sont nécessaires pour l’identification, c’est-à-dire en particulier dans le cas où il y a une traduction d’adresses de réseau (NAT). Il s’agit d’une condition technique qui dépend de l’utilisation ou non d’un procédé de traduction et, le cas échéant, du procédé utilisé. Pour le savoir, l’autorité peut demander l’information à la POC via le Service SCPT avant d’ordonner la surveillance (art. 16, let. c, LSCPT). Les ch. 1 à 4 listent les paramètres techniques. Dans le cas d’une procédure de traduction d’adresses de réseau, l’indication selon le ch. 1 du numéro de port source public est généralement obligatoire. L’indication de paramètres supplémentaires selon les ch. 2 à 4 permet d’affiner les résultats. Il peut toutefois arriver que les autorités ne disposent que d’informations incomplètes sur les connexions internet concernées (les numéros de port source notamment ne sont pas connus). Cette lacune peut être compensée par l’intersection des résultats de l’identification des utilisateurs de plusieurs connexions à l’internet (al. 1, let. b). Si l’obtention de faux positifs ne peut être exclue, leur nombre est nettement plus faible que dans le cas de l’identification de l’utilisateur d’une seule connexion dont le numéro de port source est inconnu.

Art. 64 et 65 (abrogés) Le type de surveillance AS_32_PREP_COV (analyse de la couverture réseau préalablement à une recherche par champ d’antennes ; art. 64) n’a été que rarement utilisé et ne répond plus guère aux exigences actuelles en raison de la complexité du réseau de communication mobile. Lacunaires, les données obtenues manquent de pertinence. Cette disposition peut donc être supprimée.

Rarement utilisé lui aussi, le type de surveillance AS_33_PREP_REF (communications de référence ou accès au réseau de référence préalablement à une recherche par champ d’antennes ; art. 65) peut être supprimé pour les mêmes raisons.

Art. 66, al. 1 À l’al. 1, on parle désormais de cellules de téléphonie mobile et d’accès au réseau WLAN public au pluriel. Une recherche par champ d’antennes peut déjà couvrir aujourd’hui plus d’une cellule de téléphonie mobile ou plus d’un accès au réseau WLAN public. Or selon les règles d’établissement des décomptes de l’OEI-SCPT40, désormais abrogée, le nombre de mandats de surveillance était déterminé par le nombre de cellules ou d’accès concernés.

Ces règles de comptabilisation ont été abandonnées à la suite de l’entrée en vigueur de l’OF-SCPT 41 : depuis le 1er janvier 2024, les recherches par champ d’antennes ne sont plus décomptées par cellule de communication mobile ou accès au réseau WLAN public concerné mais par POC et par période jusqu’à deux heures, quel que soit le nombre de

40 Ordonnance du 15 novembre 2017 sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (OEI-SCPT ; RO 2018 201 ; 2020 2061; 2022 301 ch. I 13]) 41 Ordonnance du 15 novembre 2023 sur le financement de la surveillance de la correspondance par poste et

télécommunication (OF-SCPT ; RS 780.115.1)

cellules ou d’accès. Un même ordre peut donc avoir pour objet la surveillance, par la même POC et pendant un même intervalle de deux heures, de plusieurs cellules ou de plusieurs accès. L’élément déterminant reste l’ordre de surveillance et la formulation au pluriel est donc justifiée.

Concrètement, la procédure se déroule comme suit : l’autorité habilitée émet un ordre de surveillance dans lequel elle définit précisément quelles cellules de téléphonie mobile et / ou accès au réseau WLAN public de quel FST doivent être surveillés pendant quel intervalle de temps. Elle décide librement du nombre des cellules / accès et des POC concernés ainsi que des périodes pertinentes. Comme toujours, l’ordre doit être autorisé par l’autorité compétente avant d’être transmis au Service SCPT.

Dans le WMC (le système de gestion des mandats), l’ordre de surveillance reçu de l’autorité est subdivisé en mandats WMC par FST et par période de deux heures au plus. Le système mandate ensuite les POC concernées en leur transmettant des requêtes techniques individuelles pour la transmission des données secondaires. Comme c’est déjà le cas, une requête est envoyée pour chaque cellule et chaque accès concerné. La requête technique AS_34 sert pour la première cellule ou le premier accès. Si le mandat WMC englobe d’autres cellules ou accès au réseau, une requête technique AS_34_MORE est établie pour chaque cellule ou accès supplémentaire. Les éventuelles requêtes AS_34_MORE ne peuvent être établies qu’en complément d’une requête AS_34 et elles font donc partie intégrante du type de surveillance AS_34. Elles relèvent du même mandat WMC et portent par conséquent sur la même période de deux heures au plus et sont adressées à la même POC.

En résumé, un mandat WMC (par FST et par période de deux heures au plus) correspond à une surveillance rétroactive du type recherche par champ d’antennes AS_34. Un mandat de surveillance de ce type, comprenant une requête technique AS_34 (première cellule / premier accès au réseau) et, selon le cas, une requête technique AS_34_MORE pour chaque cellule / accès supplémentaire, peut donc concerner plus d’une cellule de téléphonie mobile ou plus d’un accès au réseau WLAN public. Le nombre de recherches par champs d’antennes et, partant, de mandats WMC correspond au nombre de requêtes techniques AS_34 (première cellule / premier accès) par FST et période de deux heures au plus.

L’exemple ci-après permet d’illustrer simplement le déroulement des opérations : une autorité transmet un ordre au Service SCPT pour une recherche par champ d’antennes concernant les cellules A, B et C auprès du FST Y et les cellules D et E auprès du FST Z sur une période de cinq heures. Dans le WMC, l’ordre est subdivisé en mandats WMC par FST et par période de deux heures au plus :

1) mandat WMC 1 pour les cellules A, B et C auprès du FST Y pour les 2 premières heures, 2) mandat WMC 2 pour les cellules A, B et C auprès du FST Y pour les 3e et 4e heures, 3) mandat WMC 3 pour les cellules A, B et C auprès du FST Y pour la 5e et dernière heure ;

4) mandat WMC 4 pour les cellules D et E auprès du FST Z pour les 2 premières heures, 5) mandat WMC 5 pour les cellules D et E auprès du FST Z pour les 3e et 4e heures, 6) mandat WMC 6 pour les cellules D et E auprès du FST Z pour la 5e et dernière heure, soit 6 mandats WMC en tout.

Le WMC établit ensuite les requêtes techniques et les envoie au FST Y (les requêtes techniques portent toujours sur la même période que le mandat de surveillance) :

1) Mandat de surveillance 1 : requête technique 1 AS_34 pour la cellule A pour les 2 premières heures, requête technique 1-1 AS_34_MORE pour la cellule B et requête technique 1-2 AS_34_MORE pour la cellule C ; 2) Mandat de surveillance 2 : requête technique 2 AS_34 pour la cellule A pour les 3e et 4e heures, requête technique 2-1 AS_34_MORE pour la cellule B et requête technique 2-2 AS_34_MORE pour la cellule C ; 3) Mandat de surveillance 3 : requête technique 3 AS_34 pour la cellule A pour la 5e et dernière heure, requête technique 3-1 AS_34_MORE pour la cellule B et requête technique 3-2 AS_34_MORE pour la cellule C. Le WMC établit de la même manière les requêtes techniques pour le FST Z (comme mentionné plus haut, les requêtes techniques portent toujours sur la même période que le mandat de surveillance) :

1) Mandat de surveillance 4 : requête technique 4 AS_34 pour la cellule D pour les

2 premières heures et requête technique 4-1 AS_34_MORE pour la cellule E ;

2) Mandat de surveillance 5 : requête technique 5 AS_34 cellule D pour les 3e et 4e heures et requête technique 5-1 AS_34_MORE pour la cellule E ; 3) Mandat de surveillance 6 : requête technique 6 AS_34 pour la cellule D pour la 5e et dernière heure et requête technique 6-1 AS_34_MORE pour la cellule E, soit au total 6 mandats de surveillance du type AS_34 à 2 FST (3 mandats au FST Y et

3 autres au FST Z), ce qui correspond dans notre exemple à 6 mandats WMC pour

6 recherches par champ d’antennes ou 6 surveillances rétroactives.

Art. 74b, al. 2 Des adaptations rédactionnelles sont apportées à l’al. 2. La formule « FST, à l’exception de ceux ayant des obligations restreintes en matière de surveillance (art. 51) » est simplifiée en « FST ayant des obligations complètes ». La sous-catégorie des FST ayant des obligations complètes est définie à l’art. 16c. Sur le fond, rien ne change.

Art. 74c Dispositions transitoires relatives à la modification du XXX Ce nouvel article règle les dispositions et délais transitoires pour la présente révision de l’ordonnance. Tous les délais prévus dans cet article commencent à courir au moment de l’entrée en vigueur de la révision (modification du XXX).

Pour les FSCD qui, au moment de l’entrée en vigueur de l’acte, remplissent déjà l’un des critères selon l’art. 16f, al. 1, ou selon l’art. 16g, al. 1, imposant le passage dans une sous-catégorie supérieure, l’al. 1 prévoit un délai de trois mois pour s’annoncer.

L’al. 2 accorde aux FST ayant des obligations complètes un délai de six mois pour implémenter les nouveaux types de renseignements selon les art. 38a (IR_58_IP_INTERSECT), 42a (IR_59_EMAIL_LAST) et 43a (IR_60_COM_LAST), et pour apporter la preuve de leur disponibilité à les fournir.

L’al. 3 vise également les FST ayant des obligations complètes et fixe les délais au terme desquels ils doivent avoir implémenté les nouveaux types de surveillance : 12 mois pour le RT_61_NA_CC-TRUNC_IRI selon l’art. 55a et six mois pour le HD_62_IP selon l’art. 60a. Le délai est plus long dans le premier cas parce que le travail d’implémentation devrait être assez important.

II. Annexe Ch. 1bis, 1ter, 42 et 48bis (ne concernent que l’allemand) L’annexe « Définitions et abréviations » de l’OSCPT (annoncée à l’art. 2) comprend deux nouveaux chiffres pour la version française : communication unilatérale (art. 16d) et communication multilatérale (art. 16d). La modification du ch. 42 et le nouveau ch. 48bis ne concernent que l’allemand. L’article entre parenthèses indique la première occurrence du terme dans l’OSCPT. L’annexe présente les termes dans l’ordre dans lequel ils apparaissent dans l’ordonnance.

III. OST-SCPT Art. 2, al. 1 L’al. 1 est adapté aux nouvelles désignations des sous-catégories de FST et de FSCD. Les « fournisseurs ayant des obligations complètes » incluent les FST ayant des obligations complètes (art. 16c OSCPT) et les FSCD ayant des obligations complètes (art. 16g OSCPT). Le reste de la disposition est inchangé.

3.2 OME-SCPT

Art. 5, al. 1 Modifié dans le cadre de la révision de la LTC du 22 mars 2019 42, l’art. 2 de la LSCPT a désormais deux alinéas 43. Le renvoi à l’art. 2 LSCPT est donc précisé par l’ajout de la mention « al. 1 ».

42 Voir RO 2020 6159,6180 pour les modifications de la LSCPT

43 Voir RO 2020 6159, 6180

Art. 14, al. 2, phrase introductive et let. c, phrase introductive, let. d et al. 3, phrase introductive et let. b, et al. 4 Dans la phrase introductive de l’al. 2, une adaptation rédactionnelle est apportée avec l’expression « fournisseurs ayant des obligations complètes », qui englobe les FST ayant des obligations complètes (art. 16c OSCPT) et les FSCD ayant des obligations complètes (art. 16g OSCPT).

Les nouveaux types de renseignements ci-dessous sont ajoutés dans la phrase introductive de la let. c - type de renseignements IR_59_EMAIL_LAST : renseignements sur des services de courrier électronique (art. 42a OSCPT) et - type de renseignements IR_60_COM_LAST : renseignements sur d’autres services de télécommunication ou services de communication dérivés (art. 43a OSCPT).

Un nouveau type de renseignements est ajouté à la let. d : - type de renseignements IR_58_IP_INTERSECT : identification de l’utilisateur par formation d’intersections (art. 38a OSCPT) ; Le traitement des demandes pour ces trois nouveaux types de renseignements prend un certain temps. Le délai prévu, durant les heures normales de travail, est donc d’un jour ouvré. Le délai d’une heure selon la let. b serait en effet trop court.

Il existe cependant une différence concernant le délai de traitement en dehors des heures normales (service de piquet). Les nouveaux types de renseignements selon les art. 42a et 43a OSCPT font partie de ceux qui doivent être assurés dans le cadre d’un service de piquet (art. 11 OSCPT). Ils sont donc ajoutés à la let. c.

Ce n’est en revanche pas le cas du type de renseignements selon l’art. 38a, qui est donc ajouté à la let. d.

Dans la phrase introductive de l’al. 3, une adaptation rédactionnelle est apportée avec l’expression « fournisseurs ayant des obligations restreintes », qui englobe les FST ayant des obligations restreintes (art. 16b OSCPT) et les FSCD ayant des obligations restreintes (art. 16f OSCPT).

L’al. 4 est adapté aux nouvelles désignations des sous-catégories de FSCD : l’expression « FSCD n’ayant pas d’obligations étendues » est remplacée par « FSCD ayant des obligations minimales » (art. 16e OSCPT). La disposition n’est pas modifiée sur le fond.

Art. 20 Raccordement des systèmes des fournisseurs au système de traitement du Service SCPT Les al. 1 et 2 sont adaptés aux nouvelles désignations des sous-catégories de FST et de FSCD. Les « fournisseurs ayant des obligations complètes » incluent les FST ayant des obligations complètes (art. 16c OSCPT) et les FSCD ayant des obligations complètes (art. 16g OSCPT). Les « fournisseurs ayant des obligations restreintes » (al. 1) sont les

FST ayant des obligations restreintes (art. 16b OSCPT) et les FSCD ayant des obligations restreintes (art. 16f OSCPT).

Annexe 1 Les prescriptions techniques relatives aux interfaces pour la mise en œuvre de la surveillance de la correspondance par poste et télécommunication (version 4.0) sont modifiées pour inclure les nouveaux types de renseignements et de surveillance. Quelques modifications sont également apportées aux types existants.

4 Conséquences

4.1 Conséquences pour la Confédération

Pour autant qu’il soit possible d’en juger à l’heure actuelle, les adaptations prévues de l’OSCPT, de l’OME-SCPT et de l’OST-SCPT 44 n’auront pas de conséquences majeures sur les finances ou le personnel de la Confédération.

La concrétisation des nouvelles définitions des FST et des FSCD et de leurs sous- catégories, de même que l'intégration des nouveaux types de renseignements et de surveillance dans les composants du système de traitement du Service SCPT nécessiteront de procéder à certaines adaptations de ce système (nouvelles procédures, modifications des fonctions, éventuellement nouveaux serveurs, etc.). Des dépenses supplémentaires sont donc à prévoir pour le Service SCPT, mais elles devraient pouvoir être couvertes avec les ressources actuellement prévues dans son budget.

4.2 Conséquences pour les cantons, les communes ainsi que pour les centres

urbains, les agglomérations et les régions de montagne Quelques-unes des modifications apportées à l’OSCPT, en particulier les nouveaux types de renseignements et de surveillance, concernent les cantons, notamment les autorités de poursuite pénale (ministères publics et police), qui auront ainsi accès à de nouvelles possibilités d’enquête.

4.3 Conséquences pour les POC

Les nouvelles dispositions auront des conséquences pour les petites, moyennes et grandes entreprises actives dans les télécommunications. Les nouvelles catégories et sous-catégories de POC définies dans l’OSCPT, ainsi que les critères régissant le passage de l’une à l’autre, peuvent avoir des conséquences financières et économiques pour certaines POC. Les adaptations techniques que les POC devront effectuer dépendent de la conception de leurs systèmes. Avec les nouvelles définitions, les FSCD seront désormais répartis en trois sous-catégories. Les obligations seront ainsi mieux

44 La modification de l’art. 2, al. 1, OST-SCPT est intégrée dans la révision de l’OSCPT (ch. III).

réparties, de manière plus proportionnée, entre les différentes catégories et sous- catégories de POC. Seules quelques POC devraient se voir imposer des tâches supplémentaires importantes à l'avenir. Par exemple, un fournisseur de messagerie d'une grande importance économique ou ayant un grand nombre d'utilisateurs pourrait être obligé à l'avenir d'effectuer des surveillances rétroactives. En revanche, la situation juridique générale actuelle concernant les obligations des POC ne changera pas de manière significative.

Les modifications proposées ici n’auront aucune conséquence sur le système d’indemnisation ou sur le montant total prévu pour l’indemnisation des POC, des points qui sont réglés dans l’OF-SCPT.

5 Aspects juridiques

5.1 Constitutionnalité

Les modifications proposées concernant les nouvelles catégories de POC et les critères déterminant le passage de l’une à l’autre s’appuient sur le nouvel art. 2, al. 2, LSCPT adopté dans le cadre de la révision du 22 mars 2019 de la LTC (voir ch. 1.1.). Cette révision de la LTC repose quant à elle sur l’art. 92 Cst. 45. La description plus précise des catégories et, plus particulièrement, la nouvelle répartition des FSCD en trois sous-catégories, contre deux précédemment (voir ch. 1.1.) permet un échelonnement plus équilibré et plus conforme au principe constitutionnel de proportionnalité (art. 5, al. 2, Cst.) des obligations des différentes sous-catégories de FSCD. Dans le rapport 46 rédigé en réponse au postulat 19.4031 Albert Vitali 47 « Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Garantir le principe de proportionnalité », le Conseil fédéral considère que des améliorations ne s’imposent que pour l’OSCPT (la LSCPT prenant déjà suffisamment en compte les intérêts des PME). Il estime que l’OSCPT devrait inclure des définitions claires des différentes POC, notamment des FST et des FSCD, afin que les opérateurs puissent savoir facilement dans quelle catégorie ils entrent et quels seront leurs obligations et leurs coûts (voir en particulier les ch. 4.1 et 5.2 du rapport). La répartition des obligations prévue par le présent projet se justifie dans l’optique d’un bon fonctionnement de la surveillance des télécommunications, pour laquelle il existe un intérêt public prépondérant. Cette révision contribue de manière déterminante à ce que la surveillance des télécommunications reste efficace et puisse continuer à remplir son objectif. Les

45 Voir ch. 5.1 du message du 6 septembre 2017 concernant la révision de la loi sur les télécommunications (FF 2017, 6185, 6314) 46 Rapport du Conseil fédéral du 18.10.2023 et communiqué du 18.10.2023 « Surveillance des

télécommunications : vers une simplification des catégories des entreprises obligées de collaborer » 47 Postulat 19.4031 Vitali Albert : www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20194031

modifications prévues constituent ainsi une solution pragmatique pour maintenir la charge financière des PME à un faible niveau. Les autres modifications du projet, en particulier les nouveaux types de renseignements et de surveillance, s’appuient sur la LSCPT, qui elle-même repose sur l’art. 92, al. 1 (services postaux et télécommunications), et l’art. 123, al. 1 (droit pénal, procédure pénale), Cst. D’autres dispositions constitutionnelles telles que la protection de la sphère privée (art. 13 Cst.), la sécurité (art. 57 Cst.) et le droit de la procédure pénale (art. 123 Cst.) concernent également l’OSCPT d’une manière ou d’une autre. Le présent projet en tient également compte comme il se doit.

5.2 Compatibilité avec les obligations internationales de la Suisse

Le projet est compatible avec les obligations internationales de la Suisse.

5.3 Forme de l’acte à adopter

Le projet comprend la révision partielle de deux ordonnances du Conseil fédéral au sens de l’art. 182 Cst. (OSCPT et OST-SCPT) et d’une ordonnance du DFJP (OME-SCPT).

5.4 Frein aux dépenses

Le projet ne crée pas de subventions entraînant des dépenses supérieures aux seuils fixés ni ne prévoit des crédits d’engagement ou des plafonds de dépenses (avec des dépenses dépassant les seuils fixés).

5.5 Conformité à la loi sur les subventions

Le projet n'a aucun rapport avec la loi sur les subventions.

5.6 Délégation de compétences législatives

Le projet ne contient pas de délégation de compétences législatives.

5.7 Protection des données

Le nouvel art. 22 LPD 48, en vigueur depuis le 1er septembre 2023, prévoit qu’une analyse d’impact relative à la protection des données personnelles (AIPD) doit être effectuée au préalable lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Selon l’al. 2 de ce même article, l’existence d’un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l’étendue, des circonstances et de la finalité du traitement. Un tel risque existe notamment dans les cas suivants :

48 Loi fédérale du 25 septembre 2020 sur la protection de données (LPD ; RS 235.1)

a. traitement de données sensibles à grande échelle ; ou b. surveillance systématique de grandes parties du domaine public. L'AIPD réalisée a montré qu’il n’y avait pas de risque élevé pour ce projet.