Analyse du trafic internet en vue d’élucider des infractions : questions et réponses concernant les ordonnances de mise en œuvre de la LSCPT révisée

La consultation sur les ordonnances mettant en œuvre la nouvelle loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) s’est terminée le 29 juin 2017. Le Parlement a adopté la LSCPT entièrement révisée en mars 2016. Le référendum qui avait été lancé n’a pas abouti. Le but de la nouvelle loi est d’empêcher que des criminels puissent échapper aux autorités de poursuite pénale en utilisant des nouvelles technologies de télécommunication. Les usagers d’internet, notamment ceux qui utilisent des accès WLAN publics dans des cafés, les transports publics ou un hôtel, peuvent s’informer ici sur ce que les nouvelles règlementations changent ou pas pour eux.

Non, ces points d’accès publics continueront d’être autorisés. Afin d’élucider des infractions graves, la police et les ministères publics doivent néanmoins pouvoir aussi surveiller, sur autorisation d’un juge, les télécommunications transitant par ces hotspots. Il s’agit d’un des objectifs de la loi que le Parlement a adoptée en mars 2016 et contre laquelle le référendum n’a pas abouti. Pour mettre en œuvre la loi et lutter contre l’anonymat que l’internet assure à nombre de criminels, il doit être possible d’identifier les internautes, comme c’est le cas des usagers d’un raccordement fixe ou mobile.

Des solutions simples et peu onéreuses existent, et sont déjà utilisées notamment dans les gares, les cars postaux et les aéroports, pour permettre l’identification des usagers de réseaux WLAN : par exemple saisie d’un code de confirmation envoyé par SMS ou d’un code figurant sur un titre de transport. D’autres méthodes sont envisageables (par ex. carte de crédit, carte d’embarquement à l’aéroport, bon de réservation relié au numéro de la chambre dans un hôtel), mais la production d’une pièce d’identité, comme on a pu l’entendre ici ou là, n’est pas nécessaire. De plus, l’obligation d’identifier les utilisateurs vaut uniquement pour les fournisseurs professionnels d’accès à internet. La personne qui gère elle-même un réseau WLAN n’a rien besoin de faire, même si elle gère ce réseau par exemple dans le cadre d’un festival open-air. Il en va de même pour le propriétaire d’un hôtel ou d’un restaurant qui met son réseau WLAN à la disposition de ses clients.

Non. L’ordonnance n’a pas été durcie, mais au contraire assouplie. Les demandes des fournisseurs de prestations ont été prises en compte : différentes dispositions ont été adaptées, des délais ont été prolongés et certaines règles peu claires ont été biffées. En particulier concernant la question de l’identification des utilisateurs d’un réseau WLAN. Il ne s’agit pas ici de surveillance, mais uniquement de la possibilité de pouvoir identifier un utilisateur donné à l’aide de certaines informations (par ex. un numéro de téléphone mobile), c’est-à-dire indirectement. Sur ce point, les dispositions ont été adaptées suite à la consultation :

  • La version modifiée de l’ordonnance, soumise pour consultation aux commissions parlementaires compétentes dans les délais convenus, reprend très largement, sur cette question, les demandes des fournisseurs de prestations, qui bénéficieront de nombreuses simplifications.
  • Seuls les prestataires qui mettent un réseau WLAN à disposition à titre professionnel, par exemple dans les gares ou les aéroports, seront tenus de conserver des données pour que, le cas échéant, sur ordre d’une autorité de poursuite pénale et après autorisation d’un juge, un utilisateur puisse être identifié en vue d’élucider une infraction grave. De tels systèmes, avec une identification par exemple par un SMS ou un titre de transport, sont déjà utilisés aujourd’hui.
  • La personne qui gère elle-même un réseau WLAN n’a rien besoin de faire, même si elle gère ce réseau par exemple dans le cadre d’un festival open-air. Il en va de même pour le propriétaire d’un hôtel ou d’un restaurant qui met son réseau WLAN à la disposition de ses clients.

Pour les utilisateurs eux-mêmes, rien ne changera. Ils ne seront en rien limités dans leurs habitudes de navigation.

Il s’agit d’une demande des autorités de poursuite pénale. C’est sur la base de leur prise de position exprimée lors de la consultation qu’a été introduite la possibilité d’effectuer des "recherches intelligentes", par exemple sur le propriétaire d’un numéro de téléphone ou d’une adresse IP. On évite ainsi à un policier de saisir plusieurs fois manuellement un nom dans différentes variantes, par exemple Nils/Niels Güggi/Gueggi/Guggi etc. La recherche se fait ainsi automatiquement pour toutes les variantes, et les fautes de frappe ou les différences qui peuvent survenir lors de la transcription de noms à partir d’autres alphabets n’a pas d’incidence sur le résultat de la recherche.

Non. Les particuliers qui mettent leur accès à internet à la disposition de tiers ne devront surveiller personne ni enregistrer des données pour les livrer à la police ou au ministère public dans le cadre d’une enquête. Ils devront néanmoins fournir les informations dont ils disposent si un ministère public s’adresse au Service SCPT pour les obtenir.

Non. Les personnes qui mettent leur accès à internet à la disposition de tiers devront simplement tolérer une surveillance, c’est-à-dire accepter de fournir au Service de surveillance de la correspondance par poste et télécommunication (Service SCPT) les données et les renseignements dont ils disposent si ce dernier leur en fait la demande. Le Service SCPT ne requiert ce type d’informations que si la police ou un ministère public en a besoin pour élucider une infraction et que la surveillance est autorisée par le tribunal compétent.

Les personnes qui achètent une carte SIM devront présenter une pièce d’identité pour que le fournisseur en fasse une copie. Au demeurant, les fournisseurs ont déjà l’obligation d’identifier les usagers au moyen d’un document officiel. Mais comme certains d’entre eux ne s’acquittent pas correctement de cette obligation et enregistrent parfois des clients sous des noms fantaisistes (par ex. Superman de Krypton), ils devront dorénavant conserver une copie lisible du document produit, qu’ils devront transmettre à la police ou à un ministère public pour les besoins d’une enquête. Les règles ne changent pas en revanche en ce qui concerne les accès WLAN : les usagers ne devront pas présenter de pièce d’identité pour s’enregistrer.

Non. Les fournisseurs ne devront livrer ces informations que si elles sont déjà en leur possession, mais ils ne devront pas prendre de dispositions particulières pour les enregistrer. Aujourd’hui déjà, ils ne doivent fournir ces données que si la police ou le ministère public en a besoin pour élucider une infraction et les y enjoint dans une décision. La nouvelle réglementation prévoit une procédure standard qui simplifiera le travail des fournisseurs et des autorités.

Le nouveau droit aura pour conséquence d’alléger très largement les obligations des fournisseurs de télécommunications en Suisse. Le Conseil fédéral a opté sciemment pour une protection des PME. La nouvelle loi ne prévoit plus d’obligations complètes en matière de surveillance que pour une cinquantaine des entreprises du secteur, sur un total d’environ 650, à savoir les plus importantes (à partir de 100 millions de chiffre d’affaire). Les autres entreprises devront simplement permettre au Service SCPT, sur ordre d’une autorité de poursuite pénale et après autorisation d’un juge, de se procurer les données se trouvant dans leurs systèmes, et donc donner au Service SCPT un accès à ces systèmes. Ces entreprises de moindre taille n’auront pas d’autres mesures à prendre, et pas d’investissements à faire, ce qui allégera leur charge par rapport au régime actuel. 

Non. Les Commissions des affaires juridiques du Conseil des États et du Conseil national sont aussi consultées. Le Département fédéral de justice et police leur a soumis les projets d’ordonnance dans les délais convenus, afin qu’elles puissent exprimer leur avis. 

Les ordonnances que le Conseil fédéral a envoyées en consultation mettent en œuvre la loi fédérale sur la surveillance de la correspondance par poste et télécommunication entièrement révisée, que le Parlement a adoptée en mars 2016 et contre laquelle le référendum n’a pas abouti. La consultation s’est terminée à la fin de juin 2017, et les commissions compétentes du Parlement sont actuellement consultées. Comme à l’accoutumée, le Conseil fédéral va analyser les avis exprimés et, le cas échéant, adapter les dispositions, avant de décider de l’entrée en vigueur des ordonnances et de la loi. C’est précisément à cela que servent les consultations. 

Des solutions simples et peu onéreuses existent déjà pour l'identification indirecte sur les réseaux WLAN : elles sont utilisées notamment dans les gares, les cars postaux et les aéroports : par exemple saisie d'un code de confirmation envoyé par SMS, ou d'un code figurant sur un titre de transport. D'autres méthodes sont envisageables (par ex. carte de crédit, carte d'embarquement à l'aéroport, bon de réservation relié au numéro de la chambre dans un hôtel), mais la production d'une pièce d'identité n'est pas exigée. De plus, l'obligation d'identifier les utilisateurs vaut uniquement pour les fournisseurs professionnels d'accès au réseau WLAN.

Dans les cas où une identification indirecte est nécessaire, les autorités de poursuite pénale recevront par exemple un numéro de téléphone portable, un numéro de carte de crédit, un numéro de carte d'embarquement ou encore un numéro de chambre. Ces renseignements leur donneront de bonnes chances d'identifier la personne qui utilise ou qui a utilisé un réseau WLAN donné.

Cette solution constitue un véritable progrès pour les autorités de poursuite pénale. Jusqu'ici, il n'existait pas d'obligation légale de s'identifier, sous quelque forme que ce soit, pour utiliser certains réseaux WLAN. Il ne faut pas perdre de vue que partout où les utilisateurs pourront continuer à accéder au réseau WLAN sans s'identifier, il restera des lacunes. Cela étant, comme indiqué précédemment (voir question 1), l'obligation d'identifier les utilisateurs vaut uniquement pour les fournisseurs professionnels d'accès à un réseau WLAN.

vers le haut Dernière modification 01.09.2017