La consultation sur la surveillance des télécommunications soulève des questions quant à ses implications sur le chiffrement des communications.
Une redéfinition des responsabilités dans la surveillance des télécommunications
Depuis le 29 janvier 2025, une consultation publique lancée par le Conseil fédéral suisse sur la révision de deux ordonnances clés – l’Ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) et l’Ordonnance du DFJP sur la mise en œuvre de la surveillance de la correspondance par poste et télécommunication (OME-SCPT) – soulève des questions pour notre espace numérique. Derrière cette consultation se profile une redéfinition des obligations des acteurs du numérique, notamment en matière de suppression des chiffrements en Suisse.
Clarification des obligations : qui est concerné et à quel niveau ?
La révision de l’OSCPT, en lien avec la modification de la Loi sur les télécommunications (LTC) de 2019, introduit une classification plus fine des entités tenues de collaborer avec les autorités dans le cadre de la surveillance des télécommunications. Comme le précise le communiqué de presse du Conseil fédéral du 29 janvier 2025 référencé ci-après, l’objectif est de moderniser un cadre devenu obsolète face à la diversité des services numériques actuels. On distingue désormais clairement les fournisseurs d’accès classiques (FST) des fournisseurs de services de communication dérivés (FSCD), une catégorie potentiellement vaste incluant les messageries chiffrées, les services VPN et proxy, ainsi que les plateformes de communication à grande échelle.
Selon leur taille et leur modèle économique, ces fournisseurs se verront attribuer différents niveaux d’obligations : minimales, restreintes ou complètes. Ceux soumis aux obligations complètes devront traiter les demandes d’identification et de surveillance, qu’elles soient en temps réel ou différées, dans des délais très courts – un jour ouvré, voire six heures en dehors des horaires standards. Cette standardisation des procédures, détaillée sur la page d’information de la Chancellerie fédérale, vise à renforcer l’efficacité des enquêtes.
La délicate question de la suppression des chiffrements et l’article 50a
Un aspect particulièrement sensible de cette révision concerne la suppression des chiffrements. L’article 50a du rapport explicatif de la consultation détaille cette obligation et les nuances qui l’entourent. Il est important de noter que cette question n’est pas nouvelle. Comme le souligne le rapport, « la critique avait été entendue durant la consultation relative à la modification de l’OSCPT du 15 novembre 2023 que l’obligation de supprimer les chiffrements opérés par les fournisseurs allait permettre de surveiller les échanges par messagerie instantanée (« tchats »), ce qui contreviendrait aux droits humains ».
Le rapport explicatif s’appuie également sur l’arrêt « Threema » (2C_544/2020) du Tribunal fédéral, qui a précisé la manière dont sont définis les FST et les FSCD dans la LSCPT. Cet arrêt a conduit le Service de surveillance de la correspondance par poste et télécommunication (Service SCPT) à modifier sa pratique.
L’article 50a précise que « l’obligation de supprimer les chiffrements ne concerne pas les chiffrements de bout en bout entre les clients finaux, plus précisément entre leurs équipements terminaux ou les applications qu’ils utilisent pour communiquer. Dans ce cas, ce n’est généralement pas le fournisseur qui appose le chiffrement et il ne dispose pas de la clé ». Cependant, le rapport ajoute une nuance importante : « Toutefois, si c’est une clé du fournisseur qui est utilisée pour le chiffrement, c’est-à-dire si le fournisseur est en mesure de déchiffrer la correspondance par télécommunication chiffrée de la personne surveillée, le fournisseur est alors tenu de supprimer les chiffrements ».
En résumé, l’obligation de suppression du chiffrement s’applique lorsque le fournisseur a la capacité technique de déchiffrer les communications, mais elle exclut explicitement le chiffrement de bout en bout où le fournisseur n’a pas accès aux clés de déchiffrement.
Enjeux et impacts : un équilibre fragile entre sécurité et vie privée
Cette révision des ordonnances soulève des enjeux pour les professionnels de la cybersécurité et les utilisateurs en général. L’obligation de collaboration accrue pour un large éventail de fournisseurs de services numériques pourrait entraîner une complexification de leurs infrastructures et une augmentation des coûts opérationnels. De plus, la distinction entre les différents niveaux d’obligations nécessitera une analyse approfondie de la part des acteurs concernés pour s’assurer de leur conformité.
Au-delà des aspects techniques, c’est la question de l’équilibre entre la nécessité de la sécurité et la protection de la vie privée qui est au cœur du débat. Si la clarification du cadre légal peut renforcer les capacités d’enquête des autorités, les obligations imposées aux fournisseurs, notamment en matière de suppression de chiffrement (hors E2EE, end-to-end encryption) et de délais de réponse très courts restent aussi des aspects à considérer.
Pour rappel, le chiffrement de bout en bout est un système de communication où seules les personnes qui communiquent peuvent lire les messages. Un message est chiffré par l’expéditeur, et seul le destinataire possède la clé pour le déchiffrer. Cela signifie que même le fournisseur du service de communication (par exemple, une application de messagerie) ne peut pas accéder au contenu des messages échangés.
Pour en savoir plus
Surveillance des télécommunications et entreprises obligées de collaborer : ouverture d’une consultation
Berne, 29.01.2025 – Le 29 janvier 2025, le Conseil fédéral a ouvert une consultation sur une révision partielle de deux ordonnances d’exécution de la surveillance de la correspondance par poste et télécommunication (OSCPT et OME-SCPT). L’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) inclut désormais des définitions claires des différentes catégories de personnes obligées de collaborer. Des précisions sont aussi apportées concernant la suppression des chiffrements, étant entendu qu’il ne s’agit explicitement pas des chiffrements de bout en bout tels que ceux qui sont opérés, par exemple, par les services de messagerie.
L’arrêt Threema du 29.04.2021
Le 29 janvier 2019, la société A.__ GmbH a déposé un recours auprès du Tribunal administratif fédéral, demandant l’annulation de l’ordonnance du Service de surveillance de la poste et des télécommunications du 13 décembre 2018 et sa déclaration en tant que fournisseur de services de communication dérivés conformément à l’article 2, lettre c), de la loi sur la surveillance du Tribunal administratif fédéral
Surveillance et chiffrement : à son tour, la Suisse est-elle en train de tourner le dos à la vie privée ?
Derrière une révision technique en apparence anodine, les voix commencent à s’élever pour dénoncer un contournement démocratique aux effets bien réels : identification systématique, collecte imposée de données, obligation de lever certains chiffrements. En Suisse, le mythe de la confidentialité…
(Re)découvrez également:
Révisions de la surveillance des télécommunications en Suisse : Qu’est-ce qui change?
Le Conseil fédéral suisse révise les ordonnances de surveillance des télécommunications pour clarifier les obligations des entreprises et standardiser les pratiques.
Les polices européennes s’inquiètent du chiffrement de bout en bout
Les chefs de police européens soulignent la nécessité de nouveaux mécanismes ou législations permettant un accès légal aux informations dans des circonstances spécifiques et justifiées
Chiffrement de bout en bout : quel équilibre entre vie privée et sécurité sur Signal et WhatsApp ?
La technologie de client-side scanning pourrait aider à détecter des activités criminelles sur Signal et WhatsApp, mais elle soulève des préoccupations aujourd’hui.
