Questions et réponses sur la nouvelle loi (LSCPT) et ses ordonnances de mise en œuvre

La nouvelle loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT) et ses ordonnances de mise en œuvre entreront en vigueur le 1er mars 2018. Ainsi en a décidé le Conseil fédéral lors de sa séance du 15 novembre 2017. Le Parlement avait adopté la loi le 18 mars 2016. Le référendum qui avait été lancé n'a pas abouti. L'objectif de cette loi est de donner à la Suisse des bases légales claires et adaptées à l'évolution technologique pour la surveillance des télécommunications et du courrier postal. Les autorités de poursuite pénale doivent disposer des outils nécessaires pour élucider les infractions commises à l'aide des nouvelles technologies.

Non, ces points d'accès publics resteront bien entendu autorisés. Afin d'élucider des infractions graves, la police et les ministères publics doivent néanmoins pouvoir aussi surveiller, sur autorisation d'un juge, les télécommunications transitant par ces points d'accès WLAN. Ils doivent avoir la possibilité d'identifier les internautes, lorsque les conditions légales d'une enquête sont réunies, comme ils le peuvent aujourd'hui déjà pour les usagers d'un raccordement téléphonique fixe ou mobile. À défaut, il serait trop facile pour les criminels de rester anonymes.

Pour élucider des infractions, la police et les ministères publics doivent aussi pouvoir identifier les utilisateurs d'un accès WLAN public, lorsque les conditions légales d'une enquête sont réunies. Cela n'est possible que si ces utilisateurs se connectent au réseau WLAN en question avec des données d'accès et s'ils se sont au préalable identifiés au moins indirectement. Des solutions existent déjà, qui sont conviviales pour les utilisateurs et peu coûteuses pour les fournisseurs. Elles sont par exemple utilisées dans les gares, les cars postaux ou les aéroports, avec une connexion et une identification grâce à un code de confirmation envoyé par SMS. D'autres méthodes sont envisageables : carte de crédit, carte d'embarquement dans un aéroport ou bon de réservation à l'hôtel, avec un code lié au numéro de chambre. Les autorités de poursuite pénale ont ainsi une chance réaliste de découvrir qui utilise ou a utilisé un réseau WLAN pour planifier ou commettre une infraction. Une copie d'une pièce d'identité, comme certains médias l'ont évoqué, ne sera cependant pas exigée.

Pour les autorités de poursuite pénale, l'identification indirecte est un progrès, car il n'y avait jusqu'à présent aucune obligation de s'identifier de quelque manière que ce soit lors de l'utilisation d'un réseau WLAN public. Une lacune demeure cependant dans tous les cas où l'identification continuera de ne pas être obligatoire. L'obligation de s'identifier ne vaut en effet que pour les réseaux WLAN gérés à titre professionnel (voir question 5).

Non. Les ordonnances n'ont pas été durcies, mais au contraire assouplies. De nombreuses demandes des fournisseurs de prestations ont été prises en compte : différentes dispositions ont été adaptées, des délais ont été prolongés et certaines règles ont été biffées, en particulier concernant la question de l'identification des utilisateurs d'un réseau WLAN. Il ne s'agit pas ici de surveillance, mais uniquement de la possibilité d'identifier un utilisateur donné à l'aide de certaines informations (par ex. un numéro de téléphone mobile), c'est-à-dire indirectement.

Les ordonnances, qui ont également été soumises pour avis aux commissions des affaires juridiques du Parlement, ont été adaptées sur les points suivants :

  • Seuls doivent pouvoir être identifiés les utilisateurs finaux d'un réseau WLAN géré à titre professionnel, c'est-à-dire, par exemple, le réseau d'une gare ou d'un aéroport. De nombreux fournisseurs disposent aujourd'hui déjà de systèmes permettant d'identifier rapidement et simplement les utilisateurs, par exemple via un SMS.
  • Cette obligation d'identification indirecte ne vaut que pour les réseaux WLAN gérés à titre professionnel. La personne qui gère elle-même son réseau public n'a pas de dispositions particulières à prendre et n'est pas tenue d'être en mesure d'identifier qui que ce soit, même si elle gère ce réseau par exemple dans le cadre d'un festival open-air. Sur ordre des autorités de poursuite pénale et après autorisation d'un juge, elle doit simplement fournir les données dont elle dispose. Il en va de même pour le propriétaire d'un hôtel ou d'un restaurant qui met lui-même son réseau WLAN à la disposition de ses clients.
  • Les fournisseurs d'accès à internet de moindre envergure économique ou opérant dans les domaines de l'éducation et de la recherche peuvent être dispensés de certaines obligations de surveillance. Ces fournisseurs d'accès ayant des obligations restreintes en matière de surveillance ne sont pas tenus de conserver les données secondaires des connexions internet établies via leur réseau WLAN public. Ils ne doivent enregistrer que les données saisies au moment de l'identification de l'utilisateur et les conserver aussi longtemps que le droit d'accès de l'utilisateur est valable et six mois au-delà.
  • Pour les utilisateurs eux-mêmes, rien ne change, ils ne seront en aucune façon limités dans leurs habitudes de navigation sur internet.

Non. Les particuliers qui mettent leur accès internet à la disposition de tiers ne devront surveiller personne ni enregistrer des données pour les livrer à la police ou au ministère public dans le cadre d'une enquête. Ils devront néanmoins livrer les données dont ils disposent et fournir des renseignements si un ministère public s'adresse au Service SCPT pour les obtenir. Ils devront aussi tolérer des surveillances ordonnées et autorisées que le Service SCPT serait appelé à mener.

Non. Le particulier qui met son accès internet à la disposition de tiers doit uniquement livrer au Service SCPT les données dont il pourrait disposer, fournir des renseignements et tolérer une surveillance qui serait réalisée par le Service SCPT. Ce dernier ne peut mettre en place une surveillance que dans le cadre d'une enquête menée par la police et le ministère public pour élucider une infraction, et seulement si la surveillance est ordonnée par le ministère public et autorisée par le tribunal compétent.

À partir du 1er mars 2018, les personnes qui achètent une carte SIM devront présenter une pièce d'identité pour que le fournisseur en fasse une copie. Si l'acheteur peut s'identifier à l'aide d'un moyen d'identification électronique valable (eID) ou d'un service d'identification en ligne, il n'a pas besoin de se présenter en personne.

Au demeurant, les fournisseurs ont déjà l'obligation d'identifier les usagers au moyen d'un document officiel (sans conserver de copie) pour l'achat d'une carte SIM à prépaiement. Mais comme certains d'entre eux ne s'acquittent pas toujours de cette obligation et enregistrent parfois des clients sous des noms fantaisistes (par ex. Superman de Krypton), ils devront dorénavant conserver une copie lisible du document produit, qu'ils devront transmettre à la police ou au ministère public pour les besoins d'une enquête. Cette obligation s'appliquera à tous les clients (prépaiement et post-paiement).

Les règles ne changent pas, en revanche, en ce qui concerne les accès WLAN : les usagers ne seront pas obligés de présenter de pièce d'identité pour s'enregistrer.

Non. Les fournisseurs ne devront livrer ces informations que si elles sont déjà en leur possession. Aujourd'hui déjà, ils ne doivent fournir ces données que si la police ou le ministère public en a besoin pour élucider une infraction et les y enjoint dans une décision. La nouvelle réglementation prévoit une procédure standard qui simplifiera le travail des fournisseurs et des autorités.

L'introduction de recherches flexibles pour les demandes de renseignements, par exemple concernant le détenteur d'un numéro de téléphone ou d'une adresse IP, était une demande exprimée avec force par les autorités de poursuite pénale lors de la consultation. On évite ainsi à un policier de saisir plusieurs fois manuellement un nom dans différentes variantes, par exemple Nils/Niels Güggi/Gueggi/Guggi, etc. La recherche se fait ainsi automatiquement pour toutes les variantes, et les fautes de frappe ou les différences qui peuvent survenir lors de la transcription de noms à partir d'autres alphabets n'a pas d'incidence sur le résultat de la recherche.

Le nouveau droit aura pour conséquence d'alléger grandement les obligations de nombreux petits fournisseurs de services de télécommunication en Suisse. Le Conseil fédéral a opté à dessein pour une protection des PME. La nouvelle ordonnance ne prévoit plus d'obligations complètes en matière de surveillance que pour quelques dizaines des entreprises du secteur, sur un total d'environ 600, à savoir les plus importantes (à partir de 100 millions de chiffre d'affaires annuel). Les entreprises plus petites devront simplement permettre au Service SCPT, sur ordre d'une autorité de poursuite pénale et après autorisation d'un juge, de se procurer les données se trouvant dans leurs systèmes, et donc lui donner accès à ces systèmes. Ces entreprises de moindre taille n'auront pas d'autres mesures à prendre, et pas d'investissements à faire, ce qui allégera leur charge par rapport au régime actuel.

La loi et les ordonnances de mise en œuvre seront publiées dans le Recueil officiel et les autorités de poursuite pénale pourront en appliquer les dispositions à partir du 1er mars 2018.

vers le haut Dernière modification 17.11.2017