18.3507 · Motion · 2018-06-13
Département de justice et police
Liquidé
Wortlaut
Le Conseil fédéral est chargé d'adapter l'ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) pour que les personnes obligées de collaborer qui sont visées à l'article 2 lettres b à f, LSCPT ne puissent enregistrer que les données de connexion dans le cadre des communications Internet.
Begründung
Lors de la révision de la LSCPT, le Conseil fédéral a promis à plusieurs reprises que, dans le cadre des communications Internet, seules les données de connexion (données secondaires) pourraient être enregistrées par les personnes obligées de collaborer. Or, l'ordonnance édictée par le Conseil fédéral pour mettre la loi en oeuvre autorise les fournisseurs à enregistrer systématiquement toutes les données de navigation. Cette atteinte supplémentaire aux droits fondamentaux, qui touche aussi des citoyens innocents, n'a pas été prévue par le législateur et doit donc être corrigée.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter la motion.
Stellungnahme des Bundesrates
Ni la loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1), ni ses ordonnances d'application ne prescrivent aux personnes obligées de collaborer de conserver le contenu (charge utile) de communications Internet. Il n'y a en particulier aucune obligation de conserver les paquets de données IP entiers, c'est-à-dire avec la charge utile, ni même tous les en-têtes IP. Il n'existe donc pas de base légale permettant d'établir rétroactivement quels sites un internaute a visités, et encore moins de connaître le contenu des communications. Ces informations ne peuvent être obtenues qu'en temps réel, avec un ordre donné par un procureur et approuvé par un juge, et uniquement à partir du moment où la surveillance est activée.
La loi exige uniquement de certains fournisseurs qu'ils soient en mesure d'identifier rétroactivement et de manière univoque l'auteur ou l'origine d'une connexion Internet donnée, pour autant que l'autorité habilitée à obtenir ce renseignement livre les indications nécessaires à cette fin, en particulier concernant l'heure de la connexion. Au final, la démarche est la même que pour une demande de renseignement concernant une inscription dans un annuaire téléphonique : l'objectif est d'identifier le client qui a établi une connexion Internet donnée à un moment donné. La différence est que le renseignement recherché n'est pas un numéro de téléphone, mais une adresse IP source.
De nombreux fournisseurs n'attribuent pas des adresses IP de manière univoque à leurs clients, mais utilisent par exemple des procédures de traduction d'adresses à large échelle de type "carrier-grade network address translation" (CGNAT). Avec ces systèmes, la même adresse IP publique est utilisée simultanément par une multitude de clients. Dans ce cas, une demande portant sur une adresse IP d'origine et un moment donné livre un grand nombre de résultats. Seul le fournisseur qui exploite le système CGNAT est en mesure de relier les connexions Internet aux différents clients. Ce fournisseur doit dès lors conserver d'autres informations en plus de l'adresse IP publique attribuée à un client et du moment de l'attribution. La conservation des adresses IP de destination, grâce auxquelles il est possible de déterminer le nom de domaine d'une page Internet visitée, peut donc être nécessaire si le fournisseur en a besoin pour identifier de manière univoque l'auteur ou l'origine d'une connexion Internet donnée.
En vertu de l'article 22 LSCPT, les fournisseurs sont tenus de livrer au Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) toute indication permettant d'identifier l'auteur d'un acte punissable. Ils sont cependant libres de décider comment ils souhaitent assurer cette identification sur le plan technique. Se fondant sur l'art. 22, al. 2, LSCPT, le Conseil fédéral a précisé, à l'article 21 de l'ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication (OSCPT ; RS 780.11), les données secondaires qui doivent être conservées à des fins d'identification. Les données secondaires ne contiennent pas d'informations sur le contenu des télécommunications, elles ne font qu'indiquer qui est ou a été en connexion avec qui, par quel moyen, à quel moment et à quel endroit. Les données secondaires relatives à l'attribution et à la traduction des adresses IP et des numéros de ports doivent être conservées pendant six mois et ensuite détruites, afin de réduire au minimum l'atteinte aux droits fondamentaux.
Il faut par ailleurs relever que l'obligation de conserver les données secondaires à des fins d'identification ne s'applique par à tous fournisseurs, mais uniquement aux fournisseurs de services de télécommunication qui n'ont pas été dispensés de certaines obligations en matière de surveillance (art. 26 al. 6, LSCPT, art. 51 OSCPT) et aux fournisseurs de services de communication dérivés ayant des obligations étendues en matière de surveillance (art. 27 al. 3, LSCPT, art. 52 OSCPT). Seuls un petit nombre de grands fournisseurs sont ainsi concernés.
Le rapport explicatif sur la révision de l'OSCPT dit clairement, enfin, que pour des raisons tenant au droit de la protection des données, il y a lieu de mettre en place des procédures dans lesquelles il n'est pas nécessaire d'enregistrer la destination des liaisons (adresses IP de destination). Le Conseil fédéral n'entend néanmoins pas restreindre la liberté économique des opérateurs. Il ne prescrit donc pas la procédure à mettre en place, mais uniquement le but visé, à savoir identifier les auteurs d'infractions par Internet et les personnes en cas de menaces pour la sûreté intérieure ou extérieure.
Le Conseil fédéral propose de rejeter la motion.