Rapport de transparence

Surveillance sur Internet : qui les autorités peuvent-elles surveiller et quand ?

Dans le cadre de leurs enquêtes, les autorités de poursuite pénale peuvent surveiller le trafic Internet privé des personnes. Dans ces cas, les fournisseurs d’accès Internet doivent communiquer rétroactivement aux autorités des informations sur la base de ce que l’on appelle les « données secondaires » (ou également les « données conservées »), voire permettre une surveillance en temps réel du trafic de données. Toutefois, les surveillances ne sont autorisées que sous certaines conditions. Alors qu’Init7 n’a fourni des informations sur les demandes IP que dans 4 cas en 2019, ce chiffre est passé à 68 en 2024. Il a augmenté ces dernières années, car les obstacles aux demandes de surveillance sont de plus en plus faibles.

Ruedi Widmer dans « Saldo », février 2017

Service SCPT

Le Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) est compétent pour les demandes de surveillance. Il fait partie du Département fédéral de justice et police (DFJP). Selon ses propres indications, le Service SCPT veille à ce que les surveillances soient mises en œuvre conformément au droit et à l’État de droit, et que la sphère privée de la population soit protégée.

Surveillance rétroactive vs surveillance active

En principe, on distingue la surveillance rétroactive de la surveillance active. La première s’appuie sur des données enregistrées, appelées « données secondaires ». Dans le cas de la seconde, il est effectué une surveillance en temps réel, ce qui permet aux autorités d’accéder à des données supplémentaires.

Surveillance rétroactive

Les fournisseurs d’accès Internet doivent conserver les données secondaires de chaque personne pendant six mois. En cas de surveillance rétroactive, elles permettent de savoir avec qui, quand, pendant combien de temps et depuis où une personne a été connectée via Internet. En outre, les caractéristiques techniques de la connexion sont visibles. Vous en trouverez un exemple clair sur le site web de Société Numérique (en allemand).

Surveillance active

Dans le cas de la surveillance active, le flux de données est surveillé en temps réel. Cela permet aux autorités de poursuite pénale d’accéder à des informations supplémentaires. Il s’agit, par exemple, du contenu des messages entrants et sortants (e-mails, chats) ou des conversations (téléphonie par Internet).

Quand les autorités peuvent-elles surveiller quelqu’un ?

La loi fédérale sur la surveillance de la correspondance par poste et télécommunication autorise la surveillance de personnes dans les cas suivants :

  • dans le cadre d’une procédure pénale
  • lors de l’exécution d’une demande d’entraide judiciaire
  • dans le cadre de la recherche de personnes disparues
  • dans le cadre de la recherche de personnes condamnées à une peine privative de liberté ou qui font l’objet d’une mesure entraînant une privation de liberté
  • dans le cadre de l’exécution de la loi fédérale sur le renseignement

Dans le cadre de procédures pénales, une surveillance ne peut être ordonnée que si l’on soupçonne fortement qu’une infraction a été commise et que sa gravité le justifie. En outre, la surveillance n’est autorisée que pour certaines infractions. Enfin, les actes d’enquête accomplis jusqu’à présent doivent être restés infructueux ou les investigations doivent être vouées à l’échec ou être rendues excessivement difficiles sans la surveillance.

En 2020, plus de la moitié des surveillances concernaient des infractions contre le patrimoine, suivies par les infractions à la loi sur les stupéfiants.

Source : Rapport annuel 2020 Service SCPT

Le réseau Tor empêche la surveillance

L’enregistrement des données secondaires et les surveillances correspondantes s’effectuent sur la base des adresses IP utilisées. Chaque appareil connecté à Internet utilise sa propre adresse IP, ce qui permet d’attribuer les connexions et les flux de données aux appareils respectifs et d’identifier les personnes qui se trouvent derrière. Ceux qui le souhaitent peuvent toutefois masquer leur adresse IP en utilisant le réseau Tor.

Le réseau Tor permet de garder son adresse IP secrète et, ce faisant, de surfer de manière anonyme sur Internet. Si une personne utilise le réseau Tor, les données collectées par la surveillance ne sont pas pertinentes, car son adresse IP est également utilisée par d’autres utilisateurs du réseau Tor. L’identification de l’appareil à partir duquel un paquet de données a effectivement été envoyé est donc beaucoup plus difficile, même si possible, en vue de poursuites judiciaires.

De plus, des rumeurs courent selon lesquelles les forces de l’ordre fouillent elles-mêmes dans le réseau Tor pour intercepter le trafic de données. Les réseaux Tor ne garantissent donc pas la confidentialité totale de ce dernier. En outre, ils génèrent des pertes de performance considérables.

Demandes du Service SCPT à Init7

Les demandes du Service SCPT ont drastiquement augmenté ces dernières années. Init7 a répondu aux renseignements dits « simples ». Les renseignements simples peuvent éventuellement porter sur des données secondaires. Un renseignement simple est également susceptible, par exemple, de ne contenir que le nom et l’adresse d’une connexion donnée.

Le fait que, depuis 2020, les demandes formulées par les autorités cantonales de poursuite pénale au Service SCPT soient gratuites constitue probablement l’une des raisons de l’augmentation considérable des renseignements. C’est ce que le Conseil fédéral a inscrit dans l’ordonnance sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication (art. 3, al. 4b ). L’absence de taxe incite les autorités de poursuite pénale à effectuer beaucoup plus de recherches que ce qui est supposé être nécessaire.

Les fournisseurs d’accès Internet ne sont pas correctement indemnisés

Pour les entreprises qui fournissent des informations, cela pose un problème dans la mesure où elles doivent de facto supporter elles-mêmes les coûts de traitement des demandes. En 2018, l’indemnité que les fournisseurs soumis à l’obligation de coopérer reçoivent du Service SCPT pour un simple renseignement a été réduite de 250 francs à 3 francs. Et ce, bien que la LSCPT (art. 38) prévoie une indemnisation adéquate pour les fournisseurs d’accès.

Init7 a porté plainte contre cette réduction massive de l’indemnisation. Selon les dossiers judiciaires, Init7 consacre 37 minutes à un simple renseignement. Une indemnisation de 3 francs est donc tout sauf appropriée. Le Tribunal administratif fédéral a donné raison à Init7 dans un arrêt du 10 juin 2020, mais le Tribunal fédéral a ensuite renversé la décision dans un arrêt du 27 juillet 2021. Manifestement, le Tribunal fédéral n’a pas voulu désavouer le Conseil fédéral qui, du point de vue d’Init7 (et du point de vue du Tribunal administratif fédéral), a clairement outrepassé sa marge d’appréciation.

L’arrêt du Tribunal fédéral nous semble être un pas de plus vers l’extension de la surveillance en Suisse. Il s’inscrit dans la tendance observée depuis des années, qui consiste à développer constamment cette dernière.

Informations complémentaires