Lexipedia

Département fédéral de l'environnement, des transports, de l'énergie et de la communication DETEC

Berne, le 27 mai 2026

Révision partielle de la loi sur les télécom­ munications (LTC) dans le domaine de la sé­ curité

Rapport explicatif relatif à l’ouverture de la procédure de consultation

BK-D-BB8A3401/1090

Aperçu La sécurité des infrastructures de télécommunication a vu son importance croître de manière considérable ces dernières années, et ce à tous les niveaux. Elle constitue un facteur central pour la place économique suisse et pour la sé­ curité de la population dans l’espace numérique. Garantir la protection contre les cybermenaces est devenu une tâche indispensable de la Confédération, notam­ ment au vu d’une possible aggravation de la situation géopolitique. La présente révision de la loi du 30 avril 1997 sur les télécommunications (LTC) 1 tient compte de cette évolution et a pour objectif d’assurer une protection suffisante des uti­ lisateurs ainsi que des infrastructures de télécommunication face à ces me­ naces. En outre, la présente consultation vise à déterminer si des dispositions régissant l’utilisation partagée des infrastructures passives pourraient favoriser le développement des infrastructures dans le domaine des télécommunications. Enfin, le projet prévoit de créer une base de données élargie pour garantir une application efficace du droit des télécommunications.

Contexte

La LTC a été adaptée en 2019 pour répondre à l’évolution rapide des technologies qui, depuis, n’a rien perdu de son dynamisme. Les nouvelles possibilités entraînent égale­ ment de nouveaux risques. La protection contre les cybermenaces revêt une impor­ tance capitale, notamment au vu de la situation géopolitique actuelle. Le Conseil fédé­ ral estime que des mesures supplémentaires doivent être prises pour faire face à une éventuelle aggravation. Il faut renforcer la sécurité des infrastructures de télécommu­ nication critiques et celle de la communication d’urgence, et réduire le risque de dé­ pendance à l’égard de certains acteurs et États. Outre le renforcement de la résilience des infrastructures, il convient également d’accroître la protection des consommateurs lors de l’utilisation des services de télécommunication.

Une adaptation du cadre juridique en vigueur s’impose aussi du fait que les câbles en cuivre à paires torsadées utilisés dans les réseaux de télécommunication arrivent bien­ tôt en fin de vie et devront être remplacés. Enfin, pour une mise en œuvre plus efficace de la législation sur les télécommunications, il est également nécessaire d’améliorer les bases de données relatives au marché.

Contenu du projet

Le projet vise à améliorer la sécurité des infrastructures de télécommunication en Suisse et des services fournis par leur intermédiaire. Il contient des propositions de mesures destinées à garantir la résilience de ces infrastructures et des systèmes de communication d’urgence. D’une part, la sécurité des infrastructures de télécommuni­ cation doit être renforcée. Le Conseil fédéral doit pouvoir, si nécessaire, prendre les mesures appropriées pour protéger ces infrastructures si la situation géopolitique de­ vait s’aggraver. En outre, la disponibilité des communications d’urgence devrait être améliorée grâce à la mise en place d’une forme de maîtrise technique du système. Par ailleurs, une adaptation des bases légales en vigueur dans le domaine des installations de télécommunication et des appareils électriques doit garantir une meilleure protection du spectre des fréquences contre de nouveaux phénomènes de perturbation et d’en­ trave du trafic des télécommunications. D’autre part, la sécurité des consommateurs

1 RS 784.10 2/85

qui utilisent des services de télécommunication doit être améliorée. De nouvelles pos­ sibilités de blocage des numéros d’appel ou des noms de domaine suisses utilisés de manière abusive, ainsi que des offres d’information et d’assistance plus étendues de­ vraient permettre de mieux protéger les jeunes et les consommateurs. Il convient aussi de créer les bases nécessaires à la collecte de données afin d’avoir une meilleure vue d’ensemble des acteurs pertinents sur le marché des télécommunications.

Finalement, il s’agit de déterminer, dans le cadre du projet mis en consultation, si des mesures supplémentaires peuvent accélérer la transformation et l’extension des ré­ seaux de télécommunication.

3/85

Table des matières

1 Contexte .......................................................................................... 6 1.1 Mesures nécessaires et objectifs .......................................................................... 6 1.1.1 Sécurité ....................................................................................................... 6 1.1.2 Développement des infrastructures ............................................................. 7 1.1.3 Bases de données ....................................................................................... 7 1.2 Options examinées et solution retenue ................................................................. 7 1.2.1 Sécurité ....................................................................................................... 7 1.2.2 Développement des infrastructures ........................................................... 10 1.2.3 Bases de données ..................................................................................... 12 1.3 Relation avec le programme de la législature, la planification financière et les stratégies du Conseil fédéral ....................................................................................... 12 1.4 Traitement des interventions parlementaires ...................................................... 13

2 Comparaison juridique, en particulier avec le droit européen .. 14

2.1 Sécurité .............................................................................................................. 14 2.2 Développement des infrastructures .................................................................... 17 2.3 Bases de données .............................................................................................. 17 3 Grandes lignes du projet ............................................................. 19 3.1 Nouvelle réglementation proposée ..................................................................... 19 3.1.1 Sécurité ..................................................................................................... 19 3.1.2 Développement des infrastructures ........................................................... 19 3.1.3 Bases de données ..................................................................................... 19 3.2 Questions relatives à la mise en œuvre .............................................................. 20 4 Explications article par article ..................................................... 21 4.1 Loi sur les télécommunications (LTC) ................................................................. 21

4.2 Modifications de la LTC proposées par la loi fédérale sur la promotion du

déploiement d’infrastructures pour le haut débit (LPHD) .............................................. 66

4.3 Modification d’un autre acte législatif : loi fédérale sur les installations

électriques à faible et à fort courant (loi sur les installations électriques, LIE) .............. 67 5 Conséquences .............................................................................. 68 5.1 Conséquences pour la Confédération ................................................................. 68

5.2 Conséquences pour les cantons et les communes ainsi que pour les centres

urbains, les agglomérations et les régions de montagne.............................................. 68 5.3 Conséquences pour l’économie nationale .......................................................... 68 5.3.1 Sécurité ..................................................................................................... 68 5.3.2 Développement des infrastructures ........................................................... 72 5.3.3 Bases de données ..................................................................................... 73 5.4 Conséquences pour la société ............................................................................ 73 5.5 Autres conséquences ......................................................................................... 74 6 Aspects juridiques ....................................................................... 75 6.1 Conformité à la Constitution................................................................................ 75 6.2 Compatibilité avec les obligations internationales de la Suisse ........................... 76 6.3 Forme de l’acte ................................................................................................... 76 6.4 Soumission au frein aux dépenses ................................................................ 76 4/85

6.5 Délégation de compétences législatives ............................................................. 77 6.6 Protection des données ...................................................................................... 78 7 Liste des abréviations .................................................................. 79 8 Bibliographie ................................................................................ 82

5/85

Rapport explicatif

1 Contexte

1.1 Mesures nécessaires et objectifs

Le projet mis en consultation vise à modifier les bases légales en matière de télécom­ munications dans plusieurs domaines.

1.1.1 Sécurité

Dans le secteur des télécommunications aussi, la situation géopolitique actuelle en­ traîne un besoin accru de sécurité. Des acteurs étatiques et paraétatiques peuvent instrumentaliser les dépendances technologiques afin d’exercer une pression politique ou économique, saboter des infrastructures critiques ou recueillir des informations stra­ tégiques. La mise en réseau et la numérisation croissantes augmentent la vulnérabilité face aux menaces hybrides, dans le cadre desquelles des moyens technologiques sont utilisés à des fins de déstabilisation, de chantage ou d’influence ciblée. Par conséquent, une infrastructure de télécommunication résiliente et diversifiée est, à l’heure actuelle, essentielle pour la capacité d’action de l’État, de l’économie et de la société.

Dans ce contexte, le Parlement a transmis plusieurs interventions qui soulignent la né­ cessité d’une meilleure sécurité des infrastructures et services de télécommunication. Le postulat Pult (20.3984) « Infrastructure numérique. Réduire les risques géopoli­ tiques » priait le Conseil fédéral de présenter un rapport sur les moyens de réduire les risques géopolitiques qui accompagnent le déploiement d’infrastructures numériques comme la 5G. Dans son rapport2, le Conseil fédéral a montré que, sur le modèle de la boîte à outils pour la sécurité des réseaux 5G de l’Union européenne (UE)3 et d’autres projets de réglementation, de nouvelles mesures en matière de cyberrésilience de­ vaient être inscrites dans la LTC. Sur cette base, il entend prévoir des mesures de sécurité techniques en cas d’une éventuelle aggravation de la situation géopolitique, édicter des prescriptions pour la protection des infrastructures à risque et imposer une stratégie multifournisseurs afin de réduire la dépendance vis-à-vis de certains États et fabricants.

Indépendamment de la situation géopolitique, la résilience et la sécurité technique des infrastructures de télécommunication en Suisse restent centrales. Elles ont montré leur vulnérabilité en 2020 et 2021, lorsque diverses pannes sur le réseau de Swisscom ont limité l’accessibilité des centrales d’appel d’urgence. La motion (21.3000) déposée par la CTT-E « Maîtrise du système pour le traitement des appels d’urgence » demande la création d’une base légale permettant l’introduction d’une maîtrise technique du sys­ tème, qui garantirait un traitement complet et irréprochable des appels d’urgence.

La sécurité doit être renforcée au niveau non seulement des infrastructures de télé­ communication, mais aussi des consommateurs. En réponse à la motion Gugger (20.3374) « Protéger efficacement les moins de 16 ans contre la pornographie sur In­ ternet. #banporn4kids# », le projet propose des mesures pour améliorer la protection des jeunes. Le postulat Maret (24.3632) « Appels indésirables. De nouvelles mesures sont-elles nécessaires ? » et les motions Seiler-Graf (24.4392) « Prendre des mesures efficaces pour empêcher l’utilisation abusive de numéros de téléphone suisses » et

Remarque : Les références sont répertoriées dans la bibliographie, à la fin du document. 2 Conseil fédéral (2023a) 3 UE (2020) 6/85

Götte (24.4393) « Prendre des mesures efficaces pour empêcher l’utilisation abusive des noms de domaine suisses » montrent quant à eux la nécessité de renforcer la protection des consommateurs. Les dispositions proposées et les nouvelles compé­ tences de l’Office fédéral de la police (fedpol), en collaboration avec l’Office fédéral de cybersécurité (OFCS), devraient contribuer à réduire les abus de numéros de télé­ phone ou de noms de domaine suisses ainsi que les appels abusifs en général.

1.1.2 Développement des infrastructures

Outre les propositions susmentionnées, qui portent sur des aspects de sécurité, le pro­ jet mis en consultation doit déterminer si des mesures spécifiques permettraient de soutenir le déploiement de l’infrastructure (cf. chapitre 1.2.2). En effet, les câbles en cuivre à paires torsadées utilisés jusqu’à présent pour le raccordement aux réseaux de télécommunication arriveront bientôt en fin de vie et devront être remplacés.

Il convient également d’adapter en conséquence le cadre juridique actuel, comme la transmission de signaux via des paires de cuivre perd de plus en plus de son impor­ tance. Par ailleurs, la consultation doit déterminer si le partage des infrastructures pas­ sives peut contribuer à un déploiement plus efficace des lignes à fibre optique et si d’autres mesures sont nécessaires.

1.1.3 Bases de données

A l’heure actuelle, seuls les fournisseurs qui obtiennent des ressources de la part de l’Office fédéral de la communication (OFCOM) sont enregistrés. Cette situation en­ gendre des lacunes dans l’exécution et l’évaluation de la loi sur les télécommunica­ tions. Elle ne permet qu’une surveillance effective limitée de tous les fournisseurs et autres acteurs soumis au droit des télécommunications. Une possibilité d’enregistre­ ment plus étendue par l’OFCOM vise à remédier aux lacunes et à créer une base de données plus exhaustive. S’agissant du traitement et de la transmission des données, le projet contient aussi des modifications qui découlent de la révision de la loi fédérale du 25 septembre 2020 sur la protection des données (loi sur la protection des données, LPD) 4.

1.2 Options examinées et solution retenue

1.2.1 Sécurité

Infrastructures

Pour ce qui est du renforcement de la sécurité des infrastructures de télécommunica­ tion en Suisse (art. 48b et 48c), seules ont été examinées et retenues les mesures prévues par le Conseil fédéral dans son rapport du 15 décembre 20235 en réponse au postulat Pult (20.3984), lequel demandait une réduction des risques géopolitiques liés au développement d’infrastructures comme la 5G. La nécessité de réglementer s’im­ pose également du fait que le libre marché se révèle inapte à corriger certains des cybermenaces vitales qui se posent pour les infrastructures de télécommunication6.

Dans le domaine des installations de télécommunication, les mesures de sécurité doi­ vent être adaptées à l’évolution technique. L’élargissement des définitions données aux art. 32a, 32b et 34 permet d’inclure les nouveaux phénomènes techniques. Il n’existe

4 RS 235.1 5 Conseil fédéral (2023a) 6 Schwaab (2023) 7/85

pas d’autre solution, puisqu’il s’agit de combler de manière ciblée des lacunes exis­ tantes dans la législation.

Par ailleurs, la loi prévoit une obligation de fournir toutes les informations techniques pertinentes (art. 34a, al. 1), ainsi qu’une détection optique automatisée des véhicules à des fins d’identification des signaux perturbateurs (art. 34a, al. 2 et 3). Dans ces domaines aussi, il s’agit de combler des lacunes de la législation.

Il en va de même pour l’ajout et la réintroduction d’une possibilité de sanction en cas de perturbation des télécommunications et de la radiodiffusion (art. 52, al. 1, let. g et j). Concernant la délégation de compétences au Conseil fédéral et à l’OFCOM en matière de compatibilité électromagnétique (art. 3, 21 et 26b de la loi fédérale du 24 juin 1902 sur les installations électriques à faible et à fort courant [loi sur les installations élec­ triques [LIE]) 7, l’Office fédéral de la justice (OFJ) a déploré, lors de la dernière révision, l’absence d’une réglementation des compétences en faveur de l’OFCOM dans ce do­ maine. Les modifications proposées répondent à cette critique.

Système de communication d’urgence

Les fournisseurs du service téléphonique public doivent désormais garantir une solu­ tion de repli minimale et satisfaire à des exigences techniques découlant des tâches systémiques de la communication d’urgence (art. 20, al. 2, et art. 20a, al. 2). Les tâches systémiques comprennent notamment l’exploitation d’un réseau de communication d’urgence hautement disponible (Emergency Services IP Network, ESInet) par un ou, à titre redondant, deux fournisseurs, la fourniture du service de localisation ainsi que l’exploitation d’un organe central de coordination pour les communications d’urgence (art. 20a). Si ces tâches ne sont pas déjà garanties, l’OFCOM doit désigner à cette fin un ou plusieurs fournisseurs (art. 20b). Outre la prise en charge des coûts (art. 20c), le projet contient également des exigences relatives à l’exploitation d’une plateforme per­ mettant la réalisation de tests de bout en bout (art. 20d) et à la protection de l’intégrité des communications d’urgence (art. 20e).

En revanche, une maîtrise technique du système des communications d’urgence éten­ due assorti d’un droit de directive complet a été rejeté. Il aurait eu pour les autres four­ nisseurs de services de télécommunication des conséquences indésirables sur la con­ currence, puisque leur marge de manœuvre aurait été fortement réduite, par exemple en ce qui concerne la planification des ressources et les choix technologiques. A cela s’ajoute le fait que la mise en place d’une véritable redondance par le recours à un deuxième fournisseur poserait des problèmes en matière de droit des marchés publics si le mandat du deuxième fournisseur était attribué par un gestionnaire de système et non par l’OFCOM. L’idée de confier un rôle déterminant à l’OFCOM dans le système d’appel d’urgence a également été rejetée, car l’office aurait été habilité à fixer des exigences, notamment sur la base de normes internationales, sans avoir de vue d’en­ semble des processus opérationnels des fournisseurs, des fabricants d’appareils et des centrales des services d’urgence. Or, il ne dispose que quelques spécialistes des communications d’urgence. En cas de danger imminent, lui confier la maîtrise tech­ nique du système ou la direction des équipes d’intervention ne semble donc ni possible ni opportun. Une unification des différents numéros de téléphone des services d’ur­ gence sur le 112 a également été examinée. Certains pays8 disposent d’un numéro unique. Cette solution pourrait permettre de réduire le nombre de centrales d’appel

7 RS 734.0 8 P. ex. Finlande; Emergency Response Centre Agency (2022) 8/85

d’urgence. Elle nécessiterait des adaptations au niveau législatif et permettrait de ré­ duire les coûts et la complexité dans la communication d’urgence. Elle pourrait égale­ ment simplifier la communication des numéros d’urgence à la population. Or, le sys­ tème fédéral suisse ne prévoit la mise en œuvre de ce type de mesures au niveau de la Confédération qu’en cas de besoin ou à la demande des cantons. Ceux-ci gèrent les centrales d’alarme, et leurs représentants à la Conférence des commandantes et des commandants des polices cantonales de Suisse (CCPCS), à la Technique et informa­ tique policières suisse (TIP), à la Coordination suisse des sapeurs-pompiers (CSSP) et à l’Interassociation de sauvetage (IAS)9 considèrent actuellement qu’une communi­ cation renforcée sur un numéro d’appel d’urgence unique (112) serait préjudiciable, autre raison pour laquelle cette mesure a été rejetée. Enfin, la mise en place d’une réglementation simplifiée ou moins coûteuse pour les petits et moyens fournisseurs a également été examinée. Toutefois, il ne paraît pas judicieux d’opérer des distinctions dans les réglementations visant à garantir la communication d’urgence. Tous les ci­ toyens devraient pouvoir passer des appels d’urgence en disposant de toutes les fonc­ tionnalités, quel que soit leur fournisseur. Pour accomplir les tâches systémiques pré­ vues à l’art. 20a, l’entreprise mandatée devra être relativement grande et disposer d’un certain niveau de ressources et d’expérience opérationnelle dans les services de ré­ seau.

Protection des jeunes et des consommateurs

Trois nouvelles mesures sont prévues pour améliorer la protection des consomma­ teurs. D’une part, les fournisseurs d’accès à Internet ont l’obligation de conseiller leurs clients sur les possibilités de protéger les enfants et les jeunes, et de leur proposer des moyens efficaces contre les contenus pornographiques. L’information comprend des conseils en magasin, en ligne ou par téléphone (art. 46a). Ces mesures répondent à la motion Gugger (20.3374), dans la version modifiée par le Conseil des États.

En outre, selon le projet, l’obligation de blocage de l’accès actuellement en vigueur en vertu de l’art. 6a ne s’applique plus uniquement aux offres prépayées. En effet, l’utili­ sation abusive d’une identité ou de moyens de paiement peut également concerner les offres postpayées. La possibilité de faire bloquer un raccordement doit donc couvrir toutes les offres (téléphonie mobile ou fixe, postpayée ou prépayée). De plus, elle ne se limite pas aux cas où l’identification de l’abonné n’a pas été effectuée ou l’a été de manière insuffisante, mais également s’il existe un soupçon qu’un numéro sert à des fins frauduleuses ou criminelles. La demande doit provenir d’un organisme reconnu (par analogie avec l’art. 15, al. 3, de l’ordonnance du 5 novembre 2014 sur les do­ maines Internet [ODI]10).

Pour protéger les utilisateurs, il convient finalement de mettre en place une procédure de blocage afin que les numéros de téléphone et les noms de domaine suisses utilisés à des fins frauduleuses puissent être bloqués rapidement et pour une durée limitée. Ces mesures visent notamment à mettre en œuvre les motions Seiler-Graf (24.4392) et Götte (24.4393).

L’OFCS est le point de contact pour les cyberincidents et les cybermenaces. Il reçoit les signalements effectués par la population ou les autorités au sens de l’art. 73b de la loi fédérale du 18 décembre 2020 sur la sécurité de l’information (LSI) 11 et les examine.

9 CCPCS, TIP, CSSP et IAS (2024) 10 RS 784.104.2 11 RS 128 9/85

Afin de garantir la protection contre les cybermenaces, fedpol analyse, en collaboration avec l’OFCS, les informations issues de ces signalements d’utilisation potentiellement frauduleuse de numéros de téléphone ou de noms de domaine suisses. A ces fins, l’OFCS transmet les informations correspondantes à fedpol, pour que celui-ci puisse émettre un ordre de blocage en cas de suspicion fondée. S’il nourrit un soupçon fondé de fraude présumée, fedpol doit demander aux fournisseurs de services de télécom­ munication ou aux registres d’un domaine Internet de procéder au blocage provisoire et temporaire des éléments d’adressage concernés. Il est ainsi possible d’éviter des infractions pénales présumées. Le facteur temps constitue en l’occurrence un élément déterminant, ce qui implique des mesures qui permettent de réagir rapidement. Plus un numéro de téléphone ou un nom de domaine restent en service longtemps, plus le risque de nouvelles victimes augmente. Tant que les autorités de poursuite pénale compétentes n’interviennent pas, les escrocs peuvent continuer à utiliser leur numéro ou leur nom de domaine. La vitesse d’action est également nécessaire face à la pro­ gression rapide des nouvelles technologies et à la mobilité des escrocs et des cyber­ criminels, qui opèrent généralement à l’échelle internationale. Cette possibilité d’inter­ venir rapidement poursuit un caractère préventif et doit précéder la procédure pénale effective. Si le soupçon de fraude venait à se confirmer, une procédure pénale ordinaire devrait être lancée par les autorités judiciaires compétentes à l’issue de la période de blocage.

Ces mesures en matière de protection des jeunes et des consommateurs découlent des demandes formulées dans des interventions parlementaires. Pour des motifs for­ mels relevant des principes de l’État de droit, la mise en œuvre au niveau de l’ordon­ nance demandée dans la motion Götte (24.4393) a cependant été rejetée. Une mise en œuvre au niveau législatif dans le cadre de l’art. 6b est proposée à la place.

1.2.2 Développement des infrastructures

Les câbles en cuivre à paires torsadées utilisés dans les réseaux de raccordement de télécommunication arrivent bientôt en fin de vie et doivent être remplacés. Il faut donc adapter le cadre juridique à cette situation. Afin de soutenir le développement des in­ frastructures concernées, l’OFCOM doit pouvoir édicter des prescriptions techniques et administratives relatives au câblage interne des bâtiments, et définir des normes. Les prescriptions doivent s’inspirer en particulier des directives techniques de l’OFCOM12. Les opérateurs de réseau qui souhaitent utiliser les câbles existants à l’in­ térieur des bâtiments doivent bénéficier partout des mêmes conditions, ce qui garantit l’accessibilité pour les tiers.

En revanche, aucun droit général de co-utilisation des infrastructures physiques pas­ sives de tous les opérateurs de réseau n’est proposé activement, notamment parce que son utilité est controversée selon un sondage mené auprès des titulaires de nu­ méros d’opérateur Fiber to the Home (FTTH)13. Il existe en outre des exemples d’utili­ sation partagée sur une base volontaire et la LTC prévoit déjà la co-utilisation des ins­ tallations des fournisseurs dominants. Le projet mis en consultation permettra toutefois de déterminer si les exploitants de réseaux extérieurs au secteur devraient aussi être obligés de partager leurs infrastructures physiques passives.

Par ailleurs, la possibilité a été examinée de contraindre les propriétaires immobiliers qui construisent ou procèdent à d’importantes rénovations à installer un point d’accès au réseau et à poser des conduites de câble jusqu’au point de terminaison du réseau. 12 OFCOM (2012) 13 OFCOM (2024a et b) 10/85

Ces installations domestiques pourraient faciliter l’extension des réseaux de fibre op­ tique. Or, d’une part cette approche est déjà largement prise en compte dans les nou­ velles constructions, et d’autre part, dans la pratique, la notion de « rénovations impor­ tantes » risque de poser des problèmes au niveau de sa définition. De plus, il appartient aux propriétaires immobiliers d’équiper leurs biens d’une technologie de communica­ tion moderne, raison pour laquelle une mesure contraignante a été écartée.

Une obligation d’information a également été envisagée afin d’accroître la transparence dans les travaux de construction et la pose des conduites. La mise en place par l’OFCOM d’un système d’information numérique sur l’emplacement des conduites de câble n’est pas nécessaire, car il existe déjà un projet de l’Office fédéral de topographie (swisstopo)14 intitulé « Cadastre suisse des conduites ». Une obligation d’information, pour les exploitants de réseaux, sur les travaux de construction en cours ou prévus serait également envisageable, et pourrait favoriser la coordination des travaux. Il ne faut toutefois pas oublier que la construction est réglementée par les cantons et les communes. De plus, le sondage mené auprès des titulaires de numéros d’opérateur FTTH a montré que le rapport coût-bénéfice d’une telle mesure est controversé. Le cadastre des conduites mentionné pourrait donc être étendu ultérieurement au do­ maine des projets de construction (planification et autorisation de construire)15.

Il a également été envisagé d’obliger les opérateurs de réseau à accepter les de­ mandes raisonnables d’accord sur la coordination des travaux de construction, indé­ pendamment de l’art. 75 de l’ordonnance du 9 mars 2007 sur les services de télécom­ munication (OST)16. Cette mesure a été rejetée, car le sondage susmentionné ne par­ vient pas à évaluer clairement le rapport coûts-bénéfices et parce que de nombreux cantons et communes17 disposent déjà de structures de coordination des travaux de construction.

Afin d’encourager les coopérations possiblement avantageuses sur le plan concurren­ tiel, il a aussi été examiné s’il convenait d’autoriser, dans le cadre d’accords de coopé­ ration, une dérogation au principe de non-discrimination et/ou d’orientation des prix en fonction des coûts prévu à l’art. 11 pour les prestations intermédiaires réglementées assurées par des fournisseurs dominants (en particulier les canalisations de câbles). Cette mesure permettrait notamment d’élargir la marge de manœuvre financière dans les négociations de coopération. Une grande partie des acteurs du marché interrogés n’y voient toutefois aucun avantage, et la majorité d’entre eux estiment que ses effets sur le développement des infrastructures resteraient minimes.

L’option d’accorder à la première entreprise qui annonce le développement d’un réseau FTTH dans une zone, un droit exclusif de raccordement des unités d’utilisation dans cette zone, pendant cinq ans par exemple, a également été examinée. Or, la durée limitée de cette mesure réduit son utilité en termes de sécurité des investissements. En outre, dans les localités disposant de plusieurs technologies de raccordement (p. ex. CATV et FTTC), qui pourraient toutes deux être utilisées par différents fournis­ seurs pour déployer le FTTH, la mesure équivaudrait à une interdiction temporaire d’in­ vestir. Aujourd’hui déjà, le leader du marché Swisscom18 a raccordé plus de la moitié des ménages au FTTH et a probablement déjà élaboré des plans pour la poursuite du 14 Swisstopo (2024a) 15 Swisstopo (2024b) 16 RS 784.101.1 17 Par exemple dans la ville de Zurich : Ville de Zurich (2020) 18 Swisscom (2025a) 11/85

développement. Un droit d’accès exclusif limité dans le temps arriverait trop tard, et pourrait ralentir le déploiement de la fibre optique à cause de décisions sujettes à re­ cours.

La vérification prévue à la loi fédérale du 29 septembre 2023 sur l’allègement des coûts de la réglementation pour les entreprises (LACRE)19 conclut que les prescriptions tech­ niques relatives au câblage interne des bâtiments contiennent des mesures qui visent à faciliter l’entrée sur le marché des petits fournisseurs. Simplifier davantage les me­ sures proposées n’est dès lors pas indiqué.

1.2.3 Bases de données

Le droit en vigueur relatif à l’enregistrement des entreprises actives sur le marché des télécommunications a montré plusieurs lacunes, auxquelles il faut remédier, faute de quoi les autorités ne peuvent mener à bien certaines de leurs activités. La solution retenue vise à remédier à ces insuffisances en recensant les fournisseurs de services de télécommunication, les fournisseurs d’accès à Internet et les propriétaires et exploi­ tants d’installations de télécommunication ou de canalisations de câbles qui ne seraient pas encore enregistrés. Le but est d’obtenir une image des acteurs du marché aussi représentative que possible. En effet, seule une connaissance précise des acteurs du marché permet d’établir annuellement une statistique des télécommunications compo­ sée d’indicateurs fiables et valides, d’élaborer tous les trois ans un rapport d’évaluation sur l’état du marché comme le demande le législateur (art. 3a), de contrôler le respect du droit des télécommunications (art. 58) et de prendre des décisions régulatrices ju­ dicieuses.

La solution retenue pour l’enregistrement des acteurs du marché reprend des éléments pertinents des deux options adoptées précédemment. Jusqu’à fin 2020, l’obligation d’annoncer imposée aux fournisseurs de services de télécommunication était certes assortie d’une obligation de paiement d’émoluments. Elle présentait toutefois l’avan­ tage de permettre au régulateur d’avoir une vue d’ensemble des acteurs concernés du marché. Le droit actuel ne prévoit plus l’obligation de payer des émoluments. En outre, en raison de critères d’enregistrement trop restrictifs, tous les acteurs pertinents ne sont pas recensés, l’enregistrement se limitant aux acteurs qui utilisent des ressources placées sous la gestion de l’État. Ainsi, la solution retenue comprend les deux aspects centraux susmentionnés : la gratuité de l’enregistrement d’une part et la possibilité de recenser tous les acteurs pertinents du marché suisse d’autre part.

1.3 Relation avec le programme de la législature, la planification financière et

les stratégies du Conseil fédéral Le projet n’est annoncé ni dans le message du 24 janvier 202420 sur le programme de la législature, ni dans l’arrêté fédéral du 6 juin 202421 sur le programme de la législature 2023-2027.

Une révision partielle de la LTC se justifie néanmoins, car les mesures proposées con­ tribuent à la réalisation de l’objectif 20 de l’arrêté fédéral sur le programme de la légi­ slature 2023-202722. Selon cet objectif, la Confédération doit anticiper les cyberrisques et prendre des mesures efficaces destinées à protéger la population, l’économie et les

19 RS 930.31 20 FF 2024 525 21 FF 2024 1440 22 Art. 21, https://www.fedlex.admin.ch/eli/fga/2024/1440/fr#art_21 12/85

infrastructures critiques. Les mesures de sécurité proposées peuvent apporter une contribution importante à cet égard.

La stratégie nationale CSN23 contre les cybermenaces et la stratégie nationale de pro­ tection des infrastructures critiques24 (stratégie PIC), notamment l’objectif « Fiabilité et disponibilité de l’infrastructure numérique et des services »25, reprennent cette ap­ proche préventive et chargent le Conseil fédéral non seulement d’analyser les cyber­ risques et les cybervulnérabilités, mais aussi de proposer les réglementations néces­ saires compte tenu des besoins et des lacunes juridiques. Le projet mis en consultation concrétise la politique nationale de résilience dans les domaines des cyberinfrastruc­ tures et des infrastructures de communication et de crise. Il contribue également à la mise en œuvre de la stratégie en matière de politique de sécurité et de la stratégie nationale PIC.

1.4 Traitement des interventions parlementaires

Le projet mis en consultation répond aux exigences en matière de sécurité formulées dans le postulat Pult (20.3984) « Infrastructure numérique. Réduire les risques géopo­ litiques », dans la motion de la CTT-E (21.3000) « Maîtrise du système pour le traite­ ment des appels d’urgence ». Il contribue en outre à la mise en œuvre des exigences formulées dans le postulat Z`Graggen (22.4411) « Stratégie Souveraineté numérique de la Suisse », de la motion Dittli (23.3002) « Pour une meilleure sécurité des données numériques essentielles de la Suisse » et dans les motions Juillard (24.3209) et Chap­ puis (24.3363) « Construire une infrastructure numérique souveraine en Suisse à l’ère de l’intelligence artificielle ».

Les modifications proposées dans le domaine de la protection des jeunes et des con­ sommateurs répondent à la motion Gugger (20.3374) « Protéger efficacement les moins de 16 ans contre la pornographie sur Internet. #banporn4kids# » et au postulat Maret (24.3632) « Appels indésirables. De nouvelles mesures sont-elles nécessaires ? ». Elles tiennent également compte des demandes formulées dans la motion Seiler- Graf (24.4392) « Prendre des mesures efficaces pour empêcher l’utilisation abusive des numéros de téléphone suisses » et la motion Götte (24.4393) « Prendre des me­ sures efficaces pour empêcher l’utilisation abusive des domaines suisses ».

La motion Candinas (24.4391) « Prendre des mesures de protection contre les appels publicitaires masqués provenant de numéros de téléphone suisses », qui porte sur un thème similaire et a été déposée en même temps, peut être mise en œuvre au niveau de l’ordonnance, sur la base des dispositions en vigueur dans la LTC.

23 Conseil fédéral (2023b) 24 Conseil fédéral (2023c) 25 CSN (2023) 13/85

2 Comparaison juridique, en particulier avec le droit européen

2.1 Sécurité

Infrastructures

L’Union européenne prend très au sérieux la sécurité de ses réseaux et systèmes d’in­ formation numériques en tant qu’infrastructures vitales pour son économie et sa so­ ciété. Le droit de l’UE cherche ainsi à créer un écosystème numérique sûr et résilient en imposant des obligations de sécurité aux acteurs clés, en favorisant la coopération entre les États membres et en mettant en place des mécanismes de certification, de supervision et de sanction. Il s’agit de protéger les citoyens, les entreprises et les ins­ titutions contre les cybermenaces et de garantir le bon fonctionnement du marché unique numérique.

Les bases légales européennes forment un cadre juridique complet en matière de sé­ curité des infrastructures numériques qui se divisent en 3 catégories : celles qui sont pleinement dédiées à la cybersécurité, celles qui contiennent des dispositions relatives à la cybersécurité et celles qui y font référence. Les dispositions déterminantes qui régissent la sécurité des infrastructures, des services et des appareils terminaux dé­ coulent pour l’essentiel du règlement (UE) 2019/881 (Cybersecurity Act, CSA)26, du règlement 2024/2847 (Cyber Resilience Act, CRA)27, la directive (UE) 2022/2555 (di­ rective SRI 2)28 ainsi que de l’instrumentation de l’UE en matière de sécurité de la 5G (boîte à outils 5G) 29.

L’accord entre la Confédération suisse et l’UE relatif à la reconnaissance mutuelle en matière d’évaluation de la conformité (ARM CH-UE)30 est un instrument visant à sup­ primer les entraves techniques au commerce dans la commercialisation de nombreux produits industriels entre la Suisse et l’UE. Il est aussi applicable au secteur des instal­ lations de radiocommunication et des équipements terminaux de télécommunications (chapitre 7). Pour que ce secteur puisse rester dans l’ARM, la législation suisse cor­ respondante doit s’aligner sur celle de l’UE. La directive 2014/53/UE (directive RED)31 contient des exigences importantes concernant la cybersécurité, que la Commission peut activer au moyen d’un acte juridique délégué. Cet acte détermine quels produits doivent remplir ces exigences supplémentaires. En 2021, la Commission a publié un acte de ce type afin d’activer les exigences de cybersécurité pour certaines installations de radiocommunication. Ces dispositions ont été intégrées dans l’ordonnance de l’OFCOM du 26 mai 2016 sur les installations de télécommunication (OOIT) 32 pour 26 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des commu­ nications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité), JO L 151 du 7.6.2019, p. 15; modifié par le règlement (UE) 2025/37, JO L, 2025/37, 15.1.2025. 27 Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cy­ bersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n°168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience), JO L, 2024/2847, 20.11.2024. 28 Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures desti­ nées à assurer un niveau élevée commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2), JO L 333 du 27.12.2022, p. 80. 29 UE (2020) 30 RS 0.946.526.81 31 Directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l’harmonisation des législations des États membres concernant la mise à disposition sur le marché d’équipements radioélectriques et abrogeant la direc­ tive 1999/5/CE, JO L 153 du 22.5.2014, p. 62; modifié par la directive (UE) 2024/2839, JO L 2024/2839, 7.11.2024. 32 RS 784.101.21 14/85

garantir l’équivalence de la législation suisse et le maintien du secteur dans l’ARM, bien que l’UE n’ait plus contrôlé formellement cette équivalence depuis le début des négo­ ciations sur l’accord-cadre en 2021.

La directive RED33, sur laquelle la Suisse a aligné sa législation, crée un cadre régle­ mentaire pour la mise à disposition sur le marché d’installations de radiocommunica­ tion, lequel comprend des prescriptions techniques en matière de protection de la sphère privée et des données personnelles et de protection contre les fraudes. Les dispositions, intégrées en 2022 dans l’ordonnance du 25 novembre 2015 sur les ins­ tallations de radiocommunication34 (OIT) et activées au moyen de l’OOIT, améliorent la cybersécurité de certains appareils sans fil (smartphones, smartwatches, moniteurs d’activité physique et jouets sans fil) disponibles sur le marché suisse. Afin de renforcer leur résilience, ces appareils connectés doivent disposer de fonctionnalités empêchant une perturbation des réseaux de communication. Les dispositions de l’OOIT s’appli­ quent aux installations 5G.

Les Etats-Unis ont interdit en mai 2019 les produits et services d’entreprises chinoises dans leurs systèmes de télécommunication. Cette interdiction a été étendue en 2022 à tous les produits télécoms et de vidéosurveillance chinois. Au-delà du soupçon d’es­ pionnage, cette interdiction pourrait reposer aussi sur des considérations liées à la do­ mination du marché de la technologie 5G par les entreprises chinoises et par le retard en la matière des compagnies américaines. D’autres pays ont emboité le pas aux Etats- Unis de par le monde, en particulier le Canada, le Royaume-Uni, le Japon et l’Australie.

Communication d’urgence

Dans le domaine de la communication d’urgence, la tâche la plus complexe, à savoir la création d’un ESInet, s’appuie sur une norme internationale de l’ETSI (European Telecommunications Standards Institute)35. Selon Mc Bride36, plusieurs autres pays européens, tels que la Macédoine du Nord, l’Autriche, le Portugal et la Roumanie, ont déjà appliqué certaines parties de cette norme. La Bulgarie, l’Estonie, la Lituanie et la Suède poursuivent des projets correspondants. La National Emergency Number Asso­ ciation (NENA)37, l’autorité américaine de normalisation en matière de communication d’urgence, est également active dans ce domaine.

Protection des jeunes et des consommateurs

S’agissant de la protection des jeunes, les nouvelles lignes directrices européennes de la Commission relatives à la protection des mineurs38 prévoient selon les informations disponibles des obligations pour les exploitants des plateformes (mise à disposition d’outils techniques de contrôle et de protection des jeunes). Le droit de l’UE ne prévoit toutefois pas d’obliger légalement les fournisseurs d’accès à Internet à conseiller acti­ vement les personnes responsables de mineurs. Une telle obligation est laissée à l’ap­ préciation des États membres. Concernant le blocage des numéros de téléphone et

33 cf. note de bas de page 31 34 RS 784.101.2 35 ETSI (2023) 36 McBride (2024) 37 NENA (2025) 38 Lignes directrices C/2025/5519 concernant des mesures visant à garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs en ligne, conformément à l’article 28, paragraphe 4, du règlement (UE) 2022/2065, JO C, 10.10.2025. 15/85

des noms de domaine, la législation européenne ne contient actuellement aucune dis­ position autorisant les autorités à ordonner de telles mesures lorsqu’un soupçon fondé existe. La comparaison transversale qui suit avec l’application du droit dans les pays limitrophes de la Suisse présente donc un intérêt particulier.

En cas de non-respect des obligations légales ou administratives, la Bundesnetzagen­ tur allemande (BNetzA) est habilitée à retirer les numéros de téléphone présumés uti­ lisés de manière illicite. En outre, elle peut ordonner à l’opérateur sur le réseau duquel le numéro est raccordé de le désactiver. On peut supposer qu’elle pourrait également ordonner la désactivation du numéro en cas de soupçon grave et dûment fondé de l’autorité d’enquête, même en l’absence de condamnation définitive. Le règlement de la BNetzA39 se base sur l’établissement des faits par la BNetzA elle-même. La « certi­ tude » découle de l’ensemble des plaintes et des moyens de preuve disponibles, ce qui permet une intervention immédiate (désactivation) pour prévenir toute menace, sans avoir à attendre un jugement pénal. Selon un communiqué de presse de la BNetzA40, près de 6500 numéros de téléphone ont été désactivés en 2024. Le nombre élevé de désactivations annuelles ne permet tout simplement pas d’exiger au préalable une condamnation définitive. Il convient par ailleurs de souligner que la formulation « s’il y a certitude d’utilisation illicite d’un numéro de téléphone (...) » impose des exi­ gences plus élevées en matière de charge de la preuve qu’un soupçon fondé. La BNetzA doit être convaincue, sur la base de faits, qu’il y a utilisation illégale.

L’Autorité française de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) peut ordonner le blocage de numéros de télé­ phone à titre de sanction après mise en demeure et si une violation des règles d’utili­ sation des ressources de numérotation est avérée. En règle générale, l’opérateur ou l’utilisateur est mis en demeure de remédier à l’infraction dans un délai imparti. Si l’in­ fraction persiste après l’expiration du délai, l’ARCEP peut ordonner aux opérateurs de bloquer le numéro.

En Italie, l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) dispose de possibi­ lités étendues de contrôle et de sanctions dans le secteur des communications. Sa base légale est le Codice delle Comunicazioni Elettroniche (code des communications électroniques). Si elle constate un abus ou le non-respect des prescriptions relatives à l’utilisation des ressources de numérotation, l’AGCOM peut imposer des sanctions. La procédure prévoit généralement une constatation formelle, suivie par la possibilité de désactiver le numéro de téléphone si la situation illicite n’est pas régularisée dans le délai imparti. L’Italie dispose aussi de réglementations spécifiques pour lutter contre les fraudes aux télécommunications, qui prévoient la désactivation du numéro comme conséquence directe. La décision est prise sur la base d’un acte administratif. En s’ap­ puyant sur le Codice di Procedura Penale (code de procédure pénale), le ministère public ou le juge des enquêtes préliminaires (Giudice per le Indagini Preliminari) peut ordonner la désactivation préventive et l’interruption des moyens de communication en cas de soupçon grave et fondé (p. ex. en lien avec le terrorisme, le trafic de drogues ou une fraude grave). Cette mesure sert à empêcher la poursuite de l’activité criminelle avant qu’il n’y ait inculpation ou condamnation.

En Autriche, la Rundfunk und Telekom Regulierungs-GmbH (RTR) possède des com­ pétences et pouvoirs pénaux administratifs complets pour l’application du droit des té­

39 BNetzA (2022) 40 BNetzA (2025) 16/85

lécommunications. Elle s’appuie sur la Telekommunikationsgesetz (loi sur les télécom­ munications, TKG 2021), notamment sur les articles qui régissent l’utilisation des res­ sources de numérotation et fixent les dispositions pénales administratives. Dans la pra­ tique, si elle constate une fraude aux numéros de téléphone (p. ex. publicité non auto­ risée, arnaques ou harcèlement de masse), la RTR peut ordonner des mesures visant à mettre fin à la situation illégale. Elle peut imposer à l’opérateur de cesser l’utilisation du numéro de téléphone, ce qui équivaut de fait à un blocage. Un jugement civil ou pénal n’est pas nécessaire. En cas de soupçon grave, et si une procédure pénale est déjà en cours, les tribunaux et ministères publics sont compétents. La base légale dans ces cas est le code de procédure pénale. En cas de soupçon sérieux d’infractions graves, le ministère public ou le tribunal peut, conformément au code de procédure pénale, ordonner des mesures de surveillance ou de sécurité. La désactivation tempo­ raire d’un numéro de téléphone en tant que mesure visant à prévenir les risques ou à empêcher d’autres infractions doit être autorisée par un juge et constitue une mesure préventive.

Les exemples provenant d’Allemagne, de France, d’Italie et d’Autriche montrent que, dans les pays voisins de la Suisse, il n’existe aucune réglementation explicite équiva­ lente permettant aux autorités d’enquête de faire bloquer des numéros déjà en cas de soupçon fondé. Il apparaît toutefois clairement qu’une condamnation entrée en force n’est pas requise pour procéder au blocage. Celui-ci peut être prononcé à titre de sanc­ tion administrative par l’autorité de réglementation (sur la base d’une certitude quant à l’illégalité) ou à titre préventif dans une procédure pénale (avant qu’une condamnation ne soit définitive) par les autorités judiciaires (en cas de soupçon grave).

2.2 Développement des infrastructures

En proposant d’adopter uniquement des prescriptions relatives au câblage interne des bâtiments, la Suisse va nettement moins loin que l’UE dans le domaine des infrastruc­ tures passives. Plusieurs options présentées au chapitre 1.2.2 et rejetées proviennent du règlement (UE) 2024/1309 (Gigabit Infrastructure Act, GIA)41, un acte juridique eu­ ropéen en vigueur destiné à favoriser le développement du haut débit.

2.3 Bases de données

Il existe au niveau européen des principes communs et une coordination au niveau de l’UE. Selon la directive (UE) 2018/1972 (European Electronic Communications Code, EECC)42, lorsqu’un État membre juge qu’une exigence de notification est justifiée pour des entreprises soumises à une autorisation générale, il peut uniquement imposer à ces entreprises de soumettre une notification à l’autorité de régulation nationale ou à une autre autorité compétente. La notification se limite à une déclaration établie par une personne physique ou morale à l’attention de l’autorité de régulation nationale ou d’une autre autorité compétente, l’informant de son intention de commencer à fournir des réseaux ou des services de communications électroniques, ainsi qu’à la commu­ nication des informations minimales nécessaires pour permettre à l’Organe des régu­ lateurs européens des communications électroniques (ORECE) et à cette autorité de

41 Règlement (UE) 2024/1309 du Parlement européen et du Conseil du 29 avril 2024 relatif à des mesures visant à réduire le coût du déploiement de réseaux gigabit de communications électroniques, modifiant le règlement (UE) 2015/2120 et abrogeant la directive 2014/61/UE (règlement sur les infrastructures gigabit), JO L, 2024/1309, 8.5.2024 42 Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communi­ cations électroniques européen (refonte), JO L 321 du 17.12.2018, p. 36; modifié par la directive (UE) 2022/2555, JO L

333 du 27.12.2022, p. 80

17/85

tenir un registre ou une liste des fournisseurs de réseaux et de services de communi­ cations électroniques. Les États membres n’imposent aucune exigence de notification supplémentaire ou distincte.

Ainsi, bien que l’EECC encourage une approche harmonisée et simplifiée, il laisse aux États membres une certaine flexibilité quant à l’imposition d’une obligation de notifica­ tion. De plus, signalons que l’ORECE tient et publie une liste de ces notifications dans une base de données d’autorisation générale, répertoriant notamment le nom de l’en­ treprise, les services offerts et les pays concernés. En pratique, tous les États membres de l’UE exigent une notification, à l’exception du Danemark, qui ne l’a jamais imposée, et de la France, qui a supprimé cette obligation en 2021. En dehors de l’UE, le Royaume-Uni n’a jamais mis en place une prescription similaire. Finalement, il est im­ portant pour la majorité des pays européens de disposer d’un aperçu clair des fournis­ seurs de réseaux et de services de communications électroniques, quelle que soit la manière dont ces informations sont collectées. Cela permet notamment de tenir un registre, facilitant ainsi le suivi et la régulation du marché.

En comparaison, le projet de révision ne prévoit pas de réintroduire une obligation d’an­ nonce formelle pour tous les fournisseurs de services de télécommunication, comme avant 2021. Toutefois, comme au niveau européen, l’objectif demeure de disposer d’une vue d’ensemble aussi complète que possible des acteurs actifs sur le marché. À cette fin, l’OFCOM doit également pouvoir enregistrer les fournisseurs de services de télécommunication, qui ne recourent à aucune ressource auprès de l’OFCOM (à savoir les fournisseurs d’accès à Internet), ainsi que les propriétaires et les exploitants d’ins­ tallations de télécommunication et de canalisations de câbles en Suisse, et leur de­ mander toutes les informations nécessaires pour l’enregistrement.

18/85

3 Grandes lignes du projet

3.1 Nouvelle réglementation proposée

Le projet porte essentiellement sur la réglementation de trois domaines.

3.1.1 Sécurité

Compte tenu de l’instabilité géopolitique, la sécurité des infrastructures de télécommu­ nication et des services fournis par leur intermédiaire doit être améliorée. Pour ce faire, des mesures visant à renforcer la résilience et la sécurité des infrastructures de télé­ communication ont été proposées. Par ailleurs, le Conseil fédéral doit pouvoir prendre les mesures nécessaires en cas de risques pour la sécurité dus à la situation géopoli­ tique. La sécurité des infrastructures est assurée notamment par des mesures relatives aux installations de télécommunication et aux appareils électriques. Il convient donc de préciser les dispositions applicables aux installations exploitées par les autorités à des fins de prévention et de lutte contre la criminalité ainsi que pour la sécurité publique. En outre, l’OFCOM doit pouvoir équiper des installations de mesure d’une fonction d’enregistrement d’images afin de détecter les perturbations du spectre des fréquences dans le trafic et ainsi identifier les véhicules qui en sont responsables.

De plus, l’objectif est d’améliorer la disponibilité des communications d’urgence par la mise en place d’une forme de maîtrise technique du système des communications d’ur­ gence.

Enfin, il convient de renforcer également la sécurité des consommateurs en relation avec les services de télécommunication. Les fournisseurs de services de télécommu­ nication sont tenus d’informer plus en détail les personnes responsables de mineurs sur les moyens techniques de protection des jeunes dans le domaine de la pornogra­ phie. Par ailleurs, la lutte contre l’utilisation abusive des numéros de téléphone et des noms de domaine suisses doit être renforcée.

3.1.2 Développement des infrastructures

Afin de garantir un développement efficace des infrastructures, l’OFCOM doit pouvoir édicter des prescriptions techniques et administratives (PTA) relatives au câblage in­ terne des bâtiments, et définir des normes. Ces prescriptions s’inspirent en particulier des directives techniques volontaires de l’OFCOM43. Le projet propose en outre de considérer sur le même plan, dans les dispositions générales, les fournisseurs de ser­ vices de télécommunication et certains propriétaires ou exploitants d’installations de télécommunication ou de canalisations de câbles, dans la mesure où une concurrence efficace en matière de fourniture des services de télécommunication l’exige. Concer­ nant l’utilisation des terrains, l’accès aux points d’entrée dans les bâtiments et la co- utilisation des installations domestiques, il devrait combler les lacunes juridiques exis­ tantes. Il ne prévoit en revanche aucune obligation explicite de co-utilisation des infras­ tructures passives. La nécessité d’une telle obligation reste néanmoins à examiner dans le cadre de la présente consultation.

3.1.3 Bases de données

Pour mener à bien ses tâches d’exécution et d’évaluation, l’OFCOM doit pouvoir enre­ gistrer d’autres acteurs du marché suisse des télécommunications. Or, les bases lé­ gales en vigueur lui permettent d’enregistrer uniquement les fournisseurs de services

43 OFCOM (2012) 19/85

de télécommunication qui obtiennent des ressources auprès de lui. De ce fait, tout comme d’autres autorités, il ne dispose que d’une vue limitée du marché et de ses acteurs importants. En vertu du droit en vigueur, il ne peut pas enregistrer les fournis­ seurs de services d’accès à Internet, les exploitants ou encore les propriétaires d’ins­ tallations de télécommunication. Il est néanmoins essentiel pour l’exécution et l’évalua­ tion de la législation en matière de télécommunication de pouvoir recenser l’ensemble des acteurs de marché. La nouvelle possibilité d’enregistrement vise à remédier à cette lacune.

3.2 Questions relatives à la mise en œuvre

Les mesures de sécurité prévues pour les infrastructures de télécommunication et au regard des risques géopolitiques sont tirées de la boîte à outils 5G de l’UE44. Elles s’appliquent de toute façon aux fournisseurs actifs à l’échelle internationale. De plus, elles se fondent sur des normes internationales. On peut dès lors supposer qu’elles seront faciles à mettre en œuvre.

S’agissant de la communication d’urgence, la réglementation repose notamment sur des normes internationales. La norme relative à la création d’un ESInet a été élaborée par l’organisation ETSI (cf. chapitre 2), qui inclut des représentants de la branche dans le processus de normalisation45. La mesure liée à la solution de repli minimale se rap­ porte au modèle de référence pour les appels d’urgence élaboré par le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DE­ TEC) et par la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP)46. La branche était également représentée dans le projet.

Les mesures prévues dans le domaine de la protection des consommateurs ne con­ tiennent aucune prescription susceptible d’empêcher ou d’entraver l’exécution par des moyens électroniques. Il en va de même pour la possibilité de bloquer des numéros de téléphone et des noms de domaine. Toutefois, les conseils doivent pouvoir être propo­ sés aux personnes responsables de mineurs dans les points de vente des fournisseurs d’accès à Internet, par téléphone, ou via un formulaire en ligne ou un chatbot. Dans tous les cas, aucun contact avec les autorités n’est nécessaire, et les conseils peuvent être fournis par l’intermédiaire des canaux de vente existants des fournisseurs d’accès à Internet.

Les prescriptions relatives au câblage interne des bâtiments doivent être faciles à mettre en œuvre, basées sur des directives techniques de l’OFCOM47 élaborées par un groupe de travail sectoriel, et accessibles par voie électronique. Pour les éventuelles procédures de surveillance, il conviendra de recourir autant que possible à des moyens électroniques.

44 UE (2020) 45 ETSI (2025) 46 DETEC et CCDJP (2022) 47 OFCOM (2012) 20/85

4 Explications article par article

4.1 Loi sur les télécommunications (LTC)

Préambule

Les télécommunications reposent sur la compétence générale de la Confédération pré­ vue à l’art. 92 de la Constitution fédérale du 18 avril 1999 (Cst.) 48. Tous les domaines indispensables au bon fonctionnement de l'infrastructure des télécommunications dans son ensemble s'appuient sur cette base constitutionnelle. Le législateur a donc non seulement réglé dans la LTC l’offre de services de télécommunication et l’organisation du marché des télécommunications, mais aussi édicté de nombreuses prescriptions relatives aux ressources (fréquences, ressources d’adressage) et aux infrastructures (installations, canalisations de câbles).

Les mesures de protection visant à renforcer la résilience des infrastructures de télé­ communication, proposées dans le cadre de la révision, se fondent essentiellement sur cette base constitutionnelle. Les dispositions proposées se concentrent sur la sécurité technique de ces infrastructures. Elles doivent en outre contribuer à l’indépendance structurelle de la Suisse et garantir sa sécurité intérieure et extérieure. Il se justifie dès lors de fonder la présente révision, et en particulier les art. 48a ss, également sur l’art. 173, al. 2, Cst.

La protection contre les cybermenaces ne concerne cependant pas uniquement les infrastructures de télécommunication, mais aussi les services que celles-ci contribuent à fournir et enfin la population en tant qu’utilisatrice de ces services. Alors que les art. 92 et 173, al. 2, Cst. prévoient la protection des infrastructures de télécommunication, de la sécurité et de l’indépendance de la Suisse, les dispositions visant à protéger les utilisateurs s’appuient sur l’art. 97 Cst. Cette compétence permet à la Confédération de définir des mesures concernant la protection des consommateurs et sert ainsi de base pour l’édiction des dispositions relatives à la protection des jeunes et des consomma­ teurs prévues aux art. 6a, 6b et 46a.

Art. 1 But

Al. 1

La LTC a pour but d’offrir à la population et à l’économie des services de télécommu­ nication diversifiés, avantageux, de bonne qualité et concurrentiels sur le plan national et international. Pour ce faire, elle crée les conditions réglementaires nécessaires. Au vu des risques croissants liés aux cybermenaces, l’objectif ne peut être atteint qu’en tenant compte de la sécurité technique des infrastructures de télécommunication et des services fournis par leur intermédiaire. Le but de la LTC doit donc être complété à l’al. 1 par l’aspect sécurité. La population et l’économie doivent non seulement disposer de services de télécommunication de qualité, mais aussi pouvoir les utiliser de manière sûre. L’aspect désormais fondamental de la sécurité est compris d’un point de vue technique et opérationnel. Comme auparavant, les fournisseurs ne doivent pas procé­ der à une évaluation des contenus, ceux-ci restant protégés par le secret des télécom­ munications (art. 43 LTC et art. 13, al. 1, Cst., 321ter du Code pénal du 21 décembre 1937 [CP] 49).

48 RS 101 49 RS 311.0 21/85

Al. 2

Le principe de l’offre de services de télécommunication sûrs désormais ancré à l’al. 1 doit également être inscrit et concrétisé dans les objectifs énumérés à l’al. 2, de façon à ce que le législateur et le Conseil fédéral puissent intervenir sur le plan normatif.

Let. b

La mention explicite, à la let. b, de la sécurité et de la protection contre les cyberme­ naces vise à garantir des télécommunications sans perturbation, tout en veillant au respect des droits de la personnalité des utilisateurs. Des télécommunications sûres protègent la population et l’économie, et donc l’intérêt privé des utilisateurs de services de télécommunication. L’objectif de protection contre les cybermenaces permet et jus­ tifie de nouvelles tâches et obligations dans ce sens. La Confédération doit donc pou­ voir assumer de nouvelles tâches pour protéger les consommateurs. Elle doit notam­ ment pouvoir ordonner des blocages en cas d’utilisation abusive des ressources d’adressage, pour prévenir rapidement et efficacement toute intention criminelle (art. 6a et 6b) et protéger la population contre les atteintes au patrimoine et à la personnalité.

Vu la nécessité de coordonner et d’harmoniser les prescriptions juridiques dans le do­ maine de la cybersécurité, la notion de cybermenaces dans la LTC correspond à la définition de l’art. 5, let. f, LSI (en relation avec les let. a et d). Elle est comprise comme toute circonstance ou tout événement pouvant entraîner un cyberincident, c’est-à-dire un événement qui, lors de l’utilisation de techniques de l’information et de la communi­ cation, nuit à la confidentialité, à la disponibilité ou à l’intégrité des informations ou à la transparence de leur traitement.

Let. f

Ancrer la résilience et la sécurité des infrastructures de télécommunication dans le pré­ sent article vise à souligner l’importance de la sécurité dans le domaine des infrastruc­ tures et, par conséquent, de l’indépendance structurelle et de la cyberrésilience de la Suisse.

Même si un tel ancrage profite aussi à l’économie et à la population, il vise prioritaire­ ment à protéger l’intérêt public de la sécurité intérieure et extérieure de la Suisse, et donc sa place industrielle, économique et financière. La résilience des infrastructures de télécommunication sert également à garantir l’indépendance structurelle de la Suisse au regard de la situation géopolitique. Ancrer ces principes dans le présent article permet au législateur et au Conseil fédéral d’intervenir sur le plan normatif et de prévoir non seulement des obligations pour les acteurs du marché, mais aussi des tâches pour la Confédération.

En conséquence, les fournisseurs de services de télécommunication doivent prendre des mesures techniques, opérationnelles et administratives pour lutter contre la mani­ pulation non autorisée des infrastructures de télécommunication par des transmissions au moyen de techniques de télécommunication et contre d’autres cybermenaces, et donc renforcer la résilience de ces infrastructures (cf. art. 48a). Pour ce faire, ils sont tenus, tant dans la conception que dans l’exploitation de leurs infrastructures, d’utiliser des composants sûrs et d’adopter une stratégie de diversification (cf. art. 48b). Dans le sens d’un ultima ratio, le Conseil fédéral doit par ailleurs pouvoir prendre des me­ sures si la situation géopolitique se dégrade (cf. art. 48c).

22/85

Art. 3 Définitions

Let. d Installations de télécommunication

Le fait de compléter à l’art. 3 let. d la définition de l’installation de télécommunication avec la notion de logiciel permet de tenir compte des progrès constants de la techno­ logie et de l’intégration devenue omniprésente de logiciels dans les installations de télécommunication. Les logiciels peuvent en effet avoir une incidence non négligeable sur la conformité des installations de télécommunication, en permettant de contrôler totalement l’installation dans laquelle ils sont intégrés. Ils offrent ainsi une flexibilité au fabricant, qui peut étendre les fonctionnalités de son produit, ou en corriger une erreur par une simple mise à jour qui peut être distribuée à l’utilisateur. Il convient de préciser que seuls les logiciels susceptibles d’avoir une incidence sur la conformité aux exi­ gences essentielles sont en définitive visés. Dans la mesure où l’OIT prévoit déjà quelques dispositions touchant les logiciels dans les installations de radiocommunica­ tion, l’introduction de la notion de logiciel dans la définition de l’installation de télécom­ munication permet par ailleurs de clarifier ces cas de figure.

Art. 3a Droits et obligations des propriétaires et des exploitants d’installations de télécommunication ou de canalisations de câbles

Al. 1

Le nouvel art. 3a comble une lacune de la LTC, apparue avec l’émergence de nou­ veaux modèles commerciaux et l’utilisation du terme « fournisseurs de services de té­ lécommunication ». Il tient compte du fait que l’extension des réseaux (en particulier des réseaux de raccordement) peut également être réalisée par des entreprises qui ne fournissent pas elles-mêmes de services de télécommunication, mais qui ne font que louer à des tiers des infrastructures pour la transmission d’informations au moyen de techniques de télécommunication (« purs fournisseurs d’infrastructures de télécommu­ nication »). Dans ce contexte, peu importe que les raccordements de télécommunica­ tion soient construits par l’entreprise qui fournit des services de télécommunication ou par une autre entreprise. La disposition précise qu’en ce qui concerne ces infrastruc­ tures, les propriétaires et les exploitants d’installations de télécommunication destinées à mettre à disposition des services de télécommunication (cf. let. a) ou les propriétaires de canalisations de câbles (cf. let. b) ont en vertu de la LTC les mêmes droits et obli­ gations que les entreprises qui exploitent les mêmes infrastructures, mais offrent en plus des services de télécommunication. La législation sur les télécommunications n’a jamais eu pour objectif de traiter ces deux types d’entreprises de manière différente. Cette clarification s’est imposée en raison de la multiplication des modèles commer­ ciaux basés sur l’exploitation de réseaux de fibre noire.

Les art. 35, 35a, 35b, 36, 36a et 37 du chapitre 5 (Installations de télécommunication) illustrent les lacunes et le besoin de clarification dans la loi actuelle. Ces dispositions visent des entreprises qui posent des câbles vers des immeubles au moyen de leur propre infrastructure de réseau. Les droits et obligations qu’elles contiennent portent sur la construction physique du réseau et il n’y a aucune raison pour que les entreprises qui construisent des réseaux sans offrir de services de télécommunication soient trai­ tées différemment. Ces droits et obligations sont par conséquent introduits concrète­ ment à l’al. 1.

S’agissant de la notion d’installations de télécommunication à la let. a, la précision « destinées à la fourniture de services de télécommunication » est importante, car 23/85

elle restreint le cercle des concernés aux entreprises actives sur le marché des télé­ communications. Par exemple, les détenteurs d’appareils mobiles qui en cèdent l’usage à des tiers sont exclus de ce cercle (comme les parents qui laissent leur télé­ phone mobile à leurs enfants). En revanche, une fibre optique noire cédée à un four­ nisseur de services de télécommunication constitue une installation de télécommuni­ cation destinée à la fourniture de services de télécommunication, et son propriétaire a les mêmes droits et obligations concernant cette fibre optique que les fournisseurs de services de télécommunication qui exploitent leurs propres fibres optiques.

Tant à la let. a qu’à la let. b, les installations de télécommunication ou les canalisations de câbles doivent être mises à la disposition de tiers pour la fourniture de services de télécommunication.

Al. 2

Pour assurer une concurrence efficace en matière de fourniture de services de télé­ communication, le Conseil fédéral peut prévoir au niveau de l’ordonnance que d’autres droits et obligations des fournisseurs de services de télécommunication s’appliquent par analogie aux propriétaires ou aux exploitants de canalisations de câbles ou d’ins­ tallations de télécommunication destinées à la fourniture de services de télécommuni­ cation.

Art. 4 Enregistrement

Al. 1 et 2

Lors de la dernière révision de la LTC, le régime général d’obligation d’annoncer a été remplacé par un enregistrement des seuls fournisseurs de services de télécommuni­ cation qui utilisent des fréquences de radiocommunication soumises à concession ou des ressources d’adressage gérées au niveau national pour fournir leurs services. Cette possibilité doit être conservée et figure toujours aux al. 1 et 2. Cette approche s’est toutefois révélée insuffisante dans la pratique, car elle ne permet pas aux autorités d’exécution de disposer d’une vue d’ensemble des acteurs du marché des télécommu­ nications. Celle-ci s’avère en effet indispensable à des fins de transparence (cf. art. 12a) et de surveillance (cf. art. 58), pour établir le rapport d’évaluation (art. 3a) et la statistique officielle sur les télécommunications (cf. art. 59, al. 2) ou encore pour fonder l’évaluation législative (cf. art. 59, al. 2bis, let. c). De nouveaux besoins quant à la con­ naissance du marché sont par ailleurs apparus en matière de développement des in­ frastructures en lien avec le projet de loi fédérale sur la promotion du déploiement d’in­ frastructures pour le haut débit (LPHD)50. Il convient dans ces conditions de revoir les dispositions consacrées à l’enregistrement. Vu que les possibilités d’enregistrement de l’OFCOM sont plus étendues, la disposition doit faire l’objet d’une nouvelle numérota­ tion, les actuels al. 1 et 2 restant inchangés.

Al. 3

Le contenu matériel de l’actuel al. 3 est déplacé à l’al. 4 en raison de la nouvelle struc­ ture. L’OFCOM devra, en vertu de l’al. 3, enregistrer en fonction des besoins les per­ sonnes soumises à la LTC qui n’utilisent pas des ressources rares gérées par l’OFCOM, afin de permettre en particulier l’exécution et la surveillance de la législation, l’établissement de la statistique ou encore l’évaluation législative. Il convient de noter

50 Procédures de consultation terminées – 2025 : https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1 24/85

que les personnes concernées sont tenues de fournir les informations nécessaires à l’enregistrement conformément à l’art. 59, al. 1. L’OFCOM doit par exemple pouvoir recenser les fournisseurs d’accès à Internet ou les principaux diffuseurs de pro­ grammes de radio et de télévision, dans la mesure où cela s’avère nécessaire pour l’application et l’évaluation du droit des télécommunications. De plus, il doit pouvoir enregistrer les propriétaires et les exploitants de lignes de fibres optiques (fournisseurs de fibres noires) ainsi que les exploitants ou les propriétaires d’installations de télécom­ munication qui cèdent l’utilisation de leur infrastructure à d’autres fournisseurs et ne raccordent aucun bâtiment.

Cette nouvelle possibilité d’enregistrement ne crée aucun droit ou obligation matériel pour les acteurs concernés, qui sont déjà soumis au droit des télécommunications. Elle permet cependant à l’OFCOM d’avoir une vue d’ensemble des principaux acteurs du marché et, grâce à une base de données complète, d’accomplir ses tâches de manière appropriée.

Cet alinéa ne concerne pas les purs propriétaires ou exploitants d’installations de télé­ communication ou de canalisations de câbles destinées à raccorder des bâtiments par une technique de télécommunication, lesquels sont soumis à une obligation d’annoncer au sens de l’art. 4a.

Al. 4

Les informations relatives aux fournisseurs, exploitants ou propriétaires enregistrés peuvent être consignées dans une liste. Les services proposés ainsi que les installa­ tions de télécommunication doivent également pouvoir y figurer. L’al. 4 précise que l’OFCOM peut publier une liste des personnes enregistrées, l’actuelle obligation de publication étant donc supprimée. L’office devrait toutefois continuer à s’efforcer comme par le passé à publier cette liste principalement pour des raisons de transpa­ rence ; il ne devrait y renoncer qu’en l’absence de tout intérêt à la publication.

Al. 5

Le Conseil fédéral doit pouvoir prévoir des exceptions à l’enregistrement, par exemple si un fournisseur demande pour une courte durée des ressources d’adressage ou des fréquences soumises à concession afin de fournir un service de télécommunication uniquement dans le cadre de l’art. 2 OST. Il ne doit pas être obligatoire de faire enre­ gistrer à l’OFCOM une telle fourniture fermée ou limitée de services, en particulier lors­ que celle-ci recourt à des ressources sur une courte période (p. ex. durée d’un festival de musique).

Art. 4a Obligation d’annoncer

Al. 1

Pour décrire de manière précise et exhaustive l’état actuel du déploiement des infras­ tructures de télécommunication, il est essentiel de déterminer quelles sont les informa­ tions dont la collecte est souhaitable. Dans le cas d’espèce, il s’agit des installations de télécommunication qui raccordent les bâtiments par une technique de télécommu­ nication et qui permettent, en pratique ou en théorie, la fourniture d’un service de télé­ communication au sens de l’art. 3, let. b.

25/85

Dans l’optique d’obtenir ces informations, il importe d’identifier qui doit les livrer et, sur­ tout, de s’assurer que l’OFCOM peut entrer en contact avec les personnes concernées. Afin d’éviter toute confusion et de recenser toutes les infrastructures, y compris celles qui sont inactives, les propriétaires et les exploitants des installations concernées doi­ vent être soumis à l’obligation de s’annoncer.

Afin d’obtenir la vue d’ensemble des acteurs actifs sur le marché suisse des télécom­ munications visée par l’art. 4, l’OFCOM doit aussi enregistrer les entreprises soumises à l’obligation de s’annoncer en vertu de l’art. 4a.

Al. 2

Il incombe au Conseil fédéral de régler la forme et le contenu de cette obligation et de l’enregistrement des acteurs, ainsi que d’établir des règles pour que la liste des pro­ priétaires ou des exploitants soit exhaustive et actuelle.

Art. 6a Blocage de l’accès à la téléphonie et à Internet

Al. 1

En Suisse, les fournisseurs de services de télécommunication sont tenus d’identifier leurs clients conformément aux dispositions légales en matière de surveillance. Dans la pratique, la limitation de l’obligation de blocage des fournisseurs de services de té­ lécommunication en vigueur aux seules offres sans abonnement s’est avérée insuffi­ sante. Le problème de l’identification ultérieure des clients ayant fourni des informa­ tions erronées ou non conformes aux exigences légales concernait à l’origine avant tout les offres mobiles prépayées de téléphonie ou d’accès à Internet. La négligence ou un comportement trompeur des utilisateurs en étaient souvent la cause. C’est d’ail­ leurs ce qui avait motivé l’introduction de cette disposition avec un champ d’application limité à ces cas.

Depuis l’entrée en vigueur de cette disposition, les autorités de poursuite pénale no­ tamment rencontrent les mêmes problèmes avec d’autres offres, comme celles de té­ léphonie fixe avec facture (postpayées).

Afin d’échapper à d’éventuelles poursuites pénales, certaines personnes qui ne veulent pas être identifiées utilisent aussi pour les offres postpayées des documents falsifiés. Les documents plus vrais que nature peuvent être créés toujours plus facilement et rapidement grâce à des outils numériques, la mise en œuvre de l’intelligence artificielle ouvrant à cet égard des possibilités nouvelles et jusqu’alors insoupçonnées. En outre, sont également utilisés des moyens de paiement obtenus illégalement ou propres à rendre la traçabilité difficile, voire totalement impossible.

Pour les raisons précitées, la présente modification étend le champ d’application à tous les rapports contractuels et s’applique désormais quel que soit le mode de facturation ou la catégorie de numéros (fixes ou mobiles). Cette extension à d’autres champs d’ap­ plication ne crée cependant pas de nouveaux droits ou de nouvelles obligations pour les fournisseurs de services de télécommunication.

Let. a

La let. a prévoit un blocage si, au moment de l’identification, le fournisseur constate qu’une identité fictive (cf. ch. 1) ou l’identité d’une personne non impliquée sans son 26/85

consentement (cf. ch. 2) a été utilisée. Elle reflète la réglementation en vigueur, qui prévoit également un blocage des offres (postpayées) dans ces deux cas. En raison de l’élargissement du domaine d’application, la let. a est reformulée et restructurée.

Let. b

Les fournisseurs, notamment ceux dont le siège se trouve à l’étranger et qui fournissent à leurs clients à l’étranger un accès à la téléphonie et à Internet, n’ont pas, dans cer­ taines circonstances, l’obligation de procéder à une identification conformément aux dispositions de la loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)51, ni même à quelque identification que ce soit. Du point de vue du fournisseur dont le siège est à l’étranger, il s’agit de prescrip­ tions étrangères. Si le pays dans lequel il a son siège ne dispose pas de prescriptions correspondantes ou si celles-ci ne sont pas comparables avec les dispositions suisses, le fournisseur doit néanmoins également bloquer l’accès. A défaut, il risque, dans le cadre de procédures de surveillance, de perdre son droit à mettre des numéros suisses à la disposition de ses clients pour des services de télécommunication. Il s’expose en outre à une sanction administrative. Les prescriptions qui prévoient l’identification des utilisateurs à l’aide de documents officiels, de manière similaire à ce que fait la Suisse, sont considérées comme équivalentes. A l’instar de la let. a, la let. b correspond à la réglementation en vigueur, qui est reprise inchangée dans la disposition remaniée.

Let. c

La let. c tient compte du fait que, pour des raison techniques ou juridiques, les informa­ tions relatives à l’identification des utilisateurs ne peuvent ou ne doivent souvent pas être transmises aux autorités suisses dans un délai raisonnable, même lorsqu’une obli­ gation équivalente à celle prévue par le droit suisse existe dans le pays où l’accès est fourni. Contrairement à la let. b, l’identification dans le pays dans lequel l’accès est disponible correspond à l’étendue et à la qualité des exigences suisses en matière de surveillance. Souvent, les exigences en matière de protection des données empêchent la transmission de données personnelles au-delà des frontières. Ces informations doi­ vent être obtenues dans le cadre d’une procédure d’entraide judiciaire internationale, qui dure généralement longtemps. Dans ce cas, les fournisseurs de services de télé­ communication bloquent l’accès jusqu’à ce que les informations aient été transmises selon la procédure prévue à cet effet. Les informations transmises permettent donc de vérifier si les conditions de blocage prévues aux let. a et b sont remplies. Dans ce cas, le blocage doit être maintenu ; en revanche, si aucune des deux conditions n’est rem­ plie, le blocage est levé.

Al. 2

Les autorités de poursuite pénale compétentes sont tenues de ne procéder à aucun blocage visé à l’al. 1 si elles ont connaissance du fait que le numéro de téléphone ou l’accès à Internet concerné fait l’objet d’un mandat de surveillance du Service de sur­ veillance de la correspondance par poste et télécommunication (Service SCPT). Dans ces cas, une consultation avec le Service SCPT a lieu.

51 RS 780.1 27/85

Art. 6b Blocage de numéros de téléphone et de noms de domaine

Les numéros de téléphone sont souvent usurpés à des fins frauduleuses. Les respon­ sables utilisent des numéros géographiques, souvent avec l’indicatif régional du lieu de résidence des victimes (potentielles), pour inspirer la confiance et feindre une origine prétendument suisse. Au moyen de ces numéros et à travers d’autres mensonges (p. ex. en se faisant passer pour un employé de la succursale régionale de la banque de la victime), les auteurs poussent leurs victimes à commettre des actes préjudiciables à leur patrimoine, entraînant des pertes financières importantes. Pour lutter activement contre ce phénomène, le nouvel art. 6b introduit une nouvelle possibilité de blocage, rapide et efficace.

Le blocage de cinq jours envisagé en cas de soupçons fondés d’escroquerie présumée au sens de l’art. 146 CP constitue un acte préventif afin d’éviter que d’autres personnes ne soient victimes de la même fraude. Il vise à déranger les criminels dans leur manière de procéder et à interrompre les opérations en cours (crime disruption). Il ne s’agit pas d’une poursuite pénale de l’escroquerie, mais d’une mesure de protection des utilisa­ teurs des services de télécommunication qui vise également à prévenir l’utilisation abu­ sive de ressources d’adressage. Les dommages causés par ces activités frauduleuses commises au moyen de numéros de téléphone se produisent rapidement et en grand nombre si l’accès au numéro utilisé ne peut pas être bloqué dans un court délai. Ces méthodes peuvent d’ailleurs être adaptées ou reproduites sans trop de difficulté dès lors que les auteurs constatent qu’une opération en cours ne rapporte plus rien. Les dommages qui découlent de ces actes, en particulier la perte de patrimoine ou de don­ nées, sont généralement irréparables, et il est pratiquement impossible de poursuivre les auteurs qui opèrent au niveau international. Un blocage rapide est donc essentiel pour protéger les consommateurs contre de telles menaces. Afin de bloquer un nu­ méro, un soupçon fondé au sens de l’al. 2 doit exister (cf. explications ci-dessous). Les fournisseurs de services de télécommunication procèdent au blocage à la demande de fedpol.

Al. 2

Des noms de domaine étant également utilisés pour commettre des cyberfraudes, ceux-ci peuvent aussi faire l’objet d’un blocage à condition qu’il s’agisse de noms de domaine suisses et qu’ils remplissent les exigences énoncées à l’al. 1. Les registres sont donc en conséquence eux-aussi soumis à cette obligation qu’ils doivent mettre en œuvre.

Le mécanisme prévu aux al. 1 et 2 permet de tenir compte du besoin d’agir contre les cybermenaces de manière rapide, efficace et ciblée, et par la même occasion de mettre en œuvre la motion Götte (24.4393). Celle-ci demande qu’outre le phishing et les mal­ wares, d’autres actes répréhensibles (p. ex. tous les délits et crimes, ou les tentatives d’en commettre) soient considérés comme autorisant le blocage technique et adminis­ tratif d’un nom de domaine au sens des art. 15 ss ODI. Satisfaire à cette demande dans l’ODI et l’étendre à tous les crimes et infractions poserait problème au regard du prin­ cipe de légalité.

Les mesures de blocage des noms de domaine prévues aux art. 15 ss ODI ne s’appli­ quent qu’à des actes de cybercriminalité relevant du phishing ou de la diffusion et de l’utilisation de malwares (botnets ou réseaux de bots). Le blocage est exclu pour tout autre comportement illégal. Il n’est donc pas possible de bloquer des noms de domaine 28/85

relevant de l’extension .ch ou .swiss lorsqu’ils sont utilisés à des fins criminelles comme l’escroquerie.

Le domaine d’application des art. 15 ss ODI se limite aux attaques techniques mani­ festes, comme la transmission de malwares ou le phishing. Ces attaques sont généra­ lement automatisées, exploitent méthodiquement le système des noms de domaine (Domain Name System, DNS) et peuvent être identifiées objectivement et sans éva­ luation matérielle. En vertu de l’art. 15, al. 1, ODI, les registres des domaines .ch ou .swiss ne peuvent être autorisés à prendre des mesures relatives à l’utilisation d’un nom de domaine que dans le cas de telles attaques techniques. Cette approche res­ trictive correspond par ailleurs à celle de l’organisation qui gère au niveau mondial le DNS (ICANN), qui estime que la lutte contre les abus menée par les acteurs du DNS doit se limiter exclusivement aux malwares, botnets, phishing (et le DNS-pharming qui y est associé) et au spam, lorsque celui-ci sert de vecteur de diffusion pour les mal­ wares ou le phishing.

L’extension du domaine d’application de l’art. 15 ODI à d’autres actes relevant du droit pénal est problématique en raison du respect des droits fondamentaux et des garanties de l’État de droit. Une telle extension du champ d’intervention des acteurs du DNS n’a pas sa place dans une ordonnance du Conseil fédéral telle que l’ODI qui est en outre de nature technique et administrative, mais doit être réglée formellement au niveau de la loi. Pour que fedpol puisse agir préventivement contre les cybermenaces, l’art. 6b crée une réglementation au niveau de la loi.

Pour procéder à un blocage en vertu de cette disposition, un soupçon fondé d’escro­ querie présumée suffit. Le soupçon fondé désigne une situation dans laquelle une vio­ lation du droit est présumée et où il existe des éléments suffisants pour en établir la probabilité. Il se distingue d’une vague présomption par l’exigence d’une certaine pro­ babilité que l’infraction ait effectivement été commise. Cette probabilité se base sur des faits et des éléments qui permettent, par expérience, de conclure à l’existence d’une infraction pénale. Le soupçon fondé se situe entre la vague présomption et la preuve concrète. Si l’OFCS reçoit des signalements concrets de la part de la police ou de la population, que plusieurs cas similaires existent ou que l’OFCS, sur la base de son expérience, a des raisons de soupçonner une escroquerie potentielle, on peut consi­ dérer qu’il y a un soupçon fondé. Dans ces cas, l’OFCS doit transmettre à fedpol les informations provenant des signalements au sens de l’art. 73b LSI, et l’aider à évaluer la situation, afin que fedpol puisse ordonner le blocage aux fournisseurs ou aux re­ gistres concernés (al. 3). Il ne s’agit par conséquent pas d’une poursuite pénale enga­ gée par fedpol, mais d’une intervention préventive visant à empêcher une escroquerie. Les formes d’escroqueries en ligne présumées sont le plus souvent commises par des bandes organisées. En tant qu’autorité compétente en matière de poursuite pénale dans le domaine de la criminalité organisée, fedpol connaît bien les méthodes em­ ployées par les auteurs et est en mesure d’analyser et de reconnaître rapidement ces comportements. Sa compétence se justifie aussi par le fait que l’ensemble de la popu­ lation suisse doit être protégée contre ce type de fraude. En revanche, si elle a déjà eu lieu, l’escroquerie doit évidemment être poursuivie par les autorités cantonales compé­ tentes. Conformément à l’art. 23 du Code de procédure pénale suisse du 5 octobre 2007 (Code de procédure pénale, CPP)52, les escroqueries ne relèvent en effet pas de la compétence fédérale, ce qui ne change pas avec la nouvelle tâche incombant à fedpol.

52 RS 312.0 29/85

Al. 3

L’OFCS reçoit des signalements de cybermenaces au sens de l’art. 73b LSI et les exa­ mine. Il doit ensuite transmettre ces signalements à fedpol et l’assister dans l’évaluation des cas. En cas de soupçon fondé d’escroquerie présumée, fedpol doit pouvoir de­ mander rapidement un blocage aux fournisseurs de services de télécommunication ou aux registres concernés.

Al. 4

Comme le blocage repose uniquement sur un soupçon fondé, il ne peut durer que cinq jours au maximum. Passé ce délai, il est nécessaire de faire appel au ministère public ou à un tribunal qui, dans le cadre de ses compétences en tant qu’autorité de poursuite pénale, peut ordonner un blocage plus long auprès des fournisseurs de services de télécommunication (pour les numéros de téléphone) ou des registres concernés (pour les noms de domaine). Cette procédure s’impose pour des raisons liées à l’État de droit et à la séparation des pouvoirs. Le ministère public ou le tribunal peut faire bloquer les ressources d’adressage jusqu’à la fin d’une éventuelle procédure pénale.

Al. 5

Les autorités compétentes doivent garantir qu’elles ne procèdent à aucun blocage si elles ont connaissance du fait que le numéro fait l’objet d’un mandat de surveillance du Service SCPT. Dans ces cas, une consultation avec le Service SCPT a lieu.

Art. 13 Information par l’OFCOM

Al. 1

Let. a

La révision de la loi introduit une possibilité élargie d’enregistrement (art. 4) ainsi qu’une obligation d’annoncer pour certains acteurs du marché (art. 4a). Les nouvelles pres­ criptions s’étendent en particulier aux propriétaires et exploitants d’installations de té­ lécommunication mentionnés aux art. 4, al. 3, et 4a. L’art. 13 tient compte de cette évolution et complète avec des acteurs supplémentaires la disposition existante. Fon­ damentalement, rien ne change dans la mesure où les informations ne peuvent être fournies que si aucun intérêt public ou privé prépondérant ne s’y oppose. Les informa­ tions relatives aux fournisseurs et à leurs installations de télécommunication ainsi que les informations relatives aux dispositifs visés à l’art. 32a (brouilleurs) et 32b (dispositifs électroniques spéciaux) ne relèvent toutefois pas du droit à l’information. Des intérêts publics en matière de protection de la sécurité s’opposent en effet à la divulgation d’in­ formations sur ces installations. D’un point de vue matériel, les informations visées à la let. a se limitent, comme dans le droit en vigueur, au nom et à l’adresse.

Let. b

Comme l’OFCOM doit désormais enregistrer d’autres acteurs du marché, il doit égale­ ment pouvoir transmettre, sur demande, des informations sur les services que ceux-ci fournissent et mettent à disposition, dans la mesure où aucun intérêt public ou privé prépondérant ne s’y oppose. Les installations de télécommunication proposées ou ex­ ploitées par un acteur ou les technologies offertes (p. ex. fibre optique, offres satelli­ taires, etc.) peuvent aussi constituer des informations sur l’offre de services. 30/85

Let. c

Les sanctions administratives visées à la let. c se réfèrent notamment à des mesures prises sur la base des art. 58 et 60 LTC. Le libellé est aligné sur la définition juridique de l’art. 5, let. c, ch. 5, de la loi du 25 septembre 2020 sur la protection des données (LPD)53, auquel la disposition se réfère.

Les modifications aux let. a à c ne visent pas à fournir, dans le cadre du droit aux renseignements, des informations et des données supplémentaires par rapport à ce que le droit actuel prévoit.

Al. 3

L’al. 3 de la disposition en vigueur est abrogé, car il n’a jusqu’à présent jamais été appliqué (aucun besoin concret) et soulève par ailleurs des questions délicates con­ cernant les garanties de procédure et les droits des parties.

Art. 13a Traitement des données

La législation actuelle en matière de télécommunication n’est plus tout à fait conforme, en particulier d’un point de vue terminologique, à la LPD révisée pour encadrer de ma­ nière adéquate le traitement des données personnelles. Le champ d’application de la LPD ne couvre par ailleurs plus les données relatives aux personnes morales, dont le traitement relève désormais de la loi du 21 mars 1997 sur l’organisation du gouverne­ ment et de l’administration (LOGA)54. Il convient dès lors d’adapter en conséquence les art. 13a et 13b aux exigences de la LPD et d’adopter un nouvel art. 13c sur le traitement des données concernant les personnes morales.

Al. 1

La législation sur les télécommunications ne comprend pas de catalogue exhaustif des données personnelles que les autorités compétentes peuvent traiter. Les données à traiter dépendent des tâches légales dévolues à la ComCom, à l’OFCOM et aux délé­ gataires, conformément à la législation sur les télécommunications. En vertu du droit sur la protection des données, une telle base légale suffit si le traitement des données découle directement d’une tâche légale, que celui-ci est nécessaire à cette fin et que le risque de violation du droit est faible55.

Outre la ComCom et l’OFCOM, les délégataires sont expressément désignés dans le droit des télécommunications afin de leur fournir une base légale pour le traitement de données personnelles. Sont considérées comme autorités au sens de l’art. 5, let. i, LPD, les autorités ou services fédéraux ainsi que les personnes chargées de tâches publiques de la Confédération. L’ajout proposé à l’art. 13a LTC crée une base légale explicite qui ancre clairement, sur le plan juridique, la délégation et le traitement des données par les délégataires du droit des télécommunications. À titre d’exemple, la fondation SWITCH est chargée de l’administration du registre des noms de domaine en .ch (art. 28a), tandis que l’organe de conciliation mentionné à l’art. 12c intervient dans le règlement des litiges entre clients et fournisseurs de services de télécommuni­ cation ou de services à valeur ajoutée (art. 12c en lien avec les art. 42 ss OST). Afin

53 RS 235.1 54 RS 172.010 55 Office fédéral de la justice (2024), ch. 3.1.1, p. 15 31/85

d’assurer la bonne exécution de ces mandats portant sur une tâche publique, les délé­ gataires doivent être légalement habilités à traiter des données personnelles (cf. art. 34, al.1 et 5, let. i, LPD).

Seules les données personnelles indispensables à l’exécution des tâches relevant du droit des télécommunications peuvent être traitées, tout autre traitement étant interdit.

Il convient par ailleurs de souligner que certaines décisions de l’OFCOM pourraient revêtir la forme d’une décision individuelle automatisée au sens de l’art. 21 al. 4 LPD. Conformément à la LPD, l’OFCOM signalera alors ces décisions comme telles afin que les personnes concernées puissent se rendre compte qu’elles n’émanent pas d’une personne physique (principe de transparence). Étant donné que cette situation est cou­ verte par la LPD et que les décisions de l’OFCOM ne sont a priori pas susceptibles de porter gravement atteinte aux droits fondamentaux de la personne concernée au re­ gard de la protection des données, il n’est pas nécessaire de la régler spécifiquement et formellement dans la LTC.

Art. 13b Assistance administrative et entraide judiciaire

L’art. 13b précise à quelles conditions l’autorité compétente — à savoir la ComCom, l’OFCOM ou les délégataires — peut, dans le cadre de l’assistance administrative, transmettre des informations à d’autres autorités, tant en Suisse qu’à l’étranger (al. 1 à 3). Les autorités suisses concernées sont notamment la centrale d’alarme nationale (art. 96, al. 2, OST), l’Office fédéral de la statistique (art. 97, al. 3, OST ; art. 51, let. c, ODI), l’Institut fédéral de la propriété intellectuelle et les registres cantonaux du com­ merce (art. 51, let. c, ODI). Il n’est bien entendu pas exclu que des données doivent être communiquées à d’autres autorités. Cette disposition s’applique également à la transmission des données entre la ComCom, l’OFCOM et les délégataires.

Cette réglementation autorise uniquement la transmission des données personnelles que l’OFCOM, la ComCom et les délégataires ont acquis dans le cadre de l’art. 13a pour l’exécution de leurs tâches conformément à la législation sur les télécommunica­ tions. Sa modification adoptée en fonction de la nouvelle terminologie de la LPD ouvre la possibilité d’échanger des données sensibles ainsi que les résultats de profilages effectués dans le cadre de la présente loi (art. 30a, al. 5, et 48d, al. 5, LTC). Les mo­ dalités encadrant la communication de données personnelles et sensibles dans le cadre de l’assistance administrative restent ainsi clairement définies.

Art. 13c Traitement et transmission des données de personnes morales

Dans les cas où les personnes concernées sont des personnes morales, le traitement de leurs données n’est en principe plus soumis à la LPD (art. 2, al. 1, LPD), laquelle protège exclusivement les données des personnes physiques. L’art. 57r, al. 1 LOGA, entré en vigueur le 1er septembre 2023, instaure une base légale générale permettant aux organes fédéraux, tels que la ComCom et l’OFCOM, de traiter des données con­ cernant des personnes morales dans la mesure où l’accomplissement de leurs tâches l’exige et où celles-ci sont définies dans une loi au sens formel. Dans ce contexte, l’al. 1 se contente de renvoyer à l’art. 13a al. 1 qui couvre le traitement de données qui sont nécessaires à l’exécution et à l’évaluation de la législation sur les télécommunications (sur les tâches en matière de télécommunication, cf. les développements ad art. 13a al. 1). Les délégataires au sens de la présente loi sont assimilés à des organes fédé­ raux en tant que personnes chargées d’une tâche publique de la Confédération (art. 5, let. i, LPD par analogie). 32/85

Pour ce qui est de la communication de données concernant des personnes morales, les organes fédéraux doivent disposer pour ce faire d’une base légale (art. 57s, al. 1, LOGA), ce que prévoit l’al. 3. Dès lors, la ComCom, l’OFCOM et les délégataires dis­ posent d’une base légale suffisante pour traiter ou communiquer des données relatives aux personnes morales.

Les données personnelles relatives aux personnes morales comprennent notamment les informations sur les entreprises de télécommunication (données d’enregistrement, informations financières, contrats d’interconnexion), les données tarifaires et les ser­ vices offerts aux consommateurs, les données de performance des réseaux et services (qualité de service, disponibilité) ainsi que les informations liées aux services faisant l’objet de réclamations (type de service, détails de la réclamation), et autres. Il convient de noter que ces données ne sont pas considérées comme des données sensibles.

Au-delà des données sensibles mentionnées par l’art. 13, al. 1bis, l’al. 2 autorise le trai­ tement des données sensibles spécifiques aux personnes morales que constituent les informations sur des secrets professionnels, commerciaux ou industriels.

Section 3 Communication d’urgence

La section fait l’objet d’une meilleure intégration systématique par la restructuration des dispositions relatives à la communication d’urgence et grâce au nouveau titre de sec­ tion « Communication d’urgence ».

Art. 20 Principes

Le service d’appel d’urgence est défini comme un service assuré par les fournisseurs du service téléphonique public pour permettre aux utilisateurs, en cas de mise en dan­ ger de la vie, de la santé ou de la propriété, d’atteindre la centrale d’alarme compétente via un appel vocal. L’introduction de l’accès par texte en temps réel (Real Time Text, RTT ; cf. art. 28a, al. 6, OST [adopté, mais pas encore en vigueur au moment de l'ou­ verture de la consultation]) au niveau de l’ordonnance, qui doit être garanti par les titu­ laires d’une concession de radiocommunication mobile dans le cadre du service télé­ phonique public, constitue un premier pas vers une conception plus moderne des ser­ vices d’urgence et leur utilisation sans barrière. Afin de garantir une plus grande flexi­ bilité et un accès adapté et inclusif, il convient d’inclure dans cette notion d’autres moyens et canaux de communication, comme la prise de contact par SMS ou par appel vidéo. Ce changement correspond également à la tendance internationale, en particu­ lier aux projets de l’UE.

Comme aujourd’hui, l’art. 20 précise que les fournisseurs du service téléphonique pu­ blic sont tenus d’assurer la communication d’urgence (par téléphonie vocale) et définit à quelles conditions le Conseil fédéral peut étendre la communication d’urgence à d’autres services de télécommunication et donc à d’autres fournisseurs. Cette disposi­ tion correspond à la réglementation en vigueur, qui est reprise en tant que telle dans son principe.

Ces principes doivent être garantis par tous les fournisseurs du service téléphonique public et, si le Conseil fédéral décide d’une extension, par tous les fournisseurs propo­ sant les services de télécommunication correspondants. En première ligne se trouvent les fournisseurs qui établissent concrètement la communication (p. ex. établir un appel vocal ou initier la communication). Cependant, tous les fournisseurs contribuant d’une

33/85

autre manière à assurer cette connexion sont aussi concernés. Il peut s’agir de four­ nisseurs qui assurent le transit de la communication entre deux autres fournisseurs ou qui acheminent la communication vers les centrales.

L’al. 1

L’al. 1 précise que les fournisseurs du service téléphonique public sont tenus de ga­ rantir la communication d’urgence. La communication d’urgence comprend la commu­ nication via le service téléphonique public, du terminal de l’utilisateur jusqu’aux cen­ trales compétentes exploitées par les services d’urgence ou les services d’aide et de conseil, afin de pouvoir bénéficier de leurs services, pour soi-même ou pour des tiers. L’énumération précisant dans quels cas les utilisateurs doivent pouvoir joindre les cen­ trales d’alarme a été supprimée de la disposition. D’une part, il est inhérent à la notion de communication d’urgence qu’il doit s’agir d’une situation exceptionnelle et critique qui présente un danger immédiat pour la vie, l’intégrité corporelle, la santé ou la pro­ priété et qui nécessite une intervention rapide des services d’urgence. D’autre part, l’énumération était jusqu’à présent incomplète. Une intervention peut également se jus­ tifier dans une situation de danger pour la sécurité publique ou pour l’environnement. La police et les services sanitaires sont aussi présents dans des situations à fort po­ tentiel de risque, comme c’est le cas lors de grands événements. Les pompiers inter­ viennent également dans des situations dangereuses où, outre les personnes, les ani­ maux et la nature en général sont menacés, notamment lors d’incendies de forêt ou de pollutions des eaux).

Les services d’urgence veillent à ce que les ressources matérielles et en personnel nécessaires permettent à tout moment d’intervenir immédiatement sur les lieux d’évé­ nements. Ils sont garantis par des organisations (police, pompiers et services sani­ taires) que les autorités compétentes ont reconnues et que les utilisateurs peuvent joindre au moyen de numéros courts prévus à cet effet, conformément à l’art. 28 ORAT.

Les services d’aide et de conseil offrent une assistance et des conseils aux appelants, dans des situations ne relevant généralement pas immédiatement de l’urgence. Si la conversation révèle qu’une aide immédiate sur place est nécessaire, la personne qui appelle ou, si elle n’est pas en mesure de le faire, le service d’aide et de conseil doivent s’adresser au service d’urgence compétent. Les services d’aide et de conseil ne dis­ posent pas des ressources nécessaires pour intervenir rapidement sur place. Ils sont assurés par des organisations reconnues par les autorités, qui peuvent être contactées via les numéros courts énumérés à l’art. 28a ORAT [adopté, mais pas encore en vi­ gueur au moment de l'ouverture de la consultation] (p. ex. l’association suisse « La Main Tendue» ). Si un service d’aide ou de conseil contacte un service d’urgence, il est impératif de mettre les données de localisation à disposition du service d’urgence. Pour des raisons techniques, les caractéristiques de performance, à savoir l’acheminement (cf. art. 29 OST), la localisation (cf. art. 29, al. 2, OST) et l’utilisation des fonctionnalités de localisation propres à l’appareil (cf. art. 29, al. 2, OST), doivent être fournies dès l’établissement de la communication, c’est-à-dire dès la prise de contact initiale avec le service d’aide et de conseil. En effet, lors du transfert de l’appel à un service d’ur­ gence, la localisation de la personne en détresse ne peut techniquement plus être ga­ rantie. S’agissant de la garantie des caractéristiques de performance, les services d’aide et de conseil sont donc assimilés aux services d’urgence.

Avec la complexité technique croissante des réseaux et en particulier des terminaux, les fournisseurs de services de télécommunication ne doivent garantir les communica­ tions d’urgence et surtout leurs caractéristiques de performance que dans la mesure 34/85

où ils en sont légalement et techniquement responsables. Ces fournisseurs n’ont pas ou peu d’influence sur les réglages et les fonctionnalités des terminaux parfois indis­ pensables pour l’établissement d’une communication d’urgence. Ces réglages doivent souvent être effectués par les utilisateurs ou les fabricants.

Al. 2

L’al. 2 du droit en vigueur prévoit que les fournisseurs du service téléphonique public garantissent l’acheminement et la localisation. Dorénavant, ils devront aussi garantir une solution de repli minimale afin d’assurer une certaine redondance dans le réseau d’origine. L’introduction de cette solution met en œuvre une mesure identifiée dans le modèle de référence appels d’urgence56. L’objectif est d’augmenter la redondance du système de communication d’urgence au profit des utilisateurs et des centrales des services d’urgence. Aujourd’hui, ces centrales sont généralement raccordées de ma­ nière redondante à deux fournisseurs. Le raccordement redondant ne peut pas être fixé de manière contraignante dans le droit des télécommunications, car la responsa­ bilité vis-à-vis des centrales incombe aux cantons. L’obligation d’un second raccorde­ ment découle cependant aussi du modèle de référence pour les services d’urgence. Le deuxième raccordement et la solution de repli minimale entraînent une augmentation de la disponibilité, car la redondance du réseau est améliorée à deux endroits ou à des moments différents de la communication. Si la transmission sur le réseau de commu­ nication d’urgence exploité conformément à l’art. 20a, al. 1, let. a, n’est pas possible, elle s’effectue directement sur le deuxième raccordement du deuxième fournisseur. Cette solution de repli doit être ancrée à la source de l’appel, à savoir dans les réseaux d’origine. Il appartient aux fournisseurs d’origine de vérifier la disponibilité sur le rac­ cordement principal ou initial. Les centrales des services d’aide et de conseil qui veu­ lent ou doivent disposer d’un deuxième raccordement (p. ex. en raison de prescriptions cantonales ou de prescriptions propres à l’organisation fournissant les services) peu­ vent dans ce cas également profiter de l’augmentation de la redondance.

Al. 3

L’al. 3 habilite le Conseil fédéral à désigner d’autres services de télécommunication au moyen desquels les principes fixés aux al. 1 et 2 doivent être garantis. Pour ce faire, le Conseil fédéral doit tenir compte des intérêts respectifs de la population et des fournis­ seurs ainsi que de l’état de la technique et de l’harmonisation internationale. La let. a prévoit que les services de télécommunication doivent être accessibles publiquement et largement utilisés. Elle correspond à l’actuel alinéa 3.

Le Conseil fédéral peut définir des exceptions à la garantie des obligations visées à l’al. 2 (let. b) et prévoir que les fonctionnalités de localisation des terminaux puissent être utilisées sans l’accord exprès de l’utilisateur (let. c). Ces deux aspects figurent déjà à l’al. 2 de la disposition en vigueur et sont simplement reformulés.

Art. 20a Tâches systémiques

Al. 1

L’al. 1 liste les tâches d’ordre supérieur, ou tâches systémiques, permettant de garantir les communications d’urgence. Il s’agit de tâches d’ordre supérieur à l’échelle de la branche qui, contrairement aux principes de l’art. 20, ne doivent pas être fournies par

56 DETEC et CCDJP (2022) 35/85

tous les fournisseurs de services de télécommunication, mais par seulement un ou plusieurs fournisseurs pour tous les autres. Ce procédé vise à garantir notamment que les normes techniques, informatiques et opérationnelles en vigueur sur le plan national et international dans le domaine des tâches systémiques soient introduites ou reprises uniformément. Le principe s’appuie sur les tâches systémiques définies à l’art. 37 de la loi fédérale du 20 décembre 1957 sur les chemins de fer (LCdF)57. Les principes de l’art. 20 s’appliquent à tous les fournisseurs proposant un service de télécommunica­ tion. L’art. 20a, al. 1, en revanche, concerne seulement un fournisseur - voire dans certaines circonstances un petit nombre d’entre eux -, qui assume des tâches systé­ miques pour l’ensemble du système de communication d’urgence et des communica­ tions d’urgence en Suisse.

Let. a

L’exploitation d’un réseau destiné uniquement aux communications d’urgence et dis­ ponible en tout temps doit être garantie par l’ESInet. Ce réseau hautement disponible, basé sur le protocole Internet, sert exclusivement à la communication d’urgence. Il constitue le pilier d’un système fiable et moderne. L’ESInet est un élément indispen­ sable d’une infrastructure moderne de communication d’urgence, et offre la flexibilité et l’évolutivité requises pour les différents canaux et technologies qui seront utilisés pour la communication d’urgence. La communication d’urgence est transmise de ma­ nière rapide et fiable au centre d’appel d’urgence approprié via l’ESInet, sur la base de facteurs tels que la localisation de la personne en détresse ou le type d’appel. Les services d’intervention peuvent ainsi se rendre rapidement et efficacement sur le lieu de l’incident. Le système assure la transition des systèmes d’appel d’urgence tradition­ nels vocaux vers des systèmes IP modernes qui prennent également en charge la communication d’urgence via des services multimédias tels que RTT et Next Genera­ tion eCall (NG eCall, système d’appel d’urgence modernisé et automatisé pour les vé­ hicules). Le réseau de communication d’urgence étant considéré comme critique, l’ESI­ net offre des fonctions de sécurité spéciales qui garantissent la fiabilité et la continuité de la transmission.

Let. b

L’architecture d’un ESInet doit être conçu par défaut pour résister aux pannes, afin de garantir une haute disponibilité des communications. L’exploitation redondante du sys­ tème ou de parties de celui-ci par un deuxième fournisseur - que let. b désigne comme tâche systémique supplémentaire - permet d’améliorer encore la sécurité contre les pannes et de garantir la disponibilité, le cas échéant.

Let. c

La garantie de la localisation grâce à la mise en place d’un service adapté est essen­ tielle pour que les services d’urgence puissent intervenir sur place. Le service de loca­ lisation assure la transmission et la mise à disposition des données de localisation de l’appelant aux services d’urgence qui interviennent. Il est actuellement assuré par le concessionnaire du service universel, en collaboration avec les autres fournisseurs du service téléphonique public. Ce rattachement historique disparaît avec le changement d’approche prévu, basé sur des tâches systémiques d’ordre supérieur. Le service de localisation fait partie de l’ESInet.

57 RS 742.101 36/85

Let. d

L’exploitation d’un organe de coordination central, disponible en tout temps, pour les communications d’urgence est particulièrement souhaitée par les centrales des ser­ vices d’urgence. Celles-ci pourraient le contacter surtout en cas de risque de sur­ charge, et coordonner avec lui les contre-mesures à prendre (p. ex. lorsque des dys­ fonctionnements déclenchent des appels qui risquent de surcharger les centrales).

Let. e

Une large gamme de terminaux, en particulier les smartphones ou les montres intelli­ gentes, disposent aujourd’hui d’un système ou d’une fonction (p. ex. fonction de détec­ tion des chocs ou des chutes, activation des airbags ou des prétensionneurs de cein­ ture) permettant de déclencher une communication d’urgence, automatiquement ou manuellement (p. ex. appuis répétitifs sur les touches latérales du smartphone). Les véhicules à moteur doivent être équipés d’un tel système de par la loi (NG-eCall). Ac­ tuellement, ni les fabricants de terminaux ou de véhicules, ni la population n’ont la pos­ sibilité de tester cette fonction dans des conditions réelles et de vérifier son efficacité. De même, les fournisseurs de services de télécommunication ne peuvent pas mener de tests appropriés, ou seulement dans des conditions limitées, ni les proposer à des tiers. Quiconque souhaite réaliser un test est contraint de lancer une communication d’urgence présumée. Pour les centrales des services d’urgence, les appels tests réali­ sés par la population et les fabricants représentent une charge supplémentaire, étant donné que de plus en plus de terminaux et de véhicules équipés de tels systèmes et fonctions arrivent sur le marché. Ils mobilisent donc des ressources qui pourraient faire cruellement défaut ailleurs. C’est pourquoi, dans le cadre des tâches systémiques, l’ex­ ploitation d’une plateforme de test et d’intégration réaliste doit être prévue, afin de per­ mettre la réalisation de tests de bout en bout (des utilisateurs à l’origine de la commu­ nication d’urgence jusqu’aux centrales de test) pour l’ensemble des fonctions d’appel d’urgence actuelles et futures. Si nécessaire, les ressources d’adressage requises doi­ vent, le cas échéant, également être mises à disposition de la plateforme de test.

Let. f

Afin que l’OFCOM puisse vérifier les prescriptions techniques et administratives rela­ tives aux tâches systémiques prévues à l’al. 1 et les exigences techniques prévues à l’al. 2, un service central doit pouvoir régulièrement enregistrer les données relatives au trafic nécessaires et les lui transmettre. Il peut s’agir de l’organe de coordination visé à la let. d.

Al. 2

Les fournisseurs visés à l’art. 20 sont tenus de respecter les exigences techniques qui découlent des tâches systémiques visant à assurer la communication d’urgence. Il s’agit notamment du respect des normes et standards internationaux applicables. L’al. 2 s’applique par conséquent à tous les fournisseurs du service téléphonique pu­ blic. Pour assurer la communication d’urgence de bout en bout, tous les fournisseurs concernés doivent respecter des exigences spécifiques dans leurs réseaux et pendant l’établissement et le maintien de la communication. Ces exigences couvrent différents moments dans la communication ou sont pertinents à un moment précis de celle-ci.

37/85

Al. 3

L’OFCOM édicte, sur la base de l’al. 3, les prescriptions techniques et administratives relatives aux tâches systémiques visées à l’al. 1 et définit les exigences que les four­ nisseurs concernés doivent remplir en vertu de l’art. 20 pour garantir la disponibilité de ces tâches.

Art. 20b Obligation de proposer des tâches systémiques

Al. 1

En s’appuyant sur l’al. 1, l’OFCOM peut contraindre un ou plusieurs fournisseurs à assurer une ou plusieurs tâches systémiques visées à l’art. 20a, al. 1, si celles-ci ne sont pas déjà assurées.

Al. 2

L’al. 2 prévoit que l’OFCOM organise une procédure d’appel d’offres ou d’invitation à soumissionner si plusieurs fournisseurs entrent en considération pour la réalisation d’une tâche systémique. Tout comme pour la délégation de la gestion des ressources d’adressage à des tiers prévue à l’art. 28a, le droit des marchés publics ne s’applique pas58.

Al. 3

Dans les conditions énumérées aux let. a à c, l’OFCOM peut désigner un fournisseur sans procédure d’appel d’offres ou d’invitation à soumissionner, pour assurer une ou plusieurs tâches systémiques, notamment par manque de choix ou pour des raisons de temps. Une telle option peut aussi se justifier s’il apparaît que l’exécution des tâches systémique ne suscite pas suffisamment d’intérêt, par exemple si une enquête menée dans la branche montre qu’un seul fournisseur, voire aucun, est intéressé, ou qu’un appel d’offres ou une invitation à soumissionner ne donnerait lieu à aucune candidature appropriée. L’attribution étant sensible en termes de sécurité (les pompiers, les ser­ vices sanitaires et la police sont contactés par communication d’urgence), une limita­ tion aux fournisseurs de services de télécommunication basés en Suisse pourrait éga­ lement se justifier. Comme mentionné au chapitre 1.2.1, l’exécution de ces tâches né­ cessite en outre un certain niveau de ressources et d’expérience opérationnelle en ma­ tière de services de réseau. Une désignation directe est possible, si l’urgence le justifie (let. a), si la demande du marché montre qu’un appel d’offres ne pourrait être réalisé dans des conditions concurrentielles (let. b) et si aucune offre remplissant les exi­ gences n’est soumise durant une procédure d’appel d’offres (let. c).

Art. 20c Prise en charge des coûts

Al. 1

L’art. 20c, al. 1, permet d’ancrer dans la loi le principe inscrit actuellement dans l’or­ donnance de la prise en charge des coûts d’exploitation d’un service de localisation par les fournisseurs de services de télécommunication. Les coûts imputables aux tâches

58 FF 2017 6185 38/85

systémiques, dont l’exploitation d’un service de localisation ne représente qu’une par­ tie, sont pris en charge par les fournisseurs tenus d’assurer la communication d’ur­ gence visés à l’art. 20.

Si une procédure d’appel d’offres ou d’invitation à soumissionner au sens de l’art. 20b, al. 2, est organisée, les coûts imputables sont déterminés au préalable sur la base des informations fournies par le fournisseur retenu. Si la disposition prévue à l’art. 20b, al. 3, s’applique, les coûts imputables devraient en revanche être déterminés par ana­ logie, conformément aux principes énoncés à l’art. 54 OST. Une réglementation cor­ respondante ainsi que la compensation entre les fournisseurs devront être définies au niveau de l’ordonnance. Cette réglementation doit s’appuyer fondamentalement sur les dispositions existantes pour les services de localisation prévues à l’art. 29b OST.

Al. 2

Les utilisateurs de la plateforme de test et d’intégration visée à l’art. 20a, al. 1, let. e, qui souhaitent y recourir pour réaliser les tests prévus à l’art. 20d, doivent prendre en charge une part appropriée des coûts imputables à l’entretien et à la mise à disposition de cet instrument. Les fournisseurs tenus d’assurer la communication d’urgence con­ formément à l’art. 20 n’assument ainsi pas les coûts à eux seuls, contrairement à ce que prévoit l’al. 1.

Une prise en charge complète des coûts par les utilisateurs de la plateforme de test et d’intégration ne semble cependant pas pertinente, car l’art. 20d les oblige à utiliser la plateforme pour réaliser des tests de bout en bout. Les tests ne profitent en définitive pas seulement aux utilisateurs de la plateforme, mais à l’ensemble du système de la communication d’urgence. Il convient dès lors de mettre en place des mécanismes incitatifs en faveur de la réalisation de tests. En outre, l’augmentation du nombre de tests entraîne, pour chaque utilisateur, une diminution progressive des coûts impu­ tables.

Art. 20d Tests de bout en bout

Les tests d’accès de bout en bout à la communication d’urgence visés à l’art. 20 doivent être réalisés sur la plateforme de test et d’intégration prévue à l’art. 20a, al. 1, let. e. Cette procédure permet de décharger le système de communication d’urgence, en ne mobilisant pas, pour des tests, les ressources existantes limitées qui sont réservées aux appels d’urgence réels. Elle permet également de tester les systèmes servant à la communication d’urgence et de les améliorer, ce qui entraîne au final moins de fausses alertes (p. ex. en raison d’une détection de chocs trop sensible par l’appareil). Elle justifie une participation aux coûts (cf. explications de l’art. 20c, al. 2). Ces tests sont organisés d’entente avec l’organe de coordination central visé à l’art. 20a, al. 1, let. d, qui est le point de contact principal pour les centrales et les fabricants de terminaux ou de véhicules munis de systèmes de communication d’urgence. En principe, aucun coût ne doit être mis à la charge des personnes privées qui réalisent des tests ponctuels pour leurs besoins propres. Dans ces situations, il n’est pas nécessaire de prendre contact avec le service de coordination pour des contraintes de capacité.

39/85

Art. 20e Protection de l’intégrité de la communication d’urgence

Al. 1

L’al. 1 oblige les fournisseurs de services de télécommunication visés à l’art. 20 à pren­ dre des mesures pour protéger l’intégrité de la communication d’urgence. Ceux-ci doi­ vent garantir que les systèmes et les fonctions qui permettent aux utilisateurs d’effec­ tuer un appel d’urgence ne compromettent pas l’intégrité de celui-ci.

Il peut y avoir action préjudiciable lorsque les centrales reçoivent un grand nombre d’appels prétendus d’urgence et deviennent inaccessibles pour les urgences réelles. Il en va de même pour les tests ou la mise en circulation de terminaux ou de véhicules qui, en raison de la fonctionnalité inaboutie des systèmes de communication d’urgence intégrés, peuvent entraîner une surcharge du réseau de communication d’urgence et des centrales.

L’intégrité du réseau de communication d’urgence doit être compromise en soi, par exemple en raison d’un incident important limité dans le temps - entre autres un nombre massif de communications erronées en peu de temps - qui exploite au maximum les capacités et compromet l’accessibilité des centrales. Il s’agit en particulier d’incidents face auxquels les fournisseurs de services de télécommunication doivent prendre des mesures et se coordonner entre eux (cf. art 28a, al. 4, OST [adopté, mais pas encore en vigueur au moment de l'ouverture de la consultation]). Il peut aussi s’agir d’appels erronés récurrents, dont le nombre n’affecte pas en soi la capacité technique ni l’ac­ cessibilité, mais qui mobilisent en permanence des ressources, car ils apparaissent sans cesse comme des communications d’urgence présumées. C’est le cas notam­ ment des systèmes de communication d’urgence non testés ou insuffisamment testés dans les terminaux, qui déclenchent de manière récurrente et intempestive des faux appels d’urgence (par exemple des capteurs qui détectent par erreur une chute de l’utilisateur). Ce type de vulnérabilité n’est pas grave, mais mobilise constamment les ressources des centrales et nuit à l’intégrité de la communication d’urgence. Il s’agit d’une vulnérabilité durable, qui peut être corrigée par une mise à jour du logiciel des terminaux.

La réglementation au niveau de la loi reprend l’obligation inscrite dans l’ordonnance (art. 28a, al. 3, OST [adopté, mais pas encore en vigueur au moment de l'ouverture de la consultation]) visant à protéger les services d’urgence contre un nombre élevé de fausses alertes. Elle est donc étendue aux cas qui, bien qu’ils ne soient pas suffisam­ ment nombreux pour menacer l’accessibilité d’une centrale, sapent néanmoins l’inté­ grité du système par des appels d’urgence erronés récurrents et mobilisent ses res­ sources.

Les appels erronés de particuliers ne nuisent généralement pas au système de com­ munication d’urgence. Il ne s’agit pas d’une atteinte à l’intégrité du système.

Al. 2

Lorsqu’ils prennent des mesures, les fournisseurs s’appuient en particulier sur les indi­ cations de l’organe de coordination visé à l’art. 20a, let. d. Ils prennent ces mesures immédiatement et les maintiennent aussi longtemps que nécessaire. Cette disposition permet d’agir rapidement dans des cas graves, mais s’avère aussi utile lorsque certains terminaux présentent des dysfonctionnements au niveau des fonctionnalités de com­ munication d’urgence, dysfonctionnements qui ne sont pas corrigés par le fabricant 40/85

dans un délai raisonnable. Les données collectées par l’organe de coordination con­ formément à l’art. 20a, al. 1, let. f, peuvent être utilisées notamment pour identifier les fonctionnalités de communication d’urgence défectueuses.

Al. 3

Les fournisseurs de services de télécommunication sont autorisés à déconnecter les utilisateurs du réseau afin de protéger l’intégrité de la communication d’urgence. Cette disposition est déjà prévue dans le droit en vigueur, au niveau de l’ordonnance (art. 28a, al. 4). Une déconnexion représente généralement toujours l’ultime mesure à considérer et n’est recommandée que lors d’incidents graves, afin de garantir l’acces­ sibilité aux centrales. Cependant, elle peut aussi être décidée si de fausses alertes dues à des fonctionnalités défectueuses compromettent constamment l’intégrité de la communication d’urgence, et que le fabricant ne les modifie pas malgré plusieurs de­ mandes (p. ex. en effectuant une mise à jour). Le Conseil fédéral doit pouvoir définir au niveau de l’ordonnance les mesures techniques et organisationnelles appropriées, que les fournisseurs peuvent et doivent prendre conformément à l’al. 1. Cette flexibilité permet de tenir compte des évolutions technologiques, mais surtout des besoins des fournisseurs, des centrales ainsi que des fabricants de terminaux.

Art. 29 Obligation d’informer

Protéger les infrastructures de télécommunication face aux cybermenaces et par con­ séquent les utilisateurs des services de télécommunication est une préoccupation fon­ damentale de la Confédération et l’objectif principal de la présente révision. C’est pour­ quoi le but de la loi sur les télécommunications est élargi (cf. art. 1, al. 1 et 2, let. b et f). L’art. 29 précise à cet égard les obligations des détenteurs de ressources d’adres­ sage, notamment des délégataires visés à l’art. 28a, ainsi que les rôles des services actifs dans la cybersécurité.

Al. 1

L’obligation de collaborer inscrite à l’al. 1 garantit que la gestion des ressources d’adressage se fait de manière complète, correcte et fiable, et que la Confédération puisse accomplir ses tâches dans le domaine de l’attribution de ces ressources.

Al. 2

L’al. 2 régit la collaboration en matière de cybersécurité. Les services privés et publics reconnus chargés de la cybersécurité peuvent collaborer entre eux ainsi qu’avec les délégataires visés à l’art. 28a pour identifier et évaluer les risques liés aux cyberme­ naces. Parmi ces délégataires se trouve en particulier Switch, le registre du domaine .ch, qui contribue significativement à la protection des noms de domaine contre les cybermenaces. La loi tient compte de l’importance croissante de mesures de sécurité coordonnées dans le domaine des télécommunications et crée une base légale pour l’échange structuré d’informations et l’évaluation commune de la situation. Ces pres­ criptions permettent une collaboration étroite entre les acteurs étatiques et les organi­ sations spécialisées privées, et renforce la résilience de l’infrastructure DNS (Domain- Name-System). L’échange d’informations avec d’autres services luttant contre les cy­ berrisques est primordial. Il garantit une protection efficace de l’infrastructure DNS et des utilisateurs.

41/85

La notion de services privés et publics englobe les acteurs dont les activités incluent, en tout ou partie, la lutte contre la cybercriminalité et qui sont compétents, performants et largement reconnus.

Al. 3

L’al. 3 habilite le Conseil fédéral à fixer les critères sur la base desquels les services privés et publics sont reconnus comme des services chargés de la cybersécurité avec lesquels l’échange d’informations et la collaboration sont autorisés. Ces critères de re­ connaissance garantissent la qualité et créent un cadre uniforme et transparent pour l’exécution des tâches par les services concernés. Ils veillent à ce que seuls des ac­ teurs spécialisés et fiables sur le plan organisationnel puissent échanger des informa­ tions pertinentes en matière de sécurité.

Art. 30a Traitement des données, assistance administrative et entraide judiciaire

Le nouvel art. 30a crée, d’une part, une base légale pour le traitement des données liées à l’identification, à l’analyse et à la gestion des cybermenaces dans le domaine des ressources d’adressage, notamment en ce qui concerne la sécurité et le fonction­ nement du système des noms de domaine (cf. art. 28d, let. a). D’autre part, il ancre au niveau de la loi la base juridique régissant la collaboration avec les services spécialisés dans le domaine de la cybersécurité (cf. art. 28e, let. c). Cette disposition remplace la réglementation précédente, nettement plus succincte, qui renvoyait uniquement à l’ap­ plication des art. 13a et 13b, et prend en considération l’importance significative de la cybersécurité dans le domaine des télécommunications.

La grande majorité des analyses et des profilages effectués à des fins de protection contre les cybermenaces ne reposent généralement pas sur des données personnelles au sens de la LPD et ne comprennent pas de données personnelles sensibles. Ils s’ap­ puient sur des données qui n’ont aucun lien avec une personne en particulier, comme des données techniques sur les infrastructures de télécommunication, les caractéris­ tiques des logiciels malveillants ou des pratiques courantes en cas de cyberattaques. Par ailleurs, bon nombre de données concernent des configurations ne permettant pas d’identifier factuellement les unités actives sur Internet ou l’identification n’étant pas nécessaires pour protéger les utilisateurs et les usagers des infrastructures DNS. Enfin, il s’agit souvent de données présentant un lien avec une personne morale, comme les fabricants d’installations ou d’infrastructures de télécommunication.

Al. 1

L’art. 30a, al. 1 habilite l’OFCOM et les délégataires visés par l’art. 28a à réaliser des profilages pour l’exécution des tâches prévues par la loi et, si nécessaire, à traiter des données personnelles sensibles. Ces tâches découlent de l’art. 28d, let. a (garantie de la sécurité et de la disponibilité de l’infrastructure DNS), et de l’art. 28e, let. c (mesures contre l’utilisation illicite ou contraire à l’ordre public de noms de domaine et coopéra­ tion avec les services spécialisés en cybersécurité). Parmi les délégataires visés par l’art. 28a se trouve notamment Switch, le registre du domaine .ch, qui contribue signi­ ficativement à protéger les noms de domaine contre les cybermenaces et doit donc pouvoir traiter les données personnelles nécessaires.

En vertu de l’art. 34, al. 2, LPD, les données personnelles sensibles ainsi que les pro­ filages ne peuvent être traités que s’il existe une base légale expresse. L’art. 30a, al. 1, LTC crée cette base et permet à l’OFCOM ainsi qu’aux délégataires visés à l’art. 42/85

28a LTC de procéder à des analyses cachées et de traiter des données biométriques et des données sur les poursuites ou sanctions administratives et pénales à des fins de protection contre les cybermenaces.

Les données utilisées ne sont certes pas toujours sensibles, mais leur analyse algo­ rithmique ou leur recoupement avec d’autres informations, par exemple pour identifier le détenteur d’un nom de domaine, constitue déjà un profilage. Dans certaines situa­ tions, il peut être nécessaire de traiter des données sensibles pour assurer efficace­ ment la résilience des infrastructures DNS et la protection contre les cybermenaces. Des antécédents judiciaires pertinents peuvent par exemple fournir des indications pré­ cieuses pour reconnaître des profils à risque. L’accès à de telles informations contribue significativement à identifier et à classer l’origine de menaces ciblées, comme des at­ taques Distributed Denial of Services (DDoS), le phishing ou la diffusion de malware. Dans certains cas, l’identification biométrique, toujours plus utilisée sur les réseaux, peut indiquer des activités cybercriminelles et se révéler nécessaire pour attribuer des actes à une personne en particulier ou pour constater une utilisation abusive de noms de domaine.

La lutte contre la cybercriminalité commise au moyen d’un nom de domaine est un bon exemple du traitement des données personnelles au sens du présent alinéa. L’art. 25, al. 1bis à 1quater, ODI habilite le registre du domaine .ch, sur la base de l’art. 28e, let. c, à ne pas activer un nom de domaine en cas de soupçon d’utilisation frauduleuse ou illicite, puisque l’activation, qui permet l’utilisation effective du nom de domaine, n’inter­ vient qu’après une nouvelle identification du détenteur dans les 30 jours. Ce processus d’utilisation différée de noms de domaine (Deferred Delegation) se base sur un algo­ rithme d’évaluation (scoring) du registre, qui contrôle les données d’enregistrement et examine si la personne requérante a fourni des informations correctes sur son identité. Les données statistiques et historiques du registre, les informations des Computer Emergency Response Teams (CERT) et de tiers participant à la lutte contre la cyber­ criminalité ainsi que les travaux scientifiques servent de base à l’analyse et permettent d’évaluer de manière fondée l’utilisation future d’un nom de domaine.

Dans ce contexte et pour lutter efficacement contre les menaces croissantes dans le domaine de la cybersécurité, cette base légale habilite les autorités compétentes à utiliser de manière ciblée et proportionnée des technologies avancées, y compris l’in­ telligence artificielle (IA). Elle permet notamment l’analyse automatisée des comporte­ ments numériques pour lesquels il existe des soupçons d’activités abusives ou punis­ sables, afin d’identifier, de prévenir et d’empêcher les attaques commises dans l’es­ pace numérique au moyen de noms de domaine.

Al. 2

La transmission des données traitées et des résultats des profilages aux autorités suisses ainsi qu’aux services privés et publics peut être autorisée dans des circons­ tances spécifiques. A cette fin, un échange structuré d’informations doit être mis en place pour identifier, analyser et désamorcer l’ensemble des cybermenaces. Cepen­ dant, cette transmission n’est autorisée que si les autorités qui reçoivent les informa­ tions disposent elle aussi d’une base légale suffisante, ce qui représente une condition importante en matière de protection des données et garantit le principe de finalité. Il s’agit d’autorités qui assument également des tâches dans le domaine de la cybersé­ curité, telles que l’OFCS, fedpol ou encore le Secrétariat d’État à la politique de sécurité (SEPOS). 43/85

Al. 3

Le Conseil fédéral est habilité à régler les modalités du traitement des données per­ sonnelles sensibles et de la réalisation de profilages. Il peut notamment fixer des exi­ gences relatives à la sécurité des données, au déroulement de la procédure, à l’enre­ gistrement, aux délais de suppression et de conservation ainsi qu’en matière de res­ ponsabilité. Cette délégation permet une conception flexible et technologiquement neutre, qui tient compte des évolutions rapides dans le domaine de la cybersécurité.

Cette disposition s’appuie sur l’art. 34, al. 3, LPD, qui précise qu’une base légale au sens matériel suffit dans certains cas pour le traitement de données personnelles sen­ sibles ou la réalisation de profilages. Le Conseil fédéral est tenu de garantir que les traitements ne recèlent aucun risque particulier pour les droits fondamentaux des per­ sonnes concernées. Il s’agit de traitements de données indispensables à l’accomplis­ sement d’une tâche légale (cf. art. 34, al. 3, let a, LPD), et dont la finalité en soi – protéger les ressources concernées – ne présente aucun risque particulier pour les droits fondamentaux des utilisateurs (cf. art. 34, al. 3, let. b, LPD).

Il est impossible de définir à l’avance tous les instruments qui pourraient être néces­ saires pour lutter contre la cybercriminalité, notamment pour reconnaître, prévenir, em­ pêcher ou poursuivre les infractions commises dans l’espace numérique à l’aide de noms de domaine. Il appartient donc au Conseil fédéral de préciser si nécessaire les modalités de la réalisation des profilages et du traitement des données personnelles sensibles. Pour ce faire, il doit tenir compte des caractéristiques particulières des ins­ truments employés telles qu’elles sont ou pourraient être prévues dans la législation sur les télécommunications, par exemple dans le cadre du processus d’utilisation dif­ férée des noms de domaine de l’ODI. La définition des données sensibles ainsi que les exigences en matière de sécurité technique et organisationnelle en font partie.

Al. 4

L’al. 4 précise que les dispositions générales sur le traitement des données (cf. art. 13a) et l’assistance administrative (cf. art. 13b) s’appliquent également aux traitements de données visés à l’art. 30a et à leur transmission à des autorités suisses ou étran­ gères. Cette précision garantit une approche uniforme du régime de protection des données et d’assistance administrative prévu par le droit des télécommunications.

Chapitre 5 Installations de télécommunication

Dans le cadre de la présente révision, la structure du chapitre 5 (installations de télé­ communication) est légèrement modifiée. L’ordre des articles 32a et 32b actuels est désormais inversé. L’art. 32b reprend l’art. 34, al. 1ter, en vigueur. De plus, l’actuel art. 34 est divisé en deux articles et l'article 34a actuel devient l'art. 34b. Ces dispositions sont en outre adaptées afin d’améliorer la sécurité publique.

Art. 32a Interdiction des installations de radiocommunication et autres installa­ tions et dispositifs perturbateurs

Al. 1

Cette disposition correspond en grande partie à l’actuel al. 1 de l’art. 32b, complété du terme « installations ». Par « installations », on entend tout appareil, ligne ou équipe­

44/85

ment qui ne transmet aucune information au sens de la technique des télécommunica­ tions (cf. art. 3, let. c et d), mais qui utilise le spectre de fréquences (p. ex. brouilleurs). Par ailleurs, une erreur de traduction a été corrigée dans les textes allemands et ita­ liens : « Funkanlagen » au lieu de « Fernmeldeanlagen » et « impianti di radiocomuni­ cazione » au lieu de « impianti di telecomunicazione ».

Al. 2

Outre les installations et dispositifs perturbateurs déjà réglementés destinés à perturber volontairement le trafic des télécommunications, d’autres cas de figure susceptibles d’avoir un effet similaire sont envisageables et doivent donc être intégrés dans la loi.

D’une part, il s’agit de dispositifs qui peuvent désactiver un appareil en endommageant son électronique. Les évolutions technologiques ont montré qu’un générateur d’impul­ sions électromagnétiques (générateur EIMP) peut, tout comme les brouilleurs, pertur­ ber ou empêcher la communication. En envoyant des impulsions électromagnétiques brèves mais intenses, un tel générateur peut endommager les composants électro­ niques d’un appareil (p. ex. une installation d’alarme) et simultanément perturber le trafic des télécommunications. Dans l’intérêt de la sécurité publique, cette technologie doit également pouvoir être mise à la disposition des autorités suisses compétentes, sous forme de dispositif électronique spécial (let. a).

D’autre part, il s’agit d’installations conformes pouvant être configurées de façon à en­ traver, à empêcher temporairement ou à interrompre la communication d’une installa­ tion similaire. Par exemple, l’installation d’un réseau sans fil (Wireless Fidelity, Wi-Fi) qui entre délibérément en conflit avec un autre réseau Wi-Fi afin d’entraver ou d’inter­ rompre la communication. Il faut considérer ce procédé comme une forme de hacking, puisque le réseau Wi-Fi donne symboliquement à l’autre l’« ordre » de ne pas commu­ niquer (let. b).

Il n’existe aucune perturbation au sens du droit des télécommunications, mais la com­ munication est néanmoins entravée.

Al. 3

L’interdiction prévue à l’al. 1 ne s’applique pas aux installations et dispositifs utilisés pour garantir la sécurité publique (cf. art. 32b). Dans ce sens, l’art. 32b est réservé.

Art. 32b Installations de télécommunication et autres installations et dispositifs destinés à garantir la sécurité publique

Al. 1

La phrase introductive correspond en grande partie à l’al. 1 de l’art. 32a en vigueur, avec le même ajout du terme « installations » (cf. à ce sujet les explications de l’art. 32a).

Al. 2

La liste des autorités qui peuvent exploiter des installations perturbatrices reprend celle de l’actuel art. 34, al. 1ter, let. a à d.

45/85

Al. 3

Cette disposition vise à créer une obligation de collaborer des organismes requérants afin de réglementer efficacement les appareils électroniques spéciaux utilisés par les autorités au sens de l’al. 1 pour l’exécution de leurs tâches.

Aux fins de la réglementation des appareils électroniques spéciaux, les requérants doi­ vent fournir à l'OFCOM les informations nécessaires (notamment la documentation technique). Celles-ci contiennent souvent des secrets d'affaires et doivent être traitées de manière confidentielle. Les requérants sont principalement des entreprises étran­ gères qui ne communiquent elles-mêmes que très rarement les documents mentionnés aux autorités. Cette disposition vise à garantir aux requérants le traitement confidentiel de ces informations. Doivent en outre être classés comme confidentiels tant les instal­ lations et dispositifs en question (y compris leur homologation) que les informations concernant les autorités qui les utilisent dans l’intérêt de la sécurité publique en vertu d’une autorisation d’exploitation. Il s’agit ainsi de prévenir le risque que des services de renseignement étrangers, des organisations criminelles ou des particuliers puissent utiliser ces informations sensibles au détriment de la sécurité publique. L'OFCOM met à la disposition du cercle restreint d’autorités visé à l’art. 32b, al. 1, une liste des per­ sonnes titulaires d’une autorisation pour la fabrication, l’importation et la mise sur le marché d’appareils électroniques spéciaux, ainsi qu’une liste des installations autori­ sées (cf. à ce sujet l’art. 27, al. 3 et 4, de l’OIT).

En raison de la situation géopolitique, les autorités suisses visées à l’al. 1 dépendent de plus en plus des appareils électroniques spéciaux. La pression politique en faveur de l’octroi d’autorisations d’exploitation de ces appareils est considérable ; on peut no­ tamment citer des manifestations et conférences internationales telles que le Forum économique mondial (WEF) à Davos, des pourparlers de paix multinationaux comme la Conférence sur la reconstruction de l’Ukraine (Lugano) ou la Conférence sur la paix en Ukraine (Bürgenstock). Lors de tels événements soumis à des exigences de sécu­ rité élevées, il est par exemple nécessaire de disposer d’une défense efficace contre les drones, qui relève également du domaine des appareils électroniques spéciaux. Afin de pouvoir faire face à ces dangers, police et armée ont besoin de tels installations et dispositifs.

Pour ces raisons, les informations fournies par les requérants, les installations et dis­ positifs ainsi que les informations concernant les autorités titulaires d’une autorisation d’exploitation doivent être classées comme confidentielles, afin que les informations soient transmises dans leur intégralité, que l'OFCOM reçoive ainsi les informations né­ cessaires et que les autorités suisses concernées puissent utiliser ces appareils dans l’intérêt de la sécurité publique de manière légale, c’est-à-dire avec une autorisation de l'OFCOM. De plus, cela permet de garantir la qualité des informations nécessaires et de réduire les efforts nécessaires jusqu’à ce que les autorités suisses puissent utiliser ces appareils.

Art. 34 Perturbations

Al. 1

La mise en place et l’exploitation d’installations de télécommunication dans le but de perturber ou d’empêcher le trafic des télécommunications ou la radiodiffusion doivent faire l’objet d’une interdiction administrative (cf. aussi art. 52, al. 1, let. j).

46/85

Al. 2

L’OFCOM est chargé de supprimer les perturbations des télécommunications et de la radiodiffusion. Il exploite une infrastructure de mesure spécialisée pour localiser rapi­ dement les perturbations du spectre des fréquences. Ces perturbations sont causées non seulement par des installations de télécommunication, mais aussi par des appa­ reils électriques tels que sèche-cheveux, lampes LED, ascenseurs, systèmes de ven­ tilation et de climatisation ou tableaux d’affichage à plusieurs écrans, pour ne citer que quelques exemples. Afin de localiser et de supprimer les perturbations, l’OFCOM doit pouvoir prendre les mêmes mesures et disposer des mêmes droits d’accès pour les installations électriques à courant fort ou faible que pour les installations de télécom­ munication. Ces compétences actuellement ancrées dans l’ordonnance du Conseil fé­ déral du 25 novembre 2015 sur la compatibilité électromagnétique (OCEM)59 sont dé­ sormais inscrites dans une base légale formelle dans le cadre de la présente révision (cf. al. 2). Au cas où des installations du réseau de distribution d’électricité ou des che­ mins de fer et des trolleybus devraient provoquer une perturbation, l’OFCOM entend les parties concernées, édicte des mesures le cas échéant et fixe le calendrier de leur mise en œuvre ainsi que la répartition des coûts, en pesant les intérêts en présence. La décision peut faire l’objet d’un recours.

Il ne s’agit pas seulement de perturbations du spectre des fréquences, mais aussi d’in­ terruption de la communication, raison pour laquelle il convient de compléter la dispo­ sition par le terme « empêche » (cf. à ce sujet les commentaires relatifs à l’art. 32a, al. 2).

L’exploitant peut être une personne physique ou une personne morale.

Al. 3 et 4

Ces deux alinéas correspondent aux al. 1bis et 1quater actuels et ont fait l’objet de légères adaptations rédactionnelles.

Art. 34a Localisation des perturbations

L’art. 34a en vigueur devient l’art. 34b à la suite d’une modification de la systématique. Cette révision s’accompagne de précisions rédactionnelles, sans toutefois apporter de modifications quant à la portée matérielle de la disposition.

Al. 1

Selon la teneur actuellement en vigueur de l’art. 34, al. 2 dans la version allemande, l’OFCOM bénéficie de « l’accès à toutes les installations de télécommunication ». Dans la pratique, cette formulation allemande manque de précision, car elle ne comprend pas l’accès aux installations de télécommunication situées par exemple dans des vé­ hicules. En conséquence, Zutritt est remplacé par Zugang. Pour les compléments re­ latifs aux installations à fort et à faible courant, il convient de se référer aux explications sur l’art. 34, al. 2.

Avec l’avènement de la 5G et des technologies à venir (6G/7G), les antennes à fais­ ceau orientable (beamforming) posent de nouveaux défis en matière de détection des perturbations.

59 RS 734.5 47/85

Les antennes adaptatives n’émettent plus les signaux radio de manière constante dans une seule direction, comme les antennes conventionnelles. Elles concentrent le rayon­ nement vers l’endroit où se trouve le téléphone mobile connecté et le réduisent dans les autres directions. Elles n’émettent pas de manière synchrone avec toute leur puis­ sance dans toutes les directions possibles, mais répartissent leur puissance entre dif­ férentes cibles spatiales. Les nouvelles antennes à faisceau orientable constituent, par conséquent, un facteur de complexité accru dans l’identification de l’origine d’une per­ turbation.

Les installations de radiocommunication mobile équipées de modules d’antennes adaptatives se caractérisent par des diagrammes d’antenne dits enveloppants. Tous les faisceaux possibles (directions d’émission) sont inclus dans un diagramme 3D, à partir duquel le contour enveloppant maximal est enregistré. Le faisceau le plus appro­ prié selon la position des terminaux est alors utilisé pour l’envoi des données. La direc­ tion d’émission varie toutes les millisecondes.

Pour localiser et éliminer les perturbations, l’OFCOM doit pouvoir déterminer quel fais­ ceau est actif à un moment précis (p. ex. lors de perturbations sporadiques récur­ rentes).

Pour être en mesure de localiser dans le temps et dans l’espace les signaux perturba­ teurs récurrents et les attribuer à une installation spécifique, l’OFCOM doit pouvoir de­ mander aux fournisseurs, aux propriétaires ou aux exploitants des données montrant l’évolution des diagrammes de rayonnement sur une période ou à un moment précis (en particulier les caractéristiques et les réglages de rayonnement de l’installation con­ cernée). Ces informations lui permettent de reconstituer précisément les conditions dans lesquelles une perturbation s’est produite, la cause pouvant également se trouver chez l’exploitant du réseau de radiocommunication mobile.

Al. 2 et 3

L’OFCOM est chargé de localiser les perturbations du spectre des fréquences. Les perturbations des systèmes mondiaux de navigation par satellite (Global Navigation Satellite System [GNSS], tels que GPS, GLONASS, Galileo et Beidou) sont particuliè­ rement problématiques. Les signaux GNSS servent, entre autres, pour le vol aux ins­ truments (vol sans visibilité) et pour la synchronisation temporelle de services impor­ tants tels que les réseaux électriques et mobiles, et les activités boursières. Les si­ gnaux GNSS des satellites sont très faibles sur Terre, et donc très sensibles. En 2022, des perturbations du spectre de fréquences ont bloqué plusieurs systèmes de naviga­ tion, affectant la garde aérienne de sauvetage et l’aviation civile. L’OFCOM reçoit ré­ gulièrement des annonces de perturbations.

Afin de détecter le plus grand nombre possible de sources de perturbations poten­ tielles, l’OFCOM a effectué des mesures le long des routes. Il a mesuré aussi bien les perturbations non intentionnelles (p. ex. composants électriques ou électroniques dé­ fectueux dans les véhicules) que les perturbations intentionnelles causées par l’utilisa­ tion d’installations perturbatrices (brouilleurs) interdites (cf. art. 32a, qui interdit déjà leur possession). Au cours des 15 à 30 jours de mesures continues effectuées dans le spectre de fréquences à trois endroits différents le long d’autoroutes, il a détecté presque quotidiennement de fortes perturbations susceptibles de brouiller le signal GNSS.

48/85

Alors que les mesures sur le terrain permettent de détecter les perturbations, il n’est pas possible d’identifier à l’œil nu les véhicules problématiques en raison de la brièveté de leur temps de passage. Il convient donc de mettre en place une détection optique automatisée, laquelle se déclenche uniquement en présence d’un signal perturbateur.

Lorsque les mesures effectuées sur le terrain révèlent une certaine régularité dans l’utilisation d’un brouilleur, un contrôle est effectué en collaboration avec une autorité tierce. Dès que le signal caractéristique d’un brouilleur est constaté sur place dans le spectre de fréquences, se déclenche une détection optique du véhicule (en particulier la plaque d’immatriculation) ; l’OFCOM informe l’autorité présente - la police cantonale compétente, le Corps des gardes-frontière ou fedpol -, pour qu’elle arrête le véhicule concerné et que l’OFCOM puisse constater la présence d’un brouilleur. Le contrôle est effectué par les collaborateurs de l'OFCOM.

Une coopération avec les autorités policières ou le Corps des gardes-frontière s’impose pour plusieurs raisons :

- la police est habilitée, en l’absence de coopération, à fouiller des véhicules même sans consentement s’il y a lieu de supposer, entre autres, que des objets à saisir s’y trouvent (cf. art. 249 CPP) ;

- pour protéger les collaborateurs de l’OFCOM, les brouilleurs étant notamment utilisés à des fins criminelles et donc par de potentiels délinquants ;

- la détection et la saisie rapides d’un brouilleur sur place réduisent le risque qu’il dis­ paraisse.

Il n’est par conséquent procédé à aucun contrôle systématique ni même à large échelle des véhicules de passage. Il ne s’agit pas non plus d’une mesure de police administra­ tive de collecte d’informations (à l’instar de celles mises en œuvre dans le cadre de la recherche automatisée de véhicules ou de la surveillance du trafic), mais bien de la mise en œuvre concrète d’un mandat de prestations confié à l’OFCOM, dans les limites de ses compétences.

En principe, deux types de perturbations peuvent être envisagés comme cas d'appli­ cation : les perturbations non intentionnelles et les perturbations intentionnelles.

La procédure décrite ci-dessus a des implications au regard des dispositions relatives à la protection des données. Les mesures de signaux radio ne constituent pas encore un traitement de données personnelles, dès lors que les données recueillies ne sont pas personnelles.

Toutefois, dès qu’une détection optique automatisée de véhicules se déclenche en rai­ son d’une atteinte manifeste au spectre de fréquences et qu’elle révèle des contenus reconnaissables pertinents du point de vue des données, une identification est en prin­ cipe possible et il existe donc un lien éventuel avec une personne. Outre la date, l’heure et le lieu de l’événement, la saisie optique automatisée permet de relever le type et la marque du véhicule, sa plaque d’immatriculation et éventuellement sa couleur.

L’OFCOM est tenu de prendre toutes les mesures techniques requises pour exclure totalement la saisie de données personnelles non souhaitées ou la réduire autant que possible. Il prévoit également d’inscrire clairement dans les documents d’appel d’offres

49/85

en vue de l’acquisition du système que le respect des dispositions applicables en ma­ tière de protection des données constitue un critère d’attribution.

La cause de la perturbation, et donc sa qualification, est importante. Selon que la per­ turbation est intentionnelle ou non, des procédures juridiques distinctes s’appliquent, fondées sur des bases juridiques différentes. Les conséquences juridiques sont aussi différentes. Cette situation influence la protection des données personnelles à mettre en place, et par conséquent le système que l’OFCOM doit acquérir.

Les connaissances actuelles montrent qu’une gamme de véhicules peut provoquer des perturbations non intentionnelles large bande, susceptibles de nuire à la réception des signaux GNSS. Lorsqu’une accumulation des signaux parasites est constatée sur cer­ tains types de véhicules, la personne responsable peut être soumise à un contrôle de conformité a posteriori dans le cadre d’une procédure administrative, comme le prévoit la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA)60. Ce contrôle est en principe dirigé contre le responsable de la mise sur le marché, mais est aussi possible à l’encontre du détenteur du véhicule, par exemple en cas d’installation sépa­ rée d’équipements électriques ou le remplacement ultérieur de l’autoradio.

Dans les cas de perturbations non intentionnelles, les simples images des occupants du véhicule et d’autres caractéristiques des véhicules liées aux personnes (physiques et/ou morales) ne sont pas des données personnelles particulièrement sensibles. Les faits entraînent certes une procédure administrative, mais pas de procédure pénale administrative ni pénale. Les données personnelles collectées ne relèvent pas de l’art. 5, let. c, LPD.

Si l’OFCOM constate, après le contrôle du véhicule, une perturbation intentionnelle causée par un brouilleur se trouvant à son bord (cf. art. 32a), une procédure pénale administrative doit être ouverte contre le conducteur, conformément à la loi fédérale du 22 mars 1974 sur le droit pénal administratif (DPA)61. Une procédure contre l’importa­ teur du véhicule n’est pas nécessaire, car un brouilleur ne fait pas partie de l’équipe­ ment de base.

Lorsqu’il y a suspicion de présence d’un brouilleur, il convient de déterminer si les don­ nées relatives aux véhicules détectés automatiquement par un dispositif optique cons­ tituent des données personnelles sensibles au sens de l’art. 5, let. c, ch. 5, LPD. Cette catégorie spécifique de données personnelles sensibles comprend notamment les in­ formations sur l’ouverture, la conduite et la clôture de poursuites. Au moment de la détection optique, aucune procédure n’a encore été ouverte. Il n’existe qu’une pré­ somption d’infraction au sens de l’art. 52, al. 1, let. g. Il n’est pas possible de déterminer à l’avance si cette présomption peut être considérée comme « suffisante ».

Si la détection optique donne lieu à une procédure pénale administrative, des données personnelles sensibles au sens de l’art. 5, let. c, ch. 5, LPD, sont concernées et il con­ vient de préciser ce qui suit.

Dans ce cas, le principe de la reconnaissabilité de la collecte des données et de sa finalité (en particulier en raison de l’interdiction, qui découle du principe de la bonne foi, de la collecte secrète de données) par les personnes concernées peut être limité de manière admissible. Dans le cadre de procédures pénales administratives, l’art. 18a,

60 RS 172.021 61 RS 313.0 50/85

al. 1, DPA, habilite l’autorité à collecter des données auprès de la personne concernée ou de façon reconnaissable pour elle, à moins que cette démarche ne compromette la procédure. S’il y a suspicion d’utilisation de brouilleurs dans des véhicules, une infor­ mation préalable compromettrait la procédure et permettrait, par exemple, de dissimu­ ler les brouilleurs.

Les mesures et les étapes de traitement des données prévues sont non seulement proportionnées, mais aussi appropriées et nécessaires pour constater la présence de perturbations par les véhicules et, le cas échéant, identifier les personnes respon­ sables. Aucune mesure moins contraignante n’est envisageable afin de déterminer ef­ fectivement les causes des perturbations dans le trafic et, le cas échéant, d’en per­ mettre la poursuite. Le rapport entre le but et les moyens est également respecté : les perturbations provenant des véhicules peuvent affecter sérieusement et durablement les fréquences dans le domaine de la sécurité (p. ex. la navigation par satellite) et en­ traver les services de sécurité (notamment la garde aérienne de sauvetage) dans l’exercice de leurs activités.

L’évaluation préalable des risques faite dans le cadre de l’analyse d’impact sur la pro­ tection des données a montré que l’étendue du traitement des données correspond à la pratique usuelle. Conformément à l’art. 26, al. 1, le spectre des fréquences est con­ trôlé à des endroits appropriés. Lors des mesures, seules sont enregistrées les plaques d’immatriculation des véhicules depuis lesquels un signal perturbateur (intentionnel ou non) a été détecté. Le nombre de personnes concernées par la détection optique auto­ matisée devrait donc être faible et la durée du traitement relativement courte. La sur­ veillance n’est pas permanente, mais s’effectue uniquement par sondage. Les quelques stations de mesure à acquérir ne sont aux surplus pas fixes.

Selon le système acquis, les données sont enregistrées dans le système lui-même ou dans un ordinateur indépendant.

Dans les cas de perturbation non intentionnelle, les données enregistrées par détection optique sont triées immédiatement et supprimées après analyse. Un faible taux d’erreur dans l’évaluation automatique de la perturbation du spectre de fréquences ne peut être exclu. Par conséquent, les enregistrements inutilisables ou sans rapport avec l’événe­ ment (« faux positifs ») ainsi que les véhicules non impliqués sont triés et supprimés par les personnes compétentes.

Dans les cas de perturbation intentionnelle, les données enregistrés automatiquement par détection optique doivent, s’il y a suspicion de présence d’un brouilleur, être con­ servées comme moyen de preuve, au plus tard jusqu’à la fin de la procédure. Elles servent à la conservation des preuves permettant d’établir un lien entre les perturba­ tions du spectre des fréquences et une infraction à la LTC. Les données obtenues par détection optique automatisée doivent être triées immédiatement, et supprimées dès qu’elles ne servent plus de moyen de preuve.

Même si des données personnelles sont collectées dans le cadre des mesures, il ne s’agit pas d’un profilage au sens de l’art. 5, let. f, LPD, car elles ne servent pas à évaluer des aspects personnels en rapport avec une personne physique, contrairement à la recherche automatique de véhicules et la surveillance du trafic.

Le système envisagé ne permet aucune décision individuelle automatisée ; une éven­ tuelle procédure est ouverte et menée jusqu’à sa clôture par des collaborateurs de l’OFCOM. 51/85

L’OFCOM garantit par des mesures organisationnelles et techniques appropriées la sécurité des appareils de mesure et des données enregistrées conformément à l’art. 13a, al. 2 (cf. art. 8 LPD). Il consigne les activités de traitement dans le registre, qu’il doit remettre au Préposé fédéral à la protection des données et à la transparence (PFPDT) (cf. art. 12 LPD).

Le Conseil fédéral doit pouvoir régler les modalités relatives au système à acquérir, les conditions d’anonymisation ainsi que la durée de conservation des données au niveau de l’ordonnance. Il s'agit notamment de dispositions techniques qui doivent pouvoir être adaptées périodiquement si nécessaire. Une délégation au Conseil fédéral est donc justifiée.

Al. 4

Pour être en mesure de localiser dans le temps et dans l’espace les signaux perturba­ teurs récurrents dans le domaine de la radiocommunication mobile et les attribuer à une installation de télécommunication spécifique, l’OFCOM doit absolument pouvoir demander aux fournisseurs, aux propriétaires ou aux exploitants des informations mon­ trant l’évolution des diagrammes de rayonnement sur une période ou à un moment donné (notamment concernant les propriétés et les paramètres de rayonnement de l’installation), conformément à l’al. 1. Le Conseil fédéral doit pouvoir fixer les détails relatifs à ces informations et à la période déterminante.

Art. 35b Accès au point d’introduction au bâtiment et co-utilisation d’installations domestiques

En vertu du nouvel al. 6, l’OFCOM peut édicter des prescriptions relatives à l’installation de lignes dans les bâtiments, dans la mesure où une telle installation est nécessaire et appropriée pour garantir un accès sûr, sans perturbation et non discriminatoire aux services de télécommunication publics. Dans un environnement dynamique où les technologies progressent rapidement, il est impossible d’identifier à l’avance tous les besoins réglementaires.

S’agissant de l’accès non discriminatoire, l’OFCOM a mené un sondage au printemps

2024 auprès des acteurs de la branche. Ce sondage montre que l’extension des ré­

seaux de fibre optique requiert parfois dans certains bâtiments des mesures architec­ turales qui empêchent d’autres fournisseurs de les raccorder eux aussi ou de co-utiliser le câblage interne. Ces obstacles posent problème en termes de concurrence en ma­ tière d’infrastructures. Outre le fait qu’elles empêchent les concurrents de réaliser d’autres raccordements, ces barrières architecturales risquent également d’entraîner des coûts supplémentaires ou des retards si un deuxième réseau est installé. Ces deux aspects constituent des désavantages concurrentiels qu’il est possible de prévenir par des prescriptions appropriées. Sur le plan technique, les directives élaborées lors de la table ronde de la ComCom en 201262 font déjà l’objet d’un consensus largement respecté par la branche. La possibilité pour l’OFCOM de rendre ces directives juridi­ quement contraignantes apporte une sécurité supplémentaire.

S’agissant des perturbations, il convient d’adopter des dispositions permettant, par des moyens raisonnables, d’exploiter sans interférences des applications militaires con­ formes et des connexions à Internet privées dans un même périmètre. Cette proximité est possible si les installations domestiques sont dotées d’un blindage suffisant. Une

62 OFCOM (2012) 52/85

éventuelle mise en conformité des installations existantes dépend essentiellement des coûts qui lui sont liés. Ceux-ci doivent être raisonnables pour les propriétaires de biens.

Art. 46 Protection de la personnalité

Un nouvel alinéa a été ajouté à l’article existant (cf. al. 1), sur la base duquel le Conseil fédéral a déjà édicté au niveau de l’ordonnance des dispositions d’exécution relatives à l’identification de la ligne appelante. Il y a notamment précisé que les abonnés doivent avoir la possibilité de supprimer l’affichage de leur numéro de téléphone afin qu’il ne soit pas divulgué aux personnes appelées et qu’il n’apparaisse pas sur leur terminal (cf. art. 84, al. 1, OST). Les appelants peuvent ainsi empêcher une identification indé­ sirable en raison de l’affichage de leur numéro. Le Conseil fédéral a également prévu les cas dans lesquels un numéro doit exceptionnellement s’afficher sur le terminal de l’appelé, même si l’appelant ne souhaite pas le divulguer. Ces exceptions se limitent aux appels vers le service de transcription pour les malentendants ainsi qu’à la locali­ sation des appels que les fournisseurs de services de télécommunication doivent ga­ rantir pour assurer l’accès aux services d’urgence conformément à l’art. 20, et dans le cadre de la communication de sécurité conformément à l’art. 47 (cf. art. 84, al. 3, OST).

Le nouvel al. 2 doit énoncer à quelles conditions le Conseil fédéral peut déterminer que les fournisseurs de services de télécommunication doivent garantir l’affichage des nu­ méros des raccordements appelants et donc désactiver la suppression de l’affichage des numéros appelants. Ce faisant, il tient compte des intérêts de la population, des appelés et des fournisseurs, ainsi que de l’état de la technique et de l’harmonisation internationale. Il peut prévoir, par exemple, que les numéros des appelants s’affichent sur les raccordements fixes des organisations d’urgence telles que la police afin que celle-ci dispose, pour des raisons de tactique d’enquête, au moins d’un numéro de téléphone dans des scénarios où le temps est un facteur déterminant, comme des ap­ pels menaçants (tueries, alertes à la bombe). Ces appels ou informations ne sont pas uniquement reçus via le numéro d’urgence de la police (117), pour lequel l’affichage du numéro appelant doit déjà être garanti aujourd’hui. Souvent, ils sont passés sur le numéro de téléphone fixe géographique de la police, pour lequel l’affichage ne doit, ni ne peut actuellement être garanti. Le Conseil fédéral doit pouvoir lever la suppression de l’affichage du numéro appelant sur ces raccordements, même sans l’accord exprès des appelants.

Art. 46a Protection des enfants et des jeunes

L’adoption de la motion Gugger (20.3374) engage le Conseil fédéral à présenter à l’As­ semblée fédérale les modifications légales nécessaires pour entraver ou empêcher l’accès des personnes de moins de 16 ans à la pornographie légale. À cette fin, les fournisseurs de services de télécommunication ont l’obligation d’informer les per­ sonnes investies de l’autorité parentale des possibilités techniques disponibles sur les terminaux et dans les offres, et de leur proposer des outils et des applications permet­ tant de protéger efficacement les jeunes contre les contenus pornographiques.

Les fournisseurs de services de télécommunication seront ainsi tenus, à l’avenir, de conseiller individuellement les personnes investies de l’autorité parentale en matière de protection de la jeunesse et de mettre à leur disposition des moyens permettant de garantir efficacement cette protection, en fonction de l’état actuel des possibilités tech­ niques. 53/85

Les al. 2 et 3 restent inchangés sur le plan matériel. Seule une modification rédaction­ nelle est effectuée, le terme « Office fédéral de la police » étant remplacé par « fed­ pol ».

Art. 48a Résilience des infrastructures de télécommunication et protection contre les cybermenaces

L’extension des mesures prévues à l’art. 48a fait partie d’une approche globale visant à améliorer la sécurité et la résilience des infrastructures de télécommunication en Suisse. Outre les obligations déjà existantes pour les fournisseurs de services de télé­ communication, la disposition autorise la collaboration avec des services reconnus dans le domaine de la cybersécurité et clarifie l’échange d’informations avec l’OFCOM. Par ses tâches, ce dernier doit également contribuer à garantir la résilience. En défini­ tive, ces mesures doivent être considérées comme une contribution globale à la sécu­ rité en association avec les prescriptions de l’art. 48b relatives à la sécurité de l’infras­ tructure de télécommunication et les possibilités d’intervention du Conseil fédéral pré­ vues à l’art. 48c. Elles visent à concrétiser la protection contre les cybermenaces et la garantie de la sécurité et de la résilience des infrastructures de télécommunication, inscrites à l’art. 1 (cf. art. 1, al. 2, let. b et f).

Al. 1

En raison de la situation géopolitique actuelle et de l’augmentation constante des cy­ berattaques contre les infrastructures de télécommunication, la Suisse se trouve con­ frontée à des risques importants. Le Conseil fédéral63 a constaté que les risques de cyberattaques sont élevés depuis des années et que l’économie et la société dépen­ dent toujours plus du bon fonctionnement des technologies de l’information et de la communication. La cybersécurité est devenue cruciale à différents niveaux, que ce soit dans le domaine de la politique de sécurité, de la protection des données ou pour la numérisation. Elle est enfin et surtout vitale pour la Suisse en tant que pôle économique et de recherche. L’OFCS constate une augmentation des cyberattaques contre des cibles situées en Suisse, notamment des attaques contre des exploitants d’infrastruc­ tures critiques, orchestrées via des infrastructures informatiques suisses.

La Suisse doit impérativement renforcer la résilience de ses infrastructures de télécom­ munication, et les fournisseurs doivent prendre les mesures techniques, opération­ nelles et administratives nécessaires. Cette tendance se manifeste également au ni­ veau politique, diverses interventions parlementaires formulant des demandes simi­ laires, comme le postulat Z`Graggen (22.4411) « Stratégie Souveraineté numérique de la Suisse », la motion Dittli (23.3002) « Pour une meilleure sécurité des données nu­ mériques essentielles de la Suisse » ainsi que les motions Juillard (24.3209) et Chap­ puis (24.3363) « Construire une infrastructure numérique souveraine en Suisse à l’ère de l’intelligence artificielle ».

La résilience des infrastructures de télécommunication de la Suisse exige que la stabi­ lité et la sécurité de ces infrastructures soient garanties et que des mesures réglemen­ taires puissent être prises pour les protéger. Elle comprend aussi la capacité des ré­ seaux à continuer d’exploiter certains services même lorsque d’autres sont hors ser­ vice, ainsi que la capacité à continuer d’exploiter des services indépendamment de la disponibilité des services étrangers. Dans ce contexte, la cybersécurité des infrastruc­ tures et des services de télécommunication représente un défi majeur pour la Suisse,

63 Conseil fédéral (2023a) 54/85

un pays particulièrement vulnérable en raison de l’utilisation massive des technologies de l’information64.

L’art. 48a, al. 1, prévoit déjà une obligation pour les fournisseurs de services de télé­ communication de lutter contre la manipulation non autorisée des installations de télé­ communication par des transmissions au moyen de techniques de télécommunication. Conformément au message relatif à la dernière révision de la LTC65, cette disposition a pour objectif la lutte contre les cyberattaques (p. ex. diffusion de logiciels malveillants, entrave aux services Internet par des attaques DDoS). Figurant désormais dans l’ar­ ticle définissant les buts de la LTC, la protection contre les cybermenaces et le renfor­ cement de la résilience des infrastructures de télécommunication doivent également être clairement inscrits comme une tâche des fournisseurs. A cette fin, ceux-ci sont tenus de prendre des mesures techniques, opérationnelles et administratives pour lut­ ter contre toute manipulation non autorisée d’infrastructures de télécommunication par des transmissions au moyen de techniques de télécommunication. Ils sont aussi auto­ risés dans ce but à dévier ou à empêcher des communications et à supprimer des informations.

Al. 2

Les fournisseurs ne doivent pas contribuer seuls à la mise en œuvre des mesures prévues aux art. 48a et 48b. L’OFCOM doit aussi assumer de nouvelles tâches pour que les objectifs visés par ces mesures puissent être complètement atteints. Il doit do­ rénavant surveiller, identifier et évaluer les facteurs de risque susceptibles de menacer la résilience des infrastructures de télécommunication ou d’affecter la protection contre les cybermenaces. Il évalue en particulier s’il existe un risque pour la sécurité des in­ frastructures de télécommunication conformément à l’art. 48b. Il convient de noter que si l’OFCOM doit veiller à la bonne mise en œuvre des art. 48a et 48b sur la base des données ou des informations techniques, opérationnelles et administratives dont il dis­ pose (cf. al. 3), il incombe en revanche au Conseil fédéral d’appliquer l’art. 48c. Pour prendre une telle mesure, celui-ci devrait s’appuyer sur les analyses géopolitiques four­ nies par les autorités compétentes et les services spécialisés de la Confédération.

Al. 3

Dans le cadre des tâches de l’OFCOM prévues à l’al. 2, certaines données et informa­ tions des fournisseurs de services de télécommunication peuvent être nécessaires pour assurer une protection efficace contre les cybermenaces. L’accès à ces données contribue significativement à détecter et à identifier les risques sécuritaires liés aux infrastructures de télécommunication ainsi que l’origine et les conséquences pour la sécurité de menaces ciblées telles que les cyberattaques de type DDoS, phishing ou la diffusion de malwares. Dans ces cas, l’identification biométrique, toujours plus utili­ sée sur les réseaux, peut s’avérer décisive pour attribuer une action à une personne en particulier ou constater l’utilisation illicite de ressources relevant du droit des télé­ communications qui serait révélateur d’une affaire cybercriminelle (cf. art. 48d, al. 1). Même si les fournisseurs de services de télécommunication sont tenus de communi­ quer les données relatives au trafic, ils ne sont en aucun cas autorisés à divulguer le

64 Schwaab (2023) 65 FF 2017 6327 55/85

contenu des communications ni à en prendre connaissance. Ces contenus sont et res­ teront strictement protégés par le secret des télécommunications (cf. art. 13, al. 1, Cst., art. 321ter CP et art. 43 LTC).

Al. 4

L’art. 4 correspond fondamentalement à l’al. 2 du texte en vigueur. Il est complété par une délégation de compétence législative au Conseil fédéral en vue de préciser les mesures visées à l’al. 1. Selon le texte en vigueur, le Conseil fédéral peut, pour la sé­ curité des informations et des infrastructures et services de télécommunication, édicter des dispositions concernant notamment la disponibilité, l’exploitation, la garantie d’in­ frastructures redondantes, l’annonce de perturbations, la traçabilité d’incidents ainsi que la déviation ou l’empêchement de communications et la suppression d’informations au sens de l’al. 1. Sur la base de cette délégation de compétences, le Conseil fédéral a déjà arrêté les art. 96a ss OST sur la manipulation non autorisée d’installations de télécommunication et les art. 96f ss OST sur la sécurité des réseaux et des services des concessionnaires de radiocommunication mobile. A l’occasion de la révision par­ tielle des ordonnances dans le domaine des télécommunications « Renforcement de la sécurité des réseaux et protection contre les cybermenaces », envoyée en consul­ tation publique parallèlement à la présente révision de la LTC, il envisage par ailleurs d’introduire de nouvelles réglementations visant à durcir les exigences relatives à la sécurité pour l’acquisition et l’exploitation d’installations de télécommunication et de logiciels. De plus, il est prévu d’imposer aux concessionnaires de radiocommunication mobile et aux opérateurs de réseau mobile virtuels complets (Full MVNO) l’obligation de vérifier régulièrement que leur réseau central est conforme aux exigences de sécu­ rités renforcées.

En résumé, le Conseil fédéral est habilité, dans le cadre de la délégation de compé­ tences prévue à l’al. 4, à prendre au niveau de l’ordonnance les mesures nécessaires qui garantissent la sécurité des informations ainsi que des infrastructures et services de télécommunication, et qui contribuent à protéger contre les menaces, à prévenir les dommages et à minimiser les risques.

Dans ce contexte, la notion générale d’infrastructure de télécommunication se réfère aux installations de télécommunication dans leur globalité, soit aux systèmes matériels et logiciels de télécommunication. Elle englobe tous les produits, composants de pro­ duits et composants de matériel ou logiciel (computercode) destinés à l’intégration dans l’infrastructure de télécommunication et dont l’utilisation prévue ou raisonnable­ ment prévisible sert à la fourniture de services de télécommunication. Elle comprend notamment la totalité des composants matériels (serveurs, équipements de transmis­ sion et de stockage, équipements de réseau) et logiciels (systèmes d’exploitation, outils de virtualisation, solution pour la gestion, l’entretien et la surveillance de contenus), y compris les appareils électriques, électroniques ou informatiques participant à la four­ niture de services techniques de traitement, de gestion, de stockage, de transmission ou d’accès aux données pour le compte de tiers.

La notion d’infrastructure de télécommunication est plus large que celle d’installations de télécommunication au sens de l’art. 3, let. d. Elle englobe tant les installations, les appareils électriques (et leurs logiciels), les systèmes d’exploitation et autres solutions de gestion numérique des informations, que les canalisations de câbles.

56/85

Art. 48b Sécurité des infrastructures de télécommunication

Le rapport du Conseil fédéral donnant suite au postulat Pult (20.3984) « Infrastructure numérique. Réduire les risques géopolitiques »66 a montré que, malgré les mesures déjà prises, des cybermenaces importantes demeurent. La Suisse court en effet des risques sécuritaires en raison de la gestion de nombre de processus économiques, sociaux ou politiques par des réseaux et systèmes numériques qui peuvent comporter des failles de sécurité ou faire l’objet de cyberattaques. L’infrastructure de télécommu­ nication offre par ailleurs des opportunités de pirater ou de saboter d’autres infrastruc­ tures critiques. Dans ce contexte, le Conseil fédéral a estimé nécessaire de renforcer la lutte contre les cybermenaces en adoptant des mesures qui imposent une diversifi­ cation des fabricants d’équipements critiques pour les infrastructures de télécommuni­ cation. Ces mesures sont prévues dans ce nouvel art. 48b et contribuent concrètement à garantir la sécurité et la résilience de ces infrastructures, comme le prévoit l’article définissant le but de la loi (cf. art. 1, al. 2, let. f).

La LTC organise fondamentalement l’offre des services de télécommunication en les soumettant à la libre concurrence (cf. art. 1 al. 1 et 2 let. c). Cette libre concurrence s’applique d’ailleurs aussi au niveau des infrastructures, la LTC laissant les fournis­ seurs de services de télécommunication libres de choisir leurs équipementiers et les installations et autres infrastructures qu’ils souhaitent acquérir, mettre en place et ex­ ploiter dans leur infrastructure de télécommunication. Le fait de restreindre le libre choix des fournisseurs en matière d’infrastructure de télécommunication doit donc être prévu dans la loi (cf. art. 36 al. 1 Cst.), dans la mesure où cela porte atteinte à leur liberté économique (cf. art. 27 Cst.) et à la garantie de propriété (cf. art. 26 Cst.). L’art. 48b constitue cette base légale formelle qui permet de restreindre le libre choix des four­ nisseurs quant à leur infrastructure.

La réduction des cybermenaces, vulnérabilités et autres failles de sécurité pouvant por­ ter atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données dans les télécommunications passe par la sécurisation des produits et composants matériels ou logiciels intégrés dans l’infrastructure de télécommunication. Lorsqu’ils constituent des installations de télécommunication au sens de l’art. 3, let. d, ces produits et autres composants doivent se conformer aux exigences de cybersécurité et faire l’objet des procédures d’évaluation de conformité prévues par l’OIT et l’OOIT avant de pouvoir être offerts, mis sur le marché ou exploités en Suisse. Des exigences de cybersécurité peuvent ainsi être fixées dans ces ordonnances pour les installations qui sont destinées à être intégrées dans une infrastructure de télécommunication. La délégation de com­ pétence prévue par l’art. 48a, al. 4 en matière d’infrastructures permet au Conseil fé­ déral d’appliquer, respectivement d’étendre ce régime de l’OIT et de l’OOIT aux infras­ tructures qui ne constituent pas stricto sensu des installations de télécommunication comme les logiciels, les équipements électriques ou encore les systèmes d’exploitation et autres systèmes de gestion de la cybersécurité.

Le fait que l’infrastructure de télécommunication au sens de l’art. 48a, al. 4, englobe largement tout produit comportant des éléments numériques au sens du règlement (UE) 2024/284767 permet de prendre en compte le fait que les exigences de cybersé­ curité se conçoivent désormais largement de manière horizontale et indépendamment des secteurs d’activités concernés. Sur cette base, la Suisse peut se référer aux normes techniques des comités de normalisation européens et, compte tenu de l’ARM

66 Conseil fédéral (2023a) 67 cf. note de bas de page 27 57/85

CH-UE68 qui prévient les obstacles au commerce entre la Suisse et l’UE, harmoniser notre réglementation avec le droit européen et les schémas de certification en matière de cybersécurité notamment pour la 5G prévus par l’Agence de l’UE pour la cybersé­ curité (Agence européenne chargée de la sécurité des réseaux et de l’information, ENISA).

Al. 1

L’al. 1 ancre dans la loi le principe fondamental de sécurité dès la conception et par défaut (Secured by Design and by Default) qui doit prévaloir en matière d’acquisition, de mise en service et d’exploitation des infrastructures de télécommunication. Il signifie que seuls les installations, équipements, produits et autres composants matériels ou logiciels qui sont à l’origine conçus, fabriqués et configurés de manière sécurisée peu­ vent être intégrés dans les réseaux de télécommunication. Cela permet en définitive de réduire sans aucune intervention préalable des fournisseurs le risque de failles de sécurité et de protéger la confidentialité, l’intégrité et la disponibilité des informations. Si le principe peut se déduire de l’obligation générale de sécurité (cf. art. 48a) et du secret des télécommunications (cf. art. 43 LTC, 13, al. 1, Cst. et 321ter CP), l’al. 1 per­ met d’en fixer la portée. La précision selon laquelle les paramètres de sécurité doivent non seulement être activés mais aussi configurés par défaut souligne que ces para­ mètres ne doivent pas simplement être activés avec les valeurs d’usine, mais égale­ ment correctement configurés en respectant les meilleures pratiques (Best Practices) en matière de sécurité. Il est par ailleurs essentiel que ces paramètres soient réguliè­ rement entretenus et mis à jour. Les mesures et technologies matérielles et logicielles qui protègent la confidentialité, l’intégrité et la disponibilité des informations au sens de l’al. 1 doivent, dans la mesure du possible, s’orienter en fonction des normes et stan­ dards internationaux en la matière.

Al. 2

L’al. 2 oblige les fournisseurs de services de télécommunication à suivre une stratégie « multifournisseurs ». Ils sont ainsi tenus d’acquérir, de mettre en service et d’exploiter dans leurs réseaux des composants d’infrastructures de télécommunication provenant de divers fabricants. Une telle stratégie doit être mise en place par chaque fournisseur pour son propre réseau de télécommunication. Elle renforce la sécurité par la multipli­ cation des équipements, produits et autres composants matériels ou logiciels qui sont utilisés pour offrir des services de télécommunication, en évitant ainsi un environne­ ment technologique uniforme qui favorise les cyberattaques. Il s’agit aussi de limiter le risque d’une dépendance majeure vis-à-vis d’un fabricant et de garantir une plus grande flexibilité et résilience à l’égard de la chaîne d’approvisionnement en infrastruc­ tures de télécommunication, surtout que notre pays ne compte pas d’équipementiers majeurs. On entend par fabricant toute personne physique ou morale qui fabrique, con­ çoit ou fait fabriquer une installation de télécommunication et la met sur le marché sous son nom ou sa marque (cf. dans ce sens art. 2 let. l, OIT).

Il convient de souligner que la plupart des fournisseurs, notamment dans le domaine de la radiocommunication mobile, suivent déjà de leur propre chef une stratégie multi­ fournisseurs. L’obligation figurant à l’al. 2 concerne exclusivement les composants cri­ tiques de l’infrastructure de télécommunication d’un fournisseur, à savoir les compo­ sants dont la perturbation ou la défectuosité influence la disponibilité, l’intégrité, l’au­

68 RS 0.946.526.81 58/85

thenticité ou la confidentialité des informations transportées et peut entraîner une dé­ faillance ou une altération considérable du fonctionnement des infrastructures de télé­ communication ou menacer la sécurité publique. Le Conseil fédéral ne devrait a priori intervenir en faisant usage de sa compétence de fixer les catégories, parties, parts ou pourcentages minimaux d’infrastructures critiques concernées que s’il constate un manque particulier de diversité dans des parties essentielles des systèmes de télécom­ munication comme des éléments du cœur des réseaux mobiles (Core Network) ou des réseaux d’accès radio (Radio Access Network, RAN).

Dans tous les cas, au minimum l’un des fabricants choisis par le fournisseur doit être domicilié dans un État dont la législation garantit un niveau de protection des don­ nées adéquat (cf. art. 8 et 16 LPD ainsi que l’annexe 1 de l’ordonnance du 31 août 2022 sur la protection des données [OLPD]69). Ce type de fabricants est présumé se conformer aux exigences de confidentialité, d’intégrité et de disponibilité de l’informa­ tion pour ses produits, installations et autres équipements destinés aux infrastructures de télécommunication conformément aux engagements de son Etat de domicile en matière de sphère privée. Ce qui limite grandement le risque qu’un tel fabricant tombe sous le coup de l’art. 48c du fait qu’il serait jugé problématique pour la sécurité de notre pays ou détenu, contrôlé ou sous l’influence d’un Etat étranger présentant un risque géopolitique pour le pays. Est considérée comme fabricant au sens de la pré­ sente disposition la société mère, respectivement la personne morale ou physique exerçant le contrôle, indépendamment des marques utilisées ou des filiales.

Al. 3

Au regard de l’importance des infrastructures de télécommunication pour le fonction­ nement de notre pays et des cybermenaces auxquelles elles sont confrontées, il s’avère nécessaire de renforcer la réglementation dans ce domaine, à l’instar de ce que prévoit la boîte à outil 5G de l’UE70 et la plupart des législations nationales des Etats membres de l’UE. L’al. 3 prévoit ainsi que l’OFCOM peut obliger les fournisseurs de services de télécommunication à ne pas mettre en service ou à retirer de leurs ré­ seaux les composants critiques qui sont soupçonnés, sur la base de raisons fondées, de faire courir un risque de sécurité particulièrement grave. Le risque particulier pour la sécurité concerne les composants critiques ou la transmission intégrale et confiden­ tielle des informations, ainsi que leur disponibilité. L’obligation porte avant tout sur les parties essentielles des réseaux de télécommunication telles que les éléments cen­ traux des réseaux mobiles (Core Network) ou les réseaux d’accès radio (RAN). Le risque particulier pour la sécurité de l’infrastructure de télécommunication ou pour la transmission des informations désigne un risque de cybersécurité qui, en raison de ses caractéristiques techniques, pourrait très probablement provoquer un incident suscep­ tible d’avoir des conséquences graves et entraîner des pertes matérielles ou immaté­ rielles importantes ou des perturbations.

L’OFCOM détermine concrètement dans une liste, qui est publiée, les composants cri­ tiques d’infrastructures dont l’utilisation et l’exploitation sont interdites. La liste est cons­ tamment adaptée et mise à jour compte tenu de l’évolution permanente des technolo­ gies, des infrastructures et des cybermenaces. Elle prend la forme d’une annexe d’or­ donnance, ce qui permet une actualisation périodique. Pour déterminer un tel risque de sécurité, l’OFCOM s’appuie sur les informations et données que les fournisseurs de services de télécommunication (cf. art. 48a, al. 3) et les fabricants d’infrastructures de

69 RS 235.11 70 UE (2020) 59/85

télécommunication (cf. art. 59, al. 1) lui remettent. Au besoin et sur la base de l’art. 48d, al. 2, l’OFCOM peut également consulter l’OFCS, le Secrétariat d’État à l’économie (SECO), le SEPOS, le Service de renseignement de la Confédération (SRC) ou d’autres services compétents du Département fédéral des affaires étrangères (DFAE), du Département fédéral de la défense, de la protection de la population et des sports (DDPS) ou du DETEC. Pour déterminer et évaluer une menace pour la sécurité ou la résilience qui touche ou pourrait toucher les infrastructures de télécommunication, il peut aussi s’appuyer sur les recherches et études effectuées par des autorités étran­ gères ou par des services privés et publics reconnus au sens de l’art. 29, qui sont chargés de détecter des menaces ou des incidents de sécurité.

La notion très large d’infrastructure de télécommunication englobe en principe tous les composants d’un réseau ainsi que les appareils, produits et composants matériels ou logiciels électriques ou électroniques qui contribuent au fonctionnement ou à la sécurité d’un réseau de télécommunication (cf. à ce sujet les explications ad art. 48a). L’infras­ tructure de surveillance, qui doit satisfaire aux exigences de la LSCPT, est également comprise dans cette notion générale d’infrastructure de télécommunication. Il va de soi que l’infrastructure de surveillance doit elle aussi être sécurisée. Les exigences et les obligations imposées aux fournisseurs par la LSCPT doivent être impérativement res­ pectées et garanties. Raison pour laquelle, l’OFCOM doit consulter au préalable le Ser­ vice SCPT avant de rendre une décision concernant le retrait ou la mise hors service de composants critiques, si les composants en question concernent l’infrastructure de surveillance.

Art. 48c Mesures concernant les infrastructures de télécommunication face aux risques géopolitiques

Al. 1

Au regard des risques sécuritaires liés à la forte recrudescence des cyberattaques et autres cybermenaces, il est essentiel que la Suisse renforce sa cyberrésilience grâce aux mesures de sécurisation technique et opérationnelle de ses infrastructures numé­ riques prévues aux art. 48a et 48b. Ces mesures générales doivent être complétées par des instruments géopolitiques conformément aux propositions faites par le Conseil fédéral dans son rapport donnant suite au postulat Pult (20.3984)71. Il s’agit de tenir compte d’un environnement politico-sécuritaire qui se détériore pour la Suisse, d’un espionnage qui gagne en importance au vu des conflits globaux en cours, d’une sécu­ rité européenne fragilisée qui cherche à se renforcer et de rivalités stratégiques au niveau mondial qui s’intensifient72. Il faut s’attendre à une aggravation de la situation si les risques sécuritaires liés à des activités d’acteurs étatiques ou proches de l’Etat dans le domaine technologique augmentent drastiquement, notamment par le biais de cybe­ rattaques, de sabotages, de chantage ou de pressions politiques ou économiques tou­ chant des infrastructures critiques.

A l’instar de ce qui est envisagé par la boîte à outils 5G de l’UE73 et concrétisé par la majorité des pays membres dans leur législation, l’art. 48c donne ainsi au Conseil fé­ déral la possibilité de prendre, par voie d’ordonnance, les mesures qui s’imposent en cas de risque sécuritaire ou géopolitique menaçant la Suisse. Le Conseil fédéral peut

71 Conseil fédéral (2023a) 72 Conseil fédéral (2025a) 73 cf. note de bas de page 3 60/85

en premier lieu interdire préalablement l’acquisition et l’exploitation de composants d’in­ frastructures de télécommunication provenant de fournisseurs qui présentent un risque géopolitique pour la Suisse ou qui sont détenus, contrôlés ou sous l’influence d’un Etat étranger présentant un risque géopolitique pour le pays (al. 1). La notion d’infrastruc­ ture de télécommunication couvre en principe tous les composants d’un réseau ainsi que tout équipement électrique ou électronique, produit ou composant matériel ou lo­ giciel qui contribue au fonctionnement d’un réseau de télécommunication (cf. à ce sujet également les explications ad art. 48a).

Al. 2

L’art. 48c permet au Conseil fédéral d’agir au besoin pour préserver les intérêts fonda­ mentaux de la Suisse dans une époque marquée par une incertitude géopolitique qui conditionne fortement les rapports politiques et économiques internationaux. Confor­ mément à l’al. 2, le Conseil fédéral tient compte, dans son évaluation de la situation géopolitique, de la sécurité intérieure et extérieure ainsi que de la protection de la place industrielle, économique et financière de la Suisse. Lors de la pesée des intérêts, il prend en considération les sanctions possibles (cf. let. a), les dépendances écono­ miques, technologiques et sécuritaires (cf. let. b) ainsi que les menaces générales pour la sécurité liées aux cyberattaques, aux actes de sabotage ou à d’autres activités de renseignement (cf. let. c). Il convient d’éviter que la Suisse ne fasse l’objet de pressions politiques en raison d’une dépendance potentielle liée à la fourniture d’infrastructures critiques74 ou qu’elle ne s’expose à des sanctions ou à des embargos si, en cas d’utili­ sation de certaines infrastructures, elle était perçue comme une faille sécuritaire au milieu de l’Europe (cf. al. 2, let. d). Dans un tel contexte, le Conseil fédéral pourrait être amené à devoir privilégier des partenaires politiques et économiques importants, avec lesquels la Suisse entretient une relation étroite, ou à faire des choix compte tenu de notre système de valeurs fondé sur la liberté et l’état de droit.

Le Conseil fédéral doit s’appuyer sur les analyses géopolitiques qui lui sont fournies par les autorités compétentes et les services spécialisés de la Confédération. Au vu des implications considérables pour la sécurité, la mise en œuvre de l’art. 48c nécessite une certaine formalisation de la coordination entre les autorités et les services concer­ nés

Al. 3

Outre les mesures prévisionnelles concernant l’acquisition (cf. al. 1), le Conseil fédéral peut contraindre les fournisseurs de services de télécommunication à retirer de leur infrastructure les composants provenant de fabricants présentant un risque géopoli­ tique. Une telle mesure peut avoir de larges conséquences pour le fonctionnement du réseau et la fourniture opérationnelle des services de télécommunication, ainsi que des conséquences économiques et financières pour les fournisseurs concernés. Elle ne doit être envisagée qu’en dernier recours. Il faut donc prévoir des délais de mise en œuvre suffisamment longs, qui garantissent la transition opérationnelle du réseau ainsi que de l’offre de services et qui tiennent compte du temps nécessaire pour l’amortis­ sement et le renouvellement technologique des infrastructures de télécommunication.

La procédure d’interdiction doit être fixée par le Conseil fédéral dans une ordonnance. Elle doit permettre aux fournisseurs de services de télécommunication et aux fabricants concernés par les mesures de faire valoir leur droit à être entendus. Comme indiqué à

74 Conseil fédéral (2023a) 61/85

l’al. 2, les mesures prévues nécessitent une formalisation de la coordination entre les autorités et les services concernés. Si une mesure prévue à l’al. 3 est susceptible de compromettre la surveillance du trafic des télécommunications au sens de la LSCPT, il convient de consulter au préalable le Service SCPT.

La loi fédérale du 13 décembre 2002 sur l’Assemblée fédérale (loi sur le Parlement, LParl)75 prévoit des règles particulières pour les ordonnances que le Conseil fédéral édicte sur la base d’une compétence légale en matière de gestion de crise. Ces bases légales se trouvent dans l’annexe 2 de la LParl, où figure notamment l’art. 48. Il in­ combe au Parlement, au moment des délibérations sur le projet de loi, de décider si le nouvel art. 48c doit y être inscrit.

Art. 48d Traitement des données et collaboration

Al. 1

L’art. 48d, al. 1 crée la base légale habilitant l’OFCOM, au regard de l’exécution des tâches visées aux art. 48a et 48b, à effectuer des profilages et à traiter des données personnelles sensibles. Ces tâches incluent l’identification et l’évaluation de cyberme­ naces, la défense contre celles-ci ainsi que la protection et la résilience des infrastruc­ tures de télécommunication (cf. art. 1, al. 2, let. b et f, en relation avec l’art. 48a, al. 2).

Les données personnelles sensibles nécessaires à cet effet se limitent strictement aux données d’identification biométriques (cf. let. a) et aux données sur les poursuites ou les sanctions administratives et pénales dans le domaine des télécommunications (cf. let. b). Dans des cas spécifiques, ces données peuvent être utiles pour identifier clai­ rement un cyberattaquant ou établir un profil à risque. Leur traitement n’est autorisé que si la protection des infrastructures de télécommunication et la protection contre des cybermenaces le justifient.

La majorité des analyses de cybermenaces ne reposent cependant pas sur des don­ nées personnelles, mais sur des informations techniques sans lien avec des personnes (p. ex. infrastructures techniques, caractéristiques de malware ou modèle d’attaque typique) et sur des données de personnes morales. Le traitement des données sen­ sibles reste donc limité aux exceptions clairement susmentionnées.

Al. 2

L’art. 48d, al. 2, autorise l’OFCOM, au regard de l’exécution des tâches visées aux art. 48a et 48b, à transmettre les données collectées et les résultats des profilages à d’autres autorités chargées de la protection contre les cybermenaces et aux services privés et publics reconnus visés à l’art. 29. La transmission n’est autorisée que si le service destinataire dispose d’une base légale adéquate et que les données sont né­ cessaires à l’exécution de tâches relevant de la cybersécurité. Il s’agit d’autorités qui exercent également des tâches dans le domaine de la cybersécurité, telles que l’OFCS, fedpol ou encore le SEPOS.

Avec cette disposition, l’échange de données reste clairement limité à la protection des infrastructures de télécommunication et à la défense contre les cybermenaces (cf. art. 1, al. 2, let. b et f, en relation avec les art. 48a et 48b). Il ne peut être demandé que par des autorités remplissant un mandat légal dans le domaine de la protection contre les

75 RS 171.10 62/85

cybermenaces, ou de la sécurité ou de la résilience des infrastructures de télécommu­ nication. La transmission de ces données à d’autres autorités ou à d’autres fins est exclue. La disposition crée la base légale nécessaire pour une coordination entre l’OFCOM, d’autres autorités et les services spécialisés en cybersécurité, dans le res­ pect du cadre réglementaire en matière de protection des données. Les données per­ sonnelles et les données personnelles sensibles ne sont transmises que dans des cas exceptionnels, et uniquement si la protection contre des cybermenaces ou la sécurité des infrastructures de télécommunication l’exigent. La communication de ce type de données devrait toutefois rester très limitée. En effet, la majeure partie des échanges de données visant à assurer la protection contre les cybermenaces concerne, comme indiqué à l’al. 1, des données techniques ne nécessitant ni ne permettant l’identification de personnes.

Grâce à sa finalité clairement définie et à la restriction des destinataires autorisés, l’art. 48d, al. 2, contribue à une coopération efficace et conforme au droit dans la lutte contre les cybermenaces.

Al. 3

Sur ce marché, les fournisseurs de services de télécommunication sont en concur­ rence, ce qui va fondamentalement dans le sens de la LTC. S’agissant de la lutte contre les cybermenaces en revanche, la collaboration et la solidarité doivent prévaloir sur la concurrence. L’al. 3 permet aux fournisseurs de collaborer entre eux et de partager des informations, des données personnelles, y compris des données personnelles sen­ sibles et les résultats des profilages, des ressources ainsi que des connaissances. Ils peuvent ainsi détecter et évaluer conjointement les menaces, les incidents en matière de sécurité ou les risques de sécurité qui touchent ou pourraient affecter les infrastruc­ tures de télécommunication. L’échange peut porter sur le savoir-faire, l’expérience, l’élaboration conjointe de guides techniques ou de bonnes pratiques et surtout la créa­ tion d’une base de données commune. Les fournisseurs peuvent ainsi transmettre ra­ pidement et efficacement des informations concernant des vulnérabilités ou d’autres incidents sécuritaires graves dont ils ont connaissance.

Al. 4

L’analyse ou le profilage des cybermenaces qui peuvent nuire aux infrastructures de télécommunication (cf. art. 48a et 48b) ainsi que les résultats des profilages des cybe­ rattaquants sont absolument essentiels pour garantir une gestion conforme des res­ sources relevant du droit des télécommunications et du spectre des fréquences, face aux cyberattaques et pour protéger les infrastructures de télécommunication (cf. art. 1, al. 2, let. b et f, et art. 48a, al. 2).

Il est cependant particulièrement difficile de définir à l’avance quelles données sont nécessaires pour un profilage et surtout quelles formes de profilages sont utiles ou pourraient l’être à l’avenir. Cela dépend de l’évolution constante et rapide des cyberat­ taques, des technologies, des infrastructures de télécommunication et des méthodes des cybercriminels.

Dans ce contexte, l’art. 48d, al. 4, prévoit que le Conseil fédéral, si nécessaire, règle au sens de l’art. 34, al. 3, LPD les modalités du traitement des données personnelles sensibles et du profilage. Il s’agit de traitements indispensables pour l’exécution d’une tâches légale (cf. art. 34, al. 3, let. a, LPD) et dont le but, à savoir la protection des

63/85

infrastructures et ressources de télécommunication, ne présente aucun risque particu­ lier pour les droits fondamentaux des utilisateurs (cf. art. 34, al. 3, let. b, LPD).

Art. 52 Contraventions

Al. 1

let. g

Comme à l’art. 32a, al. 1, le texte est complété par le terme « installations » (cf. à ce sujet les explications ad art. 32a). En outre, une erreur de formulation est corrigée dans les textes allemand et italien : les termes « Fernmeldeanlagen » et « impianti di tele­ comunicazione » sont remplacés respectivement par « Funkanlagen » et « impianti di radiocomunicazione ». Cette disposition pénale couvre toutes les infractions pénales liées aux brouilleurs.

let. h

La disposition pénale relative à l’interdiction administrative au sens de l’art. 32a, al. 2, let. a, est ajoutée. Le fait de rendre inutilisables des installations de télécommunication ou des installations à fort et à faible courant au moyen d’ondes électromagnétiques doit être sanctionné (cf. explications ad art. 32a, al. 2, let. a).

let. i

L’interdiction administrative au sens de l’art. 32a, al. 2, let. b, doit également être ajou­ tée dans une disposition pénale. Des installations conformes peuvent être configurées de façon à entraver, à empêcher temporairement ou à interrompre la communication d’une installation similaire (cf. explications ad art. 32a, al. 2, let b.). Seules les installa­ tions de télécommunication conformes sont concernées par cette disposition. En re­ vanche, l’utilisation de brouilleurs, pour se prémunir contre des communications indé­ sirables lors de manifestations culturelles par exemple, n’est pas visée par cette dispo­ sition.

let. j

Il convient également d’adopter une disposition pénale concernant l’interdiction admi­ nistrative au sens de l’art. 34, al. 1. La mise en place et l’exploitation d’installations de télécommunication dans le but de perturber ou d’empêcher le trafic des télécommuni­ cations ou la radiodiffusion doivent être sanctionnées. L’utilisation de brouilleurs par exemple ne relève pas de cette disposition.

Chapitre 11 Outils de surveillance et sanctions administratives

Le titre du chapitre 11 doit être adapté afin de couvrir de manière ciblée les dispositions matérielles.

64/85

Art. 59 Obligation d’informer

Al. 2

L’expression « statistique officielle sur les télécommunications » est adapté en « sta­ tistique fédérale sur les télécommunications » afin d’utiliser une terminologie en lien avec la loi du 9 octobre 1992 sur la statistique fédérale (LSF)76.

Al. 2bis

Les données collectées ou communiquées pour l’établissement de statistiques ne peu­ vent être utilisées à d’autres fins que celles décrites dans la LTC. À la liste d’exceptions énumérées par l’art. 59, al. 2bis, une nouvelle let. e est dès lors ajoutée afin que ces données puissent servir à actualiser la liste des personnes enregistrées au sens de l’art. 4. En effet, dans l’optique de conserver une liste d’enregistrements à jour, il est nécessaire que les informations purement administratives reçues lors des enquêtes statistiques puissent être utilisées pour faire des mises à jour, par exemple si la per­ sonne de contact pour la statistique ou l’adresse de l’entreprise a changé. Ainsi, il s’agit ici uniquement de données administratives servant à l’établissement de la liste selon l’art. 4 et en aucun cas d’autres données obtenues dans le cadre des analyses statis­ tiques et pour lesquelles le secret statistique prévaut.

Art. 59 a Atlas national de la large bande

L’OFCOM collecte depuis plusieurs années déjà différentes informations sur la couver­ ture de la Suisse en réseaux à très haut débit et les publie sous forme de cartes dans l’atlas national à large bande. Afin que cet outil, essentiel à un suivi méthodique et précis, puisse être établi sur des bases exhaustives et pérennes, il importe que sa création, son exploitation et sa publication reposent désormais sur des normes légales indiscutables. C’est la vocation de ce nouvel article.

Al. 1

L’al. 1 décrit clairement qui est assujetti à l’obligation d’informer et délimite de facto la nature des informations qui doivent être communiquées. Quiconque détient des lignes de télécommunication physiques raccordant des bâtiments doit livrer périodiquement à l’OFCOM toutes les informations nécessaires à la production d’un atlas national de la large bande, peu importe qu’il soit fournisseur de services de télécommunication ou non.

Al. 2

Les données collectées en vertu de ce nouvel art. 59a sont notamment destinées à l’établissement et l’exploitation d’un atlas national de la large bande.

Al. 3

Des informations supplémentaires sur le déploiement du réseau et de la couverture Internet en Suisse sont nécessaires pour mettre en œuvre le projet de loi fédérale sur la promotion du déploiement d’infrastructures pour le haut débit (loi sur la promotion du

76 RS 431.01 65/85

haut débit, LPHD)77. Afin de déterminer quelles zones géographiques respectivement quels bâtiments pourraient éventuellement bénéficier de subventions, il est indispen­ sable de repérer puis d’indiquer sur une carte les bâtiments qui ne sont pas dotés des infrastructures permettant un accès à Internet à un débit de transmission de 1 Gbit/s en téléchargement et pour lesquels il n’existe de surcroît aucun projet d’extension dans un délai de trois ans. Ce n’est que sur la base d’informations détaillées, donc non agré­ gées, que les autorités locales pourront décider de l’intérêt à procéder à des investiga­ tions détaillées puis, en fonction des résultats, à monter un dossier de candidature. Par conséquent, l’OFCOM doit avoir la prérogative de publier de manière non agrégée les données qu’il jugera utiles à une description aussi appropriée que possible du déploie­ ment des réseaux. Dans l’intérêt à plus long terme des consommateurs, cette compé­ tence devrait perdurer même lorsque la LPHD aura atteint les objectifs fixés.

Al. 4

Il incombe notamment au Conseil fédéral de définir quelles informations exactes doi­ vent être fournies par les personnes assujetties, sous quelle forme précise elles doivent l’être et à quel rythme.

4.2 Modifications de la LTC proposées par la loi fédérale sur la promotion du

déploiement d’infrastructures pour le haut débit (LPHD) Le projet de la LPHD, mis en consultation publique le 14 mars 202578, contient trois nouvelles dispositions qui doivent être incluses dans la LTC. Il s’agit des art. 4a (Obli­ gation d’annoncer), art. 39a (Utilisation des redevances de concession) et art. 59a (Obligation de fournir des informations pour un atlas national de la large bande).

On rappellera ici que la LPHD a pour objectif de favoriser une couverture aussi étendue que possible des logements et des commerces avec un débit de transmission d’au moins 1 Gbit/s en téléchargement en prévoyant l’utilisation de fonds publics sous cer­ taines conditions. À cet égard, un soutien financier au déploiement des infrastructures passives nécessaires à l’amélioration de la desserte ne doit être possible que dans les zones géographiques où le réseau d’accès actuel ne peut satisfaire une demande pour un tel débit et où aucun projet d’extension n’est planifié, faute de rentabilité, dans un horizon temporel jugé pertinent.

Pour savoir où intervenir, il convient dans un premier temps d’identifier les bâtiments remplissant certaines conditions79 et dont les occupants ne peuvent accéder à Internet via un raccordement garantissant un débit de 1 Gbit/s en téléchargement, que ce soit maintenant ou dans un délai de trois ans. À l’instar des pratiques mises en place par les pays membres de l’UE, ces bâtiments figureront sur des cartes, ce qui permettra une représentation à la fois concise et efficace. Ces informations fourniront un premier aperçu de la situation et permettront aux autorités locales de voir s’il vaut la peine ou non de procéder à des investigations supplémentaires en vue d’identifier une zone po­ tentielle d’encouragement public.

Au niveau confédéral, un tel outil de cartographie existe déjà avec l’atlas à large bande, puisque l’OFCOM collecte des données auprès d’entreprises volontaires et publie deux

77 Consultations terminées en 2025: https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1 78 Consultations terminées en 2025 : https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1 79 Afin d’utiliser l’argent public avec une certaine parcimonie, il convient d’exclure de l’ensemble des bâtiments recensés en Suisse les bâtiments qui, par exemple, ne sont pas chauffés durablement ou ont une fonction annexe tels, par exemple, les garages, réservoirs, silos, entrepôts, etc. 66/85

fois par année des cartes faisant état du déploiement de la large bande80. Pour per­ mettre la mise en œuvre de la stratégie sur la promotion du déploiement du haut débit, cet atlas doit toutefois être complété et développé, en rendant notamment la livraison d’informations obligatoire pour tous les propriétaires d’infrastructures de télécommuni­ cation qui raccordent des bâtiments. Grâce aux modifications prévues ici, la connais­ sance de la situation qui prévaut sur le terrain et son suivi seront grandement amélio­ rés, ce qui sera utile non seulement dans la perspective de la mise en œuvre de la stratégie mais également à plus long terme, lorsque le programme sera devenu caduc. Avec le concours des nouveaux art. 4a et 59a, l’atlas doit ainsi livrer des informations actuelles, exhaustives et encore plus précises, essentielles pour informer la population et l’économie et pour permettre aux autorités d’évaluer l’efficacité des politiques pu­ bliques mises en œuvre.

En outre, l’affectation des redevances de concession pour les concessions de radio­ communication proposée dans le cadre de la loi sur la promotion du haut débit, confor­ mément à l’art. 7 p-LPHD, doit être harmonisée avec l’utilisation actuelle des rede­ vances de concession pour le financement de mesures d’accompagnement en rapport avec les technologies basées sur la radiocommunication (art. 39a).

Les commentaires relatifs à ces dispositions figurent dans les articles correspondants.

4.3 Modification d’un autre acte législatif : loi fédérale sur les installations élec­ triques à faible et à fort courant (loi sur les installations électriques, LIE) L’OFCOM est chargé de la surveillance du marché des appareils électriques au sens large, à savoir les appareils et installations fixes, s’agissant des aspects liés à la com­ patibilité électromagnétique (CEM). La base légale régissant la CEM étant très vague, il convient de saisir cette occasion pour inscrire dans la loi une norme de délégation claire. En outre, plusieurs dispositions de cette loi peuvent être mises à jour (cf. art. 3, 21 et désormais 26b LIE). L’art. 3, al. 2, let. d, LIE, est étendu et complété par les nouveaux al. 2bis et 2ter afin de permettre au Conseil fédéral de réglementer les prin­ cipes fondamentaux des exigences en matière de CEM (par analogie avec l’art. 31 LTC). Il s’agit de protéger non seulement les télécommunications, mais aussi les ins­ tallations à courant fort et courant faible contre les perturbations électromagnétiques. Par ailleurs, la répartition des compétences est également clairement définie aux art. 21, al. 2, et 22 LIE. Cette répartition correspond à la situation actuelle, puisque l’OFCOM est déjà aujourd’hui compétent pour l’application des dispositions légales dans le domaine de la CEM. En outre, celui-ci se voit attribuer en cas de perturbations les mêmes compétences et droits que ceux prévus à l’art. 34, al. 2, et 34a, al. 1, 1ère phrase du présent projet.

80 OFCOM (2025a) 67/85

5 Conséquences

5.1 Conséquences pour la Confédération

Dans le domaine de la sécurité, le projet n’entraîne pas de charges supplémentaires pour la Confédération, ni en termes de personnel ni en termes financiers. L’introduction des art. 6a et 6b habilite les autorités à faire bloquer plus rapidement des numéros et des noms de domaine. Compte tenu du nombre croissant d’infractions présumées via des numéros de téléphone et des noms de domaine, elle représente un gain d’efficacité administrative.

Les mesures qui visent à soutenir le développement des infrastructures n’entraînent pas non plus de charges supplémentaires en termes de personnel ou de finances.

L’extension de la possibilité d’enregistrement aux fournisseurs qui proposent des in­ frastructures ou des services de télécommunication au sens de l’art. 4 n’entraîne qu’un surcroît de travail négligeable, compte tenu du faible nombre d’entreprises concernées et de la procédure simplifiée prévue81.

5.2 Conséquences pour les cantons et les communes ainsi que pour les

centres urbains, les agglomérations et les régions de montagne Le projet n’a de conséquences significatives que dans le domaine de la sécurité, en particulier s’agissant de la communication d’urgence. Les art. 20 à 20e visent ainsi de manière indirecte les centrales des services d’urgence, lesquelles sont pour la plupart gérées par les cantons. Elles font partie du système de communication d’urgence et sont particulièrement concernées par la mise en œuvre des tâches systémiques. Compte tenu du passage aux dernières normes en matière de communications d'ur­ gence (Next Generation 112, NG112)82, déjà effectué pour le service de localisation, et de l’introduction prévue par le Conseil fédéral83 au niveau de l’OST, d’un système de texte en temps réel (RTT) basé sur le protocole SIP, on peut partir du principe que certains coûts auraient été engagés de toute manière. Toutefois, la connexion aux ré­ seaux de télécommunication pourrait entraîner des coûts supplémentaires, par exemple si les centrales ne sont pas encore raccordées à plusieurs fournisseurs de services de télécommunication84 ou si la configuration détaillée de l’ESInet prévu à l’art. 20a, al. 1, let. a, qui reste à définir, impose de nouvelles exigences en matière de con­ nexion des centrales. Dans le même temps, les autorités et organisations cantonales et communales chargées du sauvetage et de la sécurité (AOSS) bénéficieront d’une communication d’urgence plus résiliente.

5.3 Conséquences pour l’économie nationale

5.3.1 Sécurité

Ajout aux art. 6a et 46a, nouvel art. 6b

Conformément aux art. 6a et 6b, les fournisseurs de services de téléphonie et les re­ gistres d’un domaine sont tenus, dans le cadre des dispositions envisagées en matière de protection des consommateurs, de bloquer un numéro de téléphone, un accès à

81 Les conséquences de l'obligation d'enregistrement prévue à l'art. 4a LTC sont consignées dans les documents relatifs à la LPHD : https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1. 82 Swisscom (2025b) 83 Conseil fédéral (2025b) 84 cf. mesure M3 dans le modèle de référence pour les appels d'urgence : DETEC et CCDJP (2022). 68/85

Internet ou un nom de domaine si celui-ci est utilisé de manière frauduleuse. Ces dis­ positions n’entraînent aucun coût supplémentaire pour les entreprises, puisque les blo­ cages sont en partie déjà effectués actuellement.

L’information sur les possibilités en matière de protection de la jeunesse au sens de l’art. 46a comprend des conseils en magasin, en ligne ou par téléphone. Les fournis­ seurs d’accès à Internet en particulier doivent s’attendre à des coûts supplémentaires ponctuels (préparation de formations en ligne, outils de recherche, applications, etc.). Une estimation pour le secteur (fournisseurs d’accès Internet) prévoit des coûts totaux uniques compris entre 120’000 et 240’000 francs. Selon la demande des personnes responsables de mineurs, les coûts annuels récurrents (conseils, formation en ligne) atteindront entre 80’000 et 650’000 francs. Près de 150 fournisseurs de services Inter­ net85 sont concernés. Sans mise en place d’une solution sectorielle, les coûts seront plus élevés. La possibilité de soulager les entreprises en supprimant certaines régle­ mentations dans le même domaine a été examinée. Toutefois, aucune réglementation ne peut être supprimée dans le domaine de la protection des enfants et des jeunes contre la pornographie.

Modification de l’art. 20 ainsi que nouveaux art. 20a à 20e

Les réseaux de télécommunication sont des infrastructures critiques. La stratégie na­ tionale du Conseil fédéral pour la protection des infrastructures critiques86 considère les télécommunications comme un secteur d’une importance capitale, notamment parce que d’autres infrastructures critiques dépendent fortement des services de télé­ communication87.

Pour la population et l’économie, la communication d’urgence joue un rôle central dans les télécommunications. Selon l’OFCOM88, 3,9 millions d’appels d’urgence ont été pas­ sés en Suisse en 2023, en particulier pour alerter les pompiers, les services de secours (urgence médicale) et la police (atteinte à l’ordre public et à la sécurité). Cette possibi­ lité d’alerte revêt une importance essentielle tant en situation ordinaire qu’en période de crise89, en vue de la protection de la vie, de l’intégrité physique et des biens.

Les mesures existantes pour accroître la résilience et la disponibilité des communica­ tions d’urgence permettent d’éviter les coûts liés aux pannes. En situation normale, selon les circonstances et le type d’intervention, chaque minute gagnée par un AOSS peut éviter des pertes de plusieurs milliers de francs90. En outre, des estimations quan­ titatives des coûts liés aux interruptions de l’approvisionnement en électricité (pannes régionales et pénuries d’électricité à l’échelle nationale selon l’Office fédéral de la pro­ tection de la population, OFPP)91 montrent que le maintien de divers services de télé­ communication (appels d’urgence, appels vocaux, Internet limité, radio/télévision) cor­ respond à 16 milliards de francs. Le maintien des appels d’urgence représente à lui seul 30 % de ce montant92.

85 Chiffres de 2023 selon l'OFCOM (2025b) 86 Conseil fédéral (2023c) 87 OFPP (2024) et OFS (2023) 88 OFCOM (2025c) 89 ETC (2022) 90 P. ex. Jaldell, Henrik (2017) et Weinholt, Åsa / Andersson Granberg, Tobias (2015) 91 OFPP (2020) 92 AWK et INFRAS (2022) 69/85

Les coûts de la réglementation incombent avant tout aux fournisseurs. Les mesures prévues à l’art. 20e doivent tout d’abord être concrétisées conformément à l’al. 4. En revanche, les coûts de la réglementation qui résultent des modifications de l’art. 20 et du nouvel art. 20a ont fait l’objet d’une estimation approximative basée sur un sondage réalisé par l’OFCOM93. Ils sont décrits plus en détail ci-après pour chaque mesure (cf. chapitre 1.2.1)

- Le mandat prévu à l’art. 20a pour l’exploitation d’un ESInet94 entraîne des coûts uniques de 47,2 millions de francs95 répartis entre la centaine de fournisseurs de ser­ vices téléphoniques publics96. Dans le cas d’une exploitation entièrement redondante, ces coûts pourraient atteindre 94,4 millions de francs. Les principaux coûts concernent l’acquisition de nouveaux systèmes informatiques, le raccordement des centrales d’ur­ gence et l’interconnexion avec d’autres fournisseurs de services de télécommunication (configuration, intégration, etc.). Une partie moindre, mais néanmoins considérable, découle de l’adaptation des processus, des tests et de la formation du personnel. En outre, les coûts récurrents se montent à 8,7 millions de francs par an. Pour une exploi­ tation entièrement redondante, ils pourraient passer à 17,4 millions de francs. Ils com­ prennent en particulier les systèmes informatiques (frais de licence récurrents, services de centre de calcul ou amortissements et investissements de remplacement) ainsi que les dépenses liées au personnel et aux procédures de surveillance et de test.

- L’exploitation d’un service de coordination pour la communication d’urgence prévue à l’art. 20a pourrait entraîner des coûts uniques de 4,2 millions de francs et des coûts de personnel récurrents de 1,1 million par an. Ces coûts comprennent notamment le raccordement aux centres d’opérations existants, l’analyse des données et les dépen­ sées liées au personnel nécessaire à la coordination.

- La collecte de données prévue à l’art. 20a par l’exploitant de l’ESInet pourrait entraîner des coûts uniques de 0,5 million de francs et des coûts récurrents annuels de 0,7 mil­ lion, notamment en lien avec les logiciels de collecte et d’évaluation des données.

- Les coûts de la plateforme de test et d’intégration prévue à l’art. 20a n’ont pas fait l’objet d’une estimation, car ces mesures ne seront adoptées qu’une fois le sondage terminé. Ils pourraient s’élever à plusieurs millions de francs et doivent être pris en charge par les utilisateurs de cette plateforme.

- L’introduction prévue à l’art. 20 d’une solution de repli minimale basée sur le modèle de référence du DETEC et de la CCDJP pour les appels d’urgence97 concernerait aussi une centaine de fournisseurs de services de téléphonie et pourrait entraîner des coûts uniques de 32,5 millions de francs et des coûts récurrents annuels de 4,9 millions au

93 OFCOM (2025d) 94 Conformément à la norme ETSI (2023), mais il est probable que le mandat n'engagera pas à exploiter un réseau entière­ ment autonome. Pour un tel réseau, les coûts pourraient être multipliés par dix. En outre, contrairement à cette norme, le serveur contenant les informations relatives à l'identification de l'emplacement (LIS) est exploité de manière centralisée en Suisse par le concessionnaire du service universel. Les coûts liés au LIS sont traités comme des coûts qui auraient été engagés de toute manière. Les coûts de certains raccordements de fournisseurs et de certains composants du ré­ seau ne sont actuellement pas chiffrables et ne sont donc pas inclus. Enfin, il est probable qu’au moment de l’octroi du mandat, la norme mentionnée soit remplacée par une nouvelle version. Cette nouvelle norme pourrait inclure des com­ posants supplémentaires et entraîner des surcoûts lors de son implémentation. 95 Il s'agit ici et ci-après d'estimations approximatives, qui dépendent de diverses hypothèses et d'exigences encore à défi­ nir. Cette approximation des valeurs estimées (moyennes) est due également à la grande complexité, au faible taux de réponse au sondage et à la forte variation des réponses. Les valeurs ne peuvent servir que d'orientation approximative. 96 Selon l'OFCOM (2025b). Conformément à l'art. 20a, al. 5, les coûts des tâches systémiques sont facturés aux fournis­ seurs proportionnellement, en fonction des unités de communication d'urgence passées. 97 DETEC et CCDJP (2022) 70/85

total. Chaque fournisseur devrait en particulier supporter des coûts de logiciels pour la connexion avec les partenaires de raccordement des centrales des services d’urgence.

Il n’existe actuellement aucune possibilité d’allègement pour les entreprises dans les autres domaines de la communication d’urgence. La réglementation existante repose en grande partie sur des normes internationales. Elle doit également fonctionner chez les touristes et les voyageurs d’affaires internationaux qui utilisent des appareils et des fournisseurs étrangers.

Ajout aux art. 32a, 32b, 34, 34a et 52 ainsi qu’aux art. 3, 21, 22 et 26b LIE

En vertu de l’art. 34, al. 1, les fournisseurs, les propriétaires et les exploitants d’instal­ lations de télécommunication destinées la fourniture de services de télécommunication ont l’obligation de fournir toutes les informations techniques pertinentes relatives à l’ins­ tallation concernée. Il sera ainsi possible de localiser de manière plus ciblée les pertur­ bations sporadiques récurrentes signalées à l’OFCOM par les fournisseurs, proprié­ taires et exploitants (notamment celles causées par les antennes adaptatives) et de les éliminer. Il faut s’attendre à ce que cette mesure entraîne pour ces fournisseurs, pro­ priétaires et exploitants certains coûts, qui devraient toutefois rester raisonnables, car les données techniques pertinentes souhaitées devraient être déjà disponibles. En outre, cette obligation profite aussi directement aux fournisseurs, aux propriétaires et aux exploitants, qui peuvent être eux-mêmes responsables des perturbations.

L’ajout à l’art. 52, al. 1, let. j, permet d’accroître l’efficacité de la surveillance du marché. L’al. 1 réintroduit en outre la possibilité de sanctionner les perturbations intentionnelles causées par des installations de télécommunication et d’autres dispositifs destinés à perturber.

Ajout à l’art. 48a et nouveaux art. 48b et 48c

La plupart des mesures prévues en matière de sécurité et de résilience des infrastruc­ tures de télécommunication concernent en premier lieu les trois grands fournisseurs de services de télécommunication (Swisscom, Sunrise et Salt). L’exigence d’adopter une stratégie multifournisseurs est probablement la mesure la plus coûteuse. Dans certains cas, il se peut que la réduction de la dépendance à l’égard d’un seul fabricant engendre des coûts. Il n’est toutefois pas possible d’estimer les coûts de la stratégie multifour­ nisseurs. Tout dépend des coûts engendrés par le changement de fabricant ou par le passage à au moins deux fabricants. L’avantage qui en résulte ne peut pas non plus être chiffré raisonnablement. Les fournisseurs modernisent et sécurisent leurs réseaux dans leur propre intérêt et à leurs propres frais, ce qui signifie qu’une part importante des coûts auraient été engagés de toute manière. En outre, il existe différentes exi­ gences de sécurité au niveau international (p. ex. la boîte à outils 5G de l’UE98). La branche devrait donc bien accepter ces coûts.

Les autres mesures sont de moindre importance et pourraient concerner quelques cen­ taines de fournisseurs de services de télécommunication en Suisse. La grande majorité d’entre eux satisfont déjà aux exigences opérationnelles et techniques en matière de sécurité, de sorte que, pour eux, les conséquences économiques et financières seront

98 UE (2020) 71/85

vraisemblablement limitées. En revanche, la protection des infrastructures de télécom­ munication constitue un avantage concurrentiel central pour la place économique suisse.

Les conséquences à long terme sur la productivité sont actuellement difficiles à éva­ luer, mais devraient être globalement positives, car en général les mesures renforcent la sécurité opérationnelle, permettant ainsi d’éviter les coûts engendrés par les pannes.

Les coûts supplémentaires engendrés par ces mesures seront très probablement ré­ percutés sur les consommateurs.

L’introduction de mesures pour sécuriser les infrastructures de télécommunication pourrait renforcer l’innovation dans le domaine de la sécurité et de la résilience par les entreprises suisses concernées et accélérer la numérisation.

Aucune incidence sur la concurrence en Suisse n’est à prévoir puisque les mesures sont conçues de manière à ne pas la fausser.

5.3.2 Développement des infrastructures

S’agissant des prescriptions techniques relatives au câblage interne des bâtiments ins­ crites à l’art. 35b, il faut s’attendre à ce que le profit soit relativement faible et non quantifiable. Les exploitants de réseau qui souhaitent utiliser des câbles internes exis­ tants bénéficieront de conditions identiques, ce qui permet de réduire les coûts de coor­ dination et d’améliorer l’efficacité lors de l’installation. En outre, l’utilisation par des tiers peut être garantie et une duplication inefficace du câblage interne des bâtiments évitée. D’une manière générale, en raison d’une rentabilité incertaine99, il ne faut pas s’at­ tendre au raccordement d’un grand nombre de bâtiments par plusieurs fournisseurs de services de télécommunication au moyen de leur propre infrastructure. L’OFCOM es­ time actuellement à 4 % la part des bâtiments raccordés en parallèle à la fibre op­ tique100. De plus, le sondage mentionné au chapitre 1.2.2101 révèle qu’un quart des 200 titulaires de numéros d’opérateur FTTH interrogés ont déjà fait usage du droit prévu à l’art. 35a d’ajouter d’autres raccordements à ceux qui existent déjà. En outre, plusieurs problèmes techniques liés au raccordement d’immeubles par différents exploitants de réseau ont été relevés.

Du point de vue des coûts, il devrait s’agir pour l’essentiel, compte tenu de l’orientation sur des directives techniques existantes et élaborées au sein d’un groupe de travail sectoriel de l’OFCOM102, de coûts qui auraient été engagés de toute manière. Une éventuelle extension au domaine des boîtiers de raccordement domestiques (BRD)103 pourrait entraîner des coûts supplémentaires. En estimant (approximativement) qu’il reste encore un million de bâtiments à raccorder à la fibre optique en Suisse104, que dans 5 % des cas l’installation d’un boîtier plus grand est nécessaire et entraîne des coûts supplémentaires de 100 francs, et que les catégories de bâtiments sont raccor­ dées proportionnellement à leur part actuelle dans le parc immobilier (hors maisons

99 cf. p. ex. WIK (2019) 100 OFCOM (2024c) 101 OFCOM (2024a et b) 102 OFCOM (2012) 103 Le boîtier de raccordement domestique doit être placé dans un bâtiment de manière à ce qu’une autre entreprise dis­ pose de suffisamment d'espace pour installer le sien. Si cela n'est pas possible, un boîtier suffisamment grand et adapté en vue d’une éventuelle co-utilisation doit être installé. 104 Estimation basée sur les données de l'atlas de la large bande, situation en octobre 2024 : OFCOM (2025a). 72/85

individuelles105), les coûts d’investissement pourraient avoisiner les cinq millions de francs. Ce montant unique est modeste comparé au coût total des investissements pour les futurs raccordements à la fibre optique, qui se chiffrerait en milliards de francs selon le Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste (WIK)106.

Aucun allégement par la suppression de réglementations dans le domaine des infras­ tructures passives n’est actuellement prévu. Une statistique de Swisscom107 sur le dé­ groupage et l’interconnexion montre qu’un seul produit d’accès dans ce domaine (ca­ nalisations de câbles) connaît une demande en constante augmentation.

5.3.3 Bases de données

Au cas où l’OFCOM déciderait d’enregistrer plus de fournisseurs de services de télé­ communication pour remplir ses tâches d’exécution et d’évaluation, le nombre de four­ nisseurs concernés se monterait, selon les estimations de l’OFCOM, à une cinquan­ taine. Cette valeur peut être considérée comme négligeable, d’autant plus qu’elle est inférieure à la fluctuation annuelle observée au sein du service statistique de l’OFCOM. En effet, environ 80 fournisseurs de services de télécommunication apparaissent chaque année et le même nombre disparaît. Compte tenu de la procédure simplifiée qui sera mise en place pour l’enregistrement, on estime qu’il ne faudra pas plus de 30 minutes à une entreprise pour s’identifier, ce qui représente un coût dérisoire pour les entreprises108. Au total, nous estimons que les coûts uniques pour les fournisseurs de services de télécommunication s’élèveront à environ 3 000 francs.

Dans un second temps, ce nombre restreint d’entreprises devra également remplir an­ nuellement le questionnaire statistique, lequel est composé de plusieurs sections thé­ matiques en fonction de l’activité exercée sur le marché. Si l’on considère que ce sont généralement de petites entreprises qui sont passées sous le radar jusqu’à présent, on peut partir du principe que le temps consacré à la livraison des données sera restreint et qu’il diminuera au fil du temps, une fois des procédures idoines mises en place. Enfin, on soulignera que ces entreprises ne sont pas astreintes à une nouvelle obliga­ tion mais que, faute d’avoir été identifiées, elles ont pu s’épargner quelques campagnes de récolte. De plus, les fournisseurs de services de télécommunication apprécient gé­ néralement la visibilité que leur confère l’enregistrement. En ce qui concerne les con­ séquences pour les consommateurs, toute amélioration de la connaissance de l’en­ semble du marché des télécommunications par l’État aura un impact positif auprès de ceux-ci, que ce soit en matière de régulation ou de sécurité.

5.4 Conséquences pour la société

Dans le domaine de la sécurité, un blocage plus rapide des numéros de téléphone et des noms de domaine prévu à l’art. 6b permet de réduire le nombre de cas de fraude, et donc de renforcer la protection des consommateurs. Il en va en principe de même pour l’art. 6a.

L’ajout à l’art. 46a (conseils pour la protection des enfants et des jeunes contre les contenus pornographiques), donne un moyen aux personnes responsables de mineurs

105 OFS (2024) 106 WIK (2017) 107 Swisscom (2024) 108 De plus, la plupart des entreprises propriétaires d’infrastructures seront déjà soumises à une obligation de s’annoncer auprès de l’OFCOM, en vertu du nouvel art. 4a inclus dans le projet de la LPHD. 73/85

de mieux protéger les enfants et les jeunes contre les contenus préjudiciables sur In­ ternet. Son efficacité dépend toutefois de la volonté de ces personnes chargées de l’autorité parentale de tenir compte des conseils et d’utiliser les applications ou les outils appropriés.

La modification de l’art. 34, al. 1, améliore l’identification les émissions parasites.

L’introduction des différentes mesures de sécurité prévues aux art. 48b à 48d renforce la protection de la population suisse contre les cyberattaques dans le cadre de l’utilisa­ tion des services de télécommunication ainsi que la résilience des infrastructures de télécommunication. Les informations circulent mieux et les autorités ont une meilleure vue des processus. Si nécessaire, le Conseil fédéral est également habilité à prendre les mesures qui s’imposent et à contribuer de la sorte à la réalisation de ces deux objectifs.

5.5 Autres conséquences

Aucune conséquence sur l’environnement ou autre n’est à prévoir.

74/85

6 Aspects juridiques

6.1 Conformité à la Constitution

La révision proposée se fonde principalement sur l’art. 92, al. 1, Cst., selon lequel les télécommunications relèvent de la compétence de la Confédération.

La notion de télécommunications est définie en fonction de l’état de la technique ainsi que des évolutions économiques et sociales. Les autorités fédérales se montrent tou­ jours disposées à inclure de nouveaux procédés techniques de transmission d’infor­ mations (comme c’était déjà le cas auparavant en vertu de l’art. 36 aCst.). L’art. 92, al. 1, Cst., couvre les formes de transmission d’informations par des moyens de télécom­ munication disponibles selon l’état actuel de la technique et l’offre sur le marché, ainsi que les aspects techniques de la communication par Internet. La compétence régle­ mentaire ne porte toutefois que sur les processus techniques, et non sur le contenu109.

L’organisation des télécommunications relève du pouvoir discrétionnaire du législateur et couvre tous les domaines nécessaires au bon fonctionnement de l’infrastructure pour l’ensemble des télécommunications110. Dans la LTC, le législateur a non seulement réglementé l’offre de services de télécommunication et l’organisation du marché, mais il a également édicté de nombreuses prescriptions relatives aux ressources (fré­ quences, ressources d’adressage, données d’annuaire), aux infrastructures de télé­ communication (installations, canalisations de câbles) et aux services à valeur ajoutée.

Les mesures de protection en matière de résilience des infrastructures de télécommu­ nication envisagées dans la présente révision s’appuient principalement sur l’art. 92 Cst. Elles visent en outre à contribuer à l’indépendance de la Suisse et servir à assurer la sécurité intérieure. La révision repose dès lors aussi sur l’art. 173, al. 2, Cst., qui délègue à la Confédération une compétence inhérente dans le domaine de la sécurité intérieure. Cette compétence découle de l’existence de l’État et de la nécessité de pou­ voir protéger cette existence. La Confédération doit pouvoir prendre et réglementer les mesures nécessaires à la protection de l’État, de ses organes, de ses autorités et des ses institutions.

Le projet comprend cependant aussi des dispositions visant à améliorer la protection des consommateurs et à protéger les utilisateurs de services de télécommunication contre les cybermenaces. L’art. 6b prévoit ainsi que les fournisseurs de services de télécommunications bloquent des numéros de téléphones et des noms de domaine suisses sur demande de fedpol, en cas de soupçon fondé de fraude. Ce blocage re­ présente une restriction de la liberté de communication des personnes concernées, mais aussi de leur liberté économique si le numéro ou le nom de domaine est utilisé dans un contexte commercial. Les mesures de blocage de l’accès à Internet et à la téléphonie prévues à l’art. 6a visent également à protéger la population contre l’utilisa­ tion abusive de ressources d’adressage. Il conviendrait toutefois de clarifier si une telle mesure peut s’appuyer sur les compétences prévues à l’art. 92 Cst., auxquelles le pré­ ambule de la LTC fait référence. L’art. 92, al. 1, Cst. habilite certes la Confédération à régler la transmission d’informations, à savoir l’envoi et la réception de communica­ tions, mais pas les aspects concernant leur contenu. Les mesures de blocage portant sur le contenu ou l’utilisation de communications doivent reposer sur des compétences sectorielles spécifiques, comme c’est le cas dans le domaine des jeux de hasard. L’art. 92, al. 1, Cst. perdrait sinon tout son sens. L’art. 123 Cst., qui n’est pas mentionné en 109 Kern, Markus, ch. marg. 6, (2015) 110 Hettich/Steiner, ch. marg. 9, (2023) 75/85

préambule, ne pourrait servir de base pour une obligation de blocage que si celle-ci constitue une mesure de contrainte prononcée dans le cadre d’une procédure pénale. S’il s’agit en revanche de mesures visant à poursuivre des infractions ou à constater des infractions potentielles, elles relèvent du droit cantonal de la police. Les mesures proposées aux art. 6a et 6b visent à protéger la population suisse des escroqueries commises par téléphone et sur Internet. Le législateur est déjà intervenu dans un con­ texte similaire en intégrant les dispositions pour lutter contre la publicité de masse dé­ loyale (spam) à l’art. 3, al. 1, let. o, de la loi fédérale du 19 décembre 1986 contre la concurrence déloyale (LCD) 111. Ces dispositions reposent sur les compétences citées dans le préambule de la LCD, notamment sur l’art. 97 Cst. Cette base contraint la Con­ fédération à prendre des mesures pour protéger les consommateurs. En outre, elles se basent sur l’art. 95 Cst., qui habilite le législateur à édicter des prescriptions relatives à l’exercice d’activités lucratives privées. Cette base constitutionnelle ancrée à l’art. 97 Cst. pourrait également entrer en ligne de compte pour les mesures proposées aux art. 6a et 6b. Il conviendra d’examiner la question de la base constitutionnelle appropriée et de la clarifier dans le cadre des travaux sur l’élaboration du message.

6.2 Compatibilité avec les obligations internationales de la Suisse

Le projet est compatible avec les obligations internationales de la Suisse. Les mesures prévues pour les installations de télécommunication ne relèvent pas de l’ARM CH-UE et ne constituent donc pas des entraves techniques au commerce.

Dans le cadre de la compétence prévue du Conseil fédéral de prendre des mesures appropriées pour protéger les infrastructures de télécommunication face à une éven­ tuelle détérioration de la situation géopolitique (art. 48c), des restrictions à l’accès au marché suisse, voire une exclusion de celui-ci, pourraient être décidées à l’encontre des équipementiers jugés problématiques pour la sécurité de notre pays ou qui sont détenus, contrôlés ou soumis à l’influence d’un État étranger présentant un risque sé­ curitaire. De telles restrictions ou exclusions sont admissibles en vertu des art. XIV let. a (protection de l’ordre public), XIV let. c iii et XIV(bis) (sécurité) de l’annexe 1B à l’Ac­ cord instituant l’Organisation mondiale du commerce OMC112 (Accord général sur le commerce des services AGCS), en vertu de l’art. XIV, let. a, ch. i (sécurité) de l’annexe 1A de l’Accord instituant l’OMC (Accord général sur les tarifs douaniers et le commerce GATT) et en vertu des art. 2.10, 5.4 et 5.7 (sécurité nationale) de l’Annexe 1A.6 de l’Accord instituant l’OMC (Accord sur les obstacles techniques au commerce OTC).

6.3 Forme de l’acte

La LTC constitue une loi fédérale au sens de l’art. 164, al. 1, Cst. Sa révision partielle est sujette au référendum facultatif, conformément à l’art. 141, al. 1, let. a, Cst.

6.4 Soumission au frein aux dépenses

Le projet ne crée pas de nouvelles dispositions en matière de subventions et ne prévoit pas de nouveaux crédits d’engagement ni de plafonds de dépense. Il n’est pas soumis au frein aux dépenses au sens de l’art. 159, al. 3, let. b, Cst.

111 RS 241 112 RS 0.632.20 76/85

6.5 Délégation de compétences législatives

Le projet habilite le Conseil fédéral à édicter des prescriptions dans les dispositions de nature essentiellement techniques ou organisationnelles énumérées ci-après. Le Con­ seil fédéral peut ainsi concrétiser les prescriptions légales sans créer de nouveaux droits ni obligations. Il s’agit d’un mandat législatif l’autorisant à édicter des dispositions d’exécution et des ordonnances. Cette délégation se justifie notamment par un envi­ ronnement technique et sécuritaire en rapide évolution. Les bases légales d’exécution et de mise en œuvre peuvent, le cas échéant, être rapidement adaptées. En vertu de l’art. 62, al. 2, le Conseil fédéral conserve en outre la compétence générale de déléguer à l’OFCOM le soin d’édicter les prescriptions administratives et techniques néces­ saires.

Le projet confère au Conseil fédéral ou à l’OFCOM la compétence d’édicter des dispo­ sitions d’exécution dans les domaines suivants :

• Définition des modalités relatives à l’annonce des fournisseurs d’infrastructures de télécommunication destinées à raccorder des bâtiments (cf. art. 4a, al. 2). • Elaboration par l’OFCOM de prescriptions techniques et administratives rela­ tives aux tâches systémiques et aux exigences qui en découlent (cf. art. 20a, al. 3). • Définition des modalités relatives au système à acquérir pour la collecte auto­ matisée, aux conditions d’anonymisation et à la durée de conservation des don­ nées (cf. art. 34a, al. 3). • Définition par l’OFCOM des modalités relatives à la mise à disposition d’infor­ mations (cf. art. 34a, al. 4). • Réglementation des modalités techniques de la co-utilisation et édiction par l’OFCOM de prescriptions techniques et administratives pour la construction et la mise en place d’installation domestiques (cf. art. 35, al. 6). • Définition des modalités relatives aux appareils causant des perturbations (cf. art. 26, al. 3, LIE).

Le présent projet confère au Conseil fédéral les compétences législatives supplé­ mentaires ou modifiées suivantes :

• Extension de l’application par analogie des droits et obligations des fournisseurs de services de télécommunication aux propriétaires et exploitants d’installations de télécommunication ou de canalisations de câbles afin de garantir une con­ currence loyale (cf. art. 3a, al. 2). • Détermination des données d’enregistrement et des exceptions à l’enregistre­ ment pour les fournisseurs de services de télécommunication (cf. art. 4, al. 5). • Désignation des services de télécommunication au moyen desquels la commu­ nication d’urgence doit être garantie, définition des exceptions concernant la ga­ rantie de l’acheminement, l’identification de la localisation et un niveau de se­ cours minimal et utilisation des fonctions de localisation des terminaux sans ac­ cord exprès de l’utilisateur (cf. art. 20, al. 3). • Définition de mesures techniques et organisationnelles pour la protection de l’in­ tégrité de la communication d’urgence (cf. art. 20e, al. 4). • Définition des critères pour la reconnaissance des services privés et publics re­ connus chargés de la cybersécurité (cf. art. 29, al. 3). • Définition des modalités relatives au traitement des données personnelles sen­ sibles et à la réalisation de profilages pour la sécurité et le fonctionnement des 77/85

systèmes de noms de domaine ainsi que pour la collaboration avec les services privés et publics spécialisés dans ce domaine (cf. art. 30a, al. 3). • Définition des exceptions à la suppression de l’occultation de l’identification de l’appelant (cf. art. 46, al. 2). • Ediction de dispositions supplémentaires en vue de protéger les enfants et les jeunes des dangers liés à l’utilisation des services de télécommunication (cf. art. 46a, al. 2). • Précision des mesures imposées aux fournisseurs de services de télécommu­ nication pour lutter contre la manipulation non autorisée d’infrastructures de té­ lécommunication par des transmissions au moyen de techniques de télécom­ munication (cf. art. 48a, al. 4). • Interdiction d’éléments critiques pour la sécurité et publication par l’OFCOM d’une liste des éléments interdits (cf. art. 48b, al. 3). • Suppression des éléments provenant de fournisseurs présentant des risques géopolitiques (cf. art. 48c, al. 3). • Réglementation des modalités relatives au traitement des données personnelles sensibles et à la réalisation de profilages pour la protection contre des cyberme­ naces ainsi que pour la sécurité et la résilience des infrastructures de télécom­ munication (cf. art. 48d, al. 4). • Définition des modalités relatives aux informations à fournir pour un atlas natio­ nal de la large bande (cf. art. 59a, al. 4). • Définition des modalités relatives aux exigences de base dans le domaine de la compatibilité électromagnétique pour les appareils électriques (cf. art. 3, al. 2, let. d, LIE).

6.6 Protection des données

Les mesures prévues ont fait l’objet d’une évaluation préliminaire des risques en ma­ tière de protection des données. L’ampleur des nouveaux traitements de données pré­ vus se limite principalement à des données servant à renforcer la résilience des infras­ tructures de télécommunication et à prévenir les cybermenaces, étant précisé que la grande majorité des données traitées à ces fins n’est pas de nature personnelle. Il s’agit avant tout de données factuelles ainsi que de données relatives à des personnes mo­ rales ou à des entités indéterminées sur Internet. Le traitement de données person­ nelles particulièrement sensibles ou l’établissement de profils au sens de la LPD ne devrait intervenir que dans des cas exceptionnels. Dans ces conditions, il n’apparaît pas nécessaire de procéder à une analyse d’impact sur la protection des données plus approfondie. Une telle analyse pourrait toutefois être réalisée en cas de besoin, notam­ ment si le traitement de données personnelles devait être précisé au niveau réglemen­ taire. Les nouvelles dispositions qui concernent le traitement de données personnelles ou de données de personnes morales respectent les principes inscrits dans la LPD et dans la LOGA. S’agissant des mesures individuelles relevant de la protection des don­ nées, il est renvoyé aux explications relatives aux dispositions concernées au chap. 4.

78/85

7 Liste des abréviations

AGCOM Autorità per le Garanzie nelle Comunicazioni

AOSS Autorités et organisations chargées du sauvetage et de la sécurité

ARCEP Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse

BNetzA Bundesnetzagentur (autorité de régulation en Allemagne)

BRD Boîtier de raccordement domestique

CATV Télévision par câble

CCDJP Conférence des chefs des départements cantonaux de justice et police

CCPCS Conférence des commandantes et des commandants des polices canto­ nales de Suisse

CEM Compatibilité électromagnétique

CERT Computer Emergency Response Team

ComCom Commission fédérale de la communication

CPS-N Commission de la politique de sécurité du Conseil national

CSN Cyberstratégie nationale

CSSP Coordination suisse des sapeurs-pompiers

CTT-E Commission des transports et des télécommunications du Conseil des États

CTT-N Commission des transports et des télécommunications du Conseil national

DDoS Distributed Denial of Service

DDPS Département fédéral de la défense, de la protection de la population et des sports

DETEC Département fédéral de l’environnement, des transports, de l’énergie et de la communication

DFAE Département fédéral des affaires étrangères

DNS Domain Name System

ENISA European Network and Information Security Agency

ESInet Emergency Services IP Network 79/85

ETC Emergency Telecommunications Cluster

ETSI European Telecommunications Standards Institute

FF Feuille fédérale

FTTC Fiber to the Curb

FTTH Fiber to the Home

Gbit/s Gigabit par seconde

GNSS Global Navigation Satellite System

IAS Interassociation de sauvetage

MVNO Mobile Virtual Network Operator

NENA National Emergency Number Association

NG Next Generation

OFCOM Office fédéral de la communication

OFCS Office fédéral de la cybersécurité

OFJ Office fédéral de la justice

OFPP Office fédéral de la protection de la population

OFS Office fédéral de la statistique

ORECE Organe des régulateurs européens des communications électroniques

OTT Over-the-Top

PFPDT Préposé fédéral à la protection des données et à la transparence

PME Petites et moyennes entreprises

PTA Prescriptions techniques et administratives

RAN Radio Access Network

RC Registre du commerce

RTR Rundfunk und Telekom Regulierungs-GmbH

RTT Real Time Text

SECO Secrétariat d’État à l’économie

SEPOS Secrétariat d’État à la politique de sécurité

80/85

SRC Service de renseignement de la Confédération

Swisstopo Office fédéral de topographie

TIC Technologies de l’information et de la communication

TIP Technique et informatique policières suisse

WiFi Wireless Fidelity

WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH

81/85

8 Bibliographie

AWK und INFRAS (2022): Regulierungsfolgenabschätzung Konkretisierung Art. 48a FMG, https://www.bakom.admin.ch/fr/garantir-les-telecommunications-en-cas-de-pen­ urie-delectricite, 29.06.2022

BNetzA (2022): Beschwerdeordnung 2022, https://www.bundesnetzagentur.de/Sha­ redDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Uner­ laubte_Telefonwerbung/Beschwerdeordnung_2022.pdf?__blob=publicationFile&v=2, consulté pour la dernière fois le 03.03.2026

BNetzA (2025): Über 150.000 Beschwerden zum Rufnummernmissbrauch im Jahr 2024, https://bundesnetzagentur.de/1044230, 15.01.2025

Conseil fédéral (2023a): Infrastructure numérique. Réduire les risques géopolitiques, Rapport du 15.12.2023 donnant suite au postulat 20.3984 Pult du 14.9.2020, https://www.uvek.admin.ch/uvek/fr/home/detec/medias/communiques-de-presse.msg- id-99431.html, 15.12.2023

Conseil fédéral (2023b): Cyberstratégie nationale (CSN), https://www.newsd.ad­ min.ch/newsd/message/attachments/76793.pdf, 04.2023

Conseil fédéral (2023c): Protection des infrastructures critiques, https://www.babs.ad­ min.ch/fr/protection-des-infrastructures-critiques, 16.06.2023

Conseil fédéral (2025a): Appréciation annuelle de la menace, Rapport aux Chambres fédérales et au public du 30.4.2025, https://www.news.admin.ch/fr/newnsb/Ai9gAQl­ hIpGdgZisH-g-6, consulté pour la dernière fois le 08.08.2025

Conseil fédéral (2025b): Modernisation de l'accès aux appels d'urgence, https://www.news.admin.ch/fr/newnsb/ACDiWzoUbRaa9KOjqkUSr, consulté pour la dernière fois le 07.08.2025

CSN (2023): Objectif: Fiabilité et disponibilité de l'infrastructure et des services numé­ riques, https://www.ncsc.admin.ch/ncsc/fr/home/strategie/ziele-massnahmen/ncs-ziel- sichere-verfuegbare-digitale-dl-infrastruktur.html, consulté pour la dernière fois le 07.08.2025

DETEC et CCDJP (2022): Modèle de référence appels d’urgence, https://www.ba­ kom.admin.ch/de/notrufdienste, 10.11.2022. Weinholt, Åsa / Andersson Granberg, Tobias (2015): New collaborations in daily emergency response: Applying cost-benefit analysis to new first response initiatives in the Swedish fire and rescue service, Inter­ national Journal of Emergency Services, 4(2), 177-193

Emergency Response Centre Agency Finland (2022): 112 - Emergency number in Finland, https://www.suomi.fi/services/112-emergency-number-in-finland-emergency- response-centre-agency-finland/01a571b5-3eb9-4b49-a27e-ec8427737c5b, consulté pour la dernière fois le 07.08.2025

ETC (2022): Emergency telecommunications preparedness: Return on investments model, https://www.etcluster.org/sites/default/files/documents/0108_ROI_INTRO­ DUCTORY%20BRIEF_compressed.pdf, consulté pour la dernière fois le 07.08.2025

82/85

ETSI (2023): ETSI TS 103 479 V1.2.1, https://www.etsi.org/deli­ ver/etsi_ts/103400_103499/103479/01.02.01_60/ts_103479v010201p.pdf, 03.2023

ETSI (2025): ETSI members, https://www.etsi.org/membership, consulté pour la der­ nière fois le 07.08.2025

Hettich, Peter / Steiner, Thomas (2023), in: Ehrenzeller, Bernhard / Egli, Patricia / Hettich, Peter / Hongler, Peter/Schindler, Benjamin / Schmid, Stefan G. / Schweizer, Rainer J. (Hrsg.), Die schweizerische Bundesverfassung, St. Galler Kommentar, 4. Aufl., Art. 92

Jaldell, Henrik (2017): How Important is the Time Factor? Saving Lives Using Fire and Rescue Services, Fire Technology Journal, 53, 695–708

Kern, Markus (2015), in: Waldmann, Bernhard / Belser, Eva Maria / Epiney, Astrid (Hrsg.), Bundesverfassung, Basler Kommentar, Art. 92

KKPKS, PTI, FKS und IVR (2024): Informationen des Steuerungsausschuss der Or­ ganisation Notrufe Schweiz, zum Thema Kommunikation der Europäischen Notruf­ nummer 112, https://www.144.ch/wp-content/uploads/2024/07/202407116_Infomati­ onsschreiben_Notrufnummer_DE.pdf, 15.07.2024

McBride, Freddie (2024): NG112 implementation in Europe – Demystifying the ESInet and Next Generation Core Services, https://eena.org/blog/ng112-implementation-in- europe-demystifying-the-esinet-and-next-generation-core-services-2/, 27.03.2024

NENA (2025): NENA Standards and Documents, https://www.nena.org/page/stan­ dards, consulté pour la dernière fois le 07.08.2025

OFCOM (2012): Directives techniques concernant les installations intérieures FTTH, média physique de la couche 1 Version 3.0, https://www.bakom.admin.ch/fr/groupes- de-travail-ftth, 05.03.2012

OFCOM (2024a): Numéro d’opérateur FTTH, https://www.bakom.admin.ch/fr/deploie­ ment-de-la-fibre-optique-en-suisse, consulté pour la dernière fois le 07.08.2025

OFCOM (2024b): Umfrage zu Massnahmen zur Begünstigung des Breitbandausbaus, non publié

OFCOM (2024c): Rapport d’évaluation du marché suisse des télécommunications, https://www.bakom.admin.ch/fr/rapport-devaluation-du-marche-suisse-des-telecom­ munications, 15.03.2024

OFCOM (2025a): Atlas de la large bande, https://www.bakom.admin.ch/fr/atlas-de-la- large-bande, consulté pour la dernière fois le 25.04.2025

OFCOM (2025b): Nombre de fournisseurs de services de télécommunication, https://www.bakom.admin.ch/fr/nombre-de-fournisseurs-de-services-de-telecommuni­ cation, consulté pour la dernière fois le 07.08.2025

OFCOM (2025c): Services de télécommunication sur numéros courts, https://www.bakom.admin.ch/fr/services-de-telecommunication-sur-numeros-courts, consulté pour la dernière fois le 07.08.2025 83/85

OFCOM (2025d): Umfrage zu Kosten im Bereich Notkommunikation, non publié

OFJ (2024) : Informations destinées aux organes fédéraux, https://www.bj.ad­ min.ch/bj/fr/home/staat/datenschutz/info-bundesbehoerden.html, guide de législation en matière de protection des données, 01.03.2024

OFPP (2023): Stratégie nationale de protection des infrastructures critiques, https://www.babs.admin.ch/fr/strategie-nationale-de-protection-des-infrastructures-cri­ tiques, 19.09.2023

OFPP (2024): Factsheet zum kritischen Teilsektor Telekommunikation, https://www.babs.admin.ch/fr/les-infrastructures-critiques, 04.2024

OFS (2023): Tableau Input-Output 2017, https://www.bfs.admin.ch/bfs/fr/home/statis­ tiques/construction-logement/batiments/categorie.html, 05.12.2023

OFS (2024): Catégorie de bâtiment, https://www.bfs.admin.ch/bfs/fr/home/statis­ tiques/construction-logement/batiments/categorie.html, consulté pour la dernière fois le 08.08.2025

Schwaab, Jean-Christophe (2023): Pour une souveraineté numérique, Lausanne: Sa­ voir suisse

Stadt Zürich (2020): Reglement über die Koordination von Bauarbeiten im öffentlichen Grund (Baukoordinationsreglement), https://www.stadt-zuerich.ch/de/politik-und-ver­ waltung/politik-und-recht/amtliche-sammlung/7/702/200.html, 26.02.2020

Swisscom (2024): Bericht zur Entbündelung und Interkonnektion; https://www.swisscom.ch/content/dam/swisscom/de/ws/documents/D_Entbuende­ lung/bericht_zur_entbuendelungundinterkonnektion12-2024.pdf, consulté pour la der­ nière fois le 08.08.2025

Swisscom (2025a): Couverture fibre optique FTTH, https://www.swisscom.ch/fr/about/reseau/carte-extension-reseau-fibre.html, consulté pour la dernière fois le 07.08.2025

Swisscom (2025b): Géolocalisation pour les autorités et organisations chargées du sauvetage et de la sécurité (AOSS) en Suisse, https://www.swisscom.ch/fr/busi­ ness/enterprise/offre/bors/sos-database.html, consulté pour la dernière fois le 07.08.2025

Swisstopo (2024a): Réalisation du cadastre des conduites Suisse, https://www.ca­ dastre.ch/fr/https://www.cadastre.ch/fr/realisation-du-cadastre-des-conduites-du-ca­ dastre-des-conduites, 12.06.2024

Swisstopo (2024b): Extensions, https://www.cadastre.ch/fr/realisation-du-cadastre- des-conduites, 12.06.2024

UE (2020): Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox- risk-mitigating-measures, 23.01.2020

WIK (2017): Modélisation des coùts d’un réseau national à large bande passante en Suisse WIK, https://www.bakom.admin.ch/fr/analyses-economiques, 05.10.2017 84/85

WIK (2019): Parallele Glasfaserausbauten als Möglichkeiten zur Schaffung von Infra­ strukturwettbewerb (Nr. 456), https://www.wik.org/veroeffentlichungen/veroeffentli­ chung/nr-456-parallele-glasfaserausbauten-als-moeglichkeit-zur-schaffung-von-infra­ strukturwettbewerb, 12.2019

85/85