Deux ans après les révélations du lanceur d’alerte de la NSA, Edward Snowden, la Suisse prend un tournant problématique : au lieu de limiter la surveillance de masse, elle étend sa portée. Différents groupements politiques, notamment des partis de jeunesse et des cybermilitant·e·s, ont déjà annoncé leur intention de lancer un référendum. Si le Conseil national et le Conseil des Etats approuvent ces deux lois en automne après avoir éliminé de petites divergences (voir encadré), la Suisse sera confrontée à un débat d’envergure sur la surveillance étatique.

Mais procédons dans l’ordre. Au début de 2013, la ministre de la Justice Simonetta Sommaruga présentait la révision totale de la LSCPT. Sous un nom qui pourrait prêter à sourire, un projet de loi plutôt menaçant : le champ d’application de la loi serait élargi, la durée autorisée de conservation des données de communication prolongée et les autorités de poursuite pénale recevraient de nouveaux moyens et équipements pour faciliter la surveillance de la communication via les téléphones portables, le téléphone ou Internet.

Ce projet de loi a déjà suscité de vives critiques durant la consultation. Sur plus de cent participant·e·s, quatre ont appuyé la loi sans réserve : les cantons d’Uri, d’Obwald, de Genève et La Poste Suisse. Tous les autres ont émis des réserves. Qu’implique la LSCPT ? La loi apporte cinq nouveautés controversées.

Cinq nouveautés controversées

1. Les chevaux de Troie étatiques. Sous l’appellation sibylline de GovWare, ils permettent à la police et aux ministères publics d’accéder à l’ordinateur de personnes considérées comme suspectes pour y chercher des preuves. Comme aujourd’hui, les criminels ne communiquent plus par téléphone ou courriel mais au moyen de services et de programmes codés tels que Skype ou PGP, il est impossible de mettre sur écoute des conversations téléphoniques ou d’intercepter des courriels. C’est pourquoi le piratage direct des ordinateurs de suspects doit être rendu possible. La mesure n’est pas contestée pour la seule raison qu’elle constitue une atteinte à la sphère privée des personnes soupçonnées, mais aussi parce que l’opération, complexe sur le plan technique, présente de nombreuses lacunes. Le risque existe, par exemple, que maintes données récoltées par un cheval de Troie s’avèrent non pertinentes pour la poursuite pénale. En outre, très peu d’opérateurs sont en mesure de programmer un cheval de Troie en tenant compte des restrictions prescrites par la législation. Enfin, un cheval de Troie présente des lacunes en matière de sécurité que d’autres institutions peuvent exploiter. Plus prosaïquement, c’est comme si la police ouvrait une brèche dans le mur pour fouiller l’appartement d’un suspect, sans la refermer ensuite.

2. Les IMSI-catchers. Ce sont des appareils qui fonctionnent comme des aspirateurs. Mais au lieu d’aspirer la poussière, ils récoltent des données. Ils peuvent identifier des détenteurs de téléphones portables dans un rayon d’un kilomètre. Les appareils sont aujourd’hui de si petite taille qu’on peut les mettre dans un sac à dos. Ils s’apparentent à une antenne-relais agissant entre le téléphone mobile espionné et les antennes-relais de l’opérateur téléphonique. Ils permettent de pister le trafic des téléphones portables et de détecter dans le monde entier les numéros d’identification (International Mobile Subscriber Identity, IMSI) de leurs détenteurs. Selon l’équipement de ces appareils, il est possible non seulement de lire les numéros, mais encore de procéder à des manipulations sur le natel et d’intercepter des conversations téléphoniques.

Les IMSI-catchers peuvent être utiles pour rechercher des personnes disparues. Mais ils servent aussi aux recherches par quadrillage ou par profilage pour le compte de services de renseignement ou de police. On peut ainsi surveiller par exemple tous les participants à une manifestation. Dans les régimes autoritaires, ces appareils sont donc très prisés pour identifier et poursuivre des opposants au gouvernement.

Bien que l’utilisation des IMSI-
catchers ne soit pas encore réglementée par la législation, la Police judiciaire fédérale en fait déjà usage. L’année dernière, la police cantonale zurichoise a même fait l’acquisition de deux IMSI-catchers. Mais elle n’a pas divulgué les modèles achetés, ni le nom des fournisseurs.

3. La conservation des données.

De nombreuses voix se sont élevées contre l’extension de la durée autorisée de conservation des données. Les données de communication dites secondaires donnent des informations sur qui téléphone ou échange des courriels, quand, où, avec qui et pendant combien de temps. Aujourd’hui, les opérateurs tels que Swisscom, Sunrise ou Salt sont tenus par la loi de conserver ces données pendant six mois. A l’avenir, ce délai sera prolongé d’une année. Si une procédure pénale est ouverte à l’encontre d’un suspect, les autorités peuvent exiger la production de ces données.

Et c’est là que se pose le problème de la conservation des données : elles sont stockées préventivement sans motif ni soupçon, au cas où une personne commettrait ultérieurement une infraction à la loi. Dans une interview sur la conservation des données de communication, le préposé fédéral à la protection des données Hanspeter Thür a déclaré que cette méthode est « délicate sur le plan des droits fondamentaux », car « on instaure ainsi un soupçon généralisé ». C’est pourquoi de larges milieux politiques considèrent la conservation des données comme une mesure de surveillance préventive, même si les données ne peuvent être évaluées qu’a posteriori et avec le seul assentiment d’un tribunal des mesures de contrainte. En effet, la surveillance ne commence pas lors de l’analyse des données mais déjà au moment de leur collecte.

Plusieurs cours constitutionnelles en Allemagne et en Autriche, ainsi que la Cour de justice des Communautés européennes (CJCE), ont jugé la conservation des données comme une atteinte disproportionnée aux droits fondamentaux et non légitime. En Allemagne, plusieurs tentatives d’introduire la conservation des données ont échoué en raison d’une forte résistance. Actuellement, le gouvernement débat sur une durée autorisée de conservation des données de dix semaines.

Même si la législation suisse en matière de conservation des données repose sur une meilleure assise juridique que d’autres lois européennes comparables, le Tribunal administratif fédéral a été saisi d’un recours. Il émane de l’ONG Société numérique suisse (Digitale Gesellschaft), une alliance formée de groupes politiques et de cybermilitants, en collaboration avec le journaliste et directeur du centre de formation des médias (MAZ) Dominique Strebel et le conseiller national vert, et membre de syndicom, Balthasar Glättli. La partie plaignante considère comme non légitime l’extension de la durée de conservation de six à douze mois, ainsi que le stockage des données. Son recours est toujours pendant auprès du Tribunal administratif fédéral. Les plaignants ont annoncé leur intention de porter si nécessaire le jugement, attendu cette année, devant la Cour européenne des droits de l’homme à Strasbourg. Pendant des années, Balthasar Glättli a dû se battre devant le tribunal pour obtenir ses propres données. L’année dernière, il les a mises à disposition du portail en ligne watson.ch pour montrer ce qu’elles dévoilent sur sa personne. Même si le contenu de ses communications n’a pas été archivé, elles donnent des indications détaillées sur les emplacements où B. Glättli a séjourné pendant une demi-année, les endroits où il a dormi, les personnes avec qui il a discuté et le nombre et l’heure d’envoi des textos échangés avec sa conjointe.

4. L’élargissement du champ d’application. La LSCPT s’applique actuellement aux seuls opérateurs télécom mais à l’avenir, de simples fournisseurs de messagerie ou de réseaux WLAN devront aussi se conformer à la loi. Les restaurants ou hôtels qui proposent un réseau ouvert pourront donc être tenus de transmettre leurs données de communication. De sérieuses conséquences financières pourraient en résulter, surtout pour les petits fournisseurs.

5. L’accès des services secrets aux données. Une innovation contestée n’est certes pas réglementée dans la LSCPT, mais en dépend directement : l’association dangereuse de la LSCPT avec la loi sur les services secrets. Même si la ministre de la Justice Simonetta Sommaruga rappelle à chaque occasion qu’il ne faut pas faire un amalgame entre la LSCPT et la loi sur le renseignement (LRens) et que la LSCPT n’a rien à voir avec des formes de surveillance préventives, les deux lois sont intrinsèquement liées. En cas d’acceptation des deux lois sur la surveillance, les services secrets auraient accès aux données récoltées dans le cadre de la LSCPT. La loi dispose que cette atteinte à la sphère privée doit être autorisée. Le Tribunal administratif fédéral doit donner son consentement. Mais la mesure demeure extrêmement discutable sur le plan juridique, car le suspect n’a aucune possibilité de savoir s’il est surveillé par les services secrets, encore moins de faire recours contre cette surveillance.

Quatre « cavaliers de l’Apocalypse »

La conseillère fédérale Simonetta Sommaruga argue que les innovations techniques impliquent d’indispensables adaptations de la loi. A ses yeux, Internet ne devrait pas être laissé aux criminels. Quant à eux, les partisans d’une surveillance accrue entonnent toujours la même antienne : sans dispositifs de surveillance bien rodés, on ne pourrait pas poursuivre certains délits graves. L’avocat Martin Steiger, spécialisé en droit numérique, a qualifié ces délits de « cavaliers de l’Apocalypse » de Sommaruga : commerce de drogue, pornographie infantile, terrorisme et criminalité organisée.

En 2013, la WochenZeitung ( WOZ ) analysait pour la première fois l’ensemble des statistiques sur les surveillances ordonnées dans toute la Suisse. Ces statistiques montrent que trois de ces quatre « cavaliers de l’Apocalypse » jouent un rôle très marginal. En 2012, près de 40 % des surveillances ont été ordonnées pour cause d’infractions liées aux stupéfiants. Sur plus de 10 000 mandats de surveillance, seuls 41 cas concernaient la pornographie infantile ; 79 la criminalité organisée et 239 le terrorisme.

La convoitise et le désir d’en savoir plus semblent l’emporter sur la nécessité et l’efficacité. Or aucune preuve tangible ne semble confirmer que ce développement est indispensable. En examinant l’utilité de la conservation des données de communication, l’institut allemand Max-Planck a même abouti à une conclusion qui étaye cette constatation. Dans une étude publiée en 2010, on peut lire que rien ne permet de conclure « que la conservation des données telle que pratiquée en Suisse depuis près de dix ans conduise à une élucidation de cas systématiquement plus élevée [qu’en Allemagne] ».

Dans le débat sur la LSCPT, on s’appuie par conséquent volontiers sur les affirmations de groupes d’intérêt. Bien sûr, les ministères publics préfèrent avoir plus d’informations, accéder à de plus grands volumes de données et disposer de moyens plus efficaces de surveillance. Mais sont-ils vraiment nécessaires ? Et justifient-ils une atteinte si grave à la sphère privée des citoyens ?

* Journaliste à la WochenZeitung

Traduction Alexandrine Bieri