- L’OSCPT ne sape pas la protection des données ; les fournisseurs sont tenus au secret et ne fournissent des données qu’en cas de base légale.
- L’obligation de stocker les données de connexion sur des supports de données indépendants du réseau est peu pratique, disproportionnée et n’offre pas de garantie de sécurité absolue.
- Il existe des obligations en matière de sécurité des données (art. 43 ss. LTC, art. 64 OST) ; les mesures techniques sont laissées aux fournisseurs pour une mise en œuvre appropriée.
Texte soumis
Je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :
1. est-il également d’avis que l’ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT) favorise l’affaiblissement de la protection des données ?
2. est-il également d’avis qu’il doit obliger les fournisseurs d’accès à Internet à stocker les données de connexion enregistrées conformément à l’OSCPT sur des supports de données indépendants du réseau ?
3. est-il également d’avis que ces données de connexion ne doivent pas être stockées en masse, mais qu’elles doivent être stockées individuellement pour chaque accès à Internet sur un autre support de données indépendant du réseau ?
Justification
Avec l’OSCPT, la Confédération définit également les différents types de surveillance. De la “surveillance rétroactive” définie à l’art. 2, let. d, découle obligatoirement l’obligation pour les fournisseurs de services postaux et de télécommunications d’enregistrer et de conserver les données pendant six mois. L’article 24 précise ces données pour les fournisseurs d’accès à Internet. Ainsi, le service de surveillance de la correspondance par poste et télécommunication peut demander aux fournisseurs de divulguer toutes les données de connexion pour les six derniers mois. On peut supposer que les fournisseurs d’accès à Internet stockent ces données sous forme électronique. On peut également supposer que ces données ne sont pas stockées sur des supports de données indépendants du réseau. En tout cas, ni la loi ni l’ordonnance ne prescrivent un enregistrement sur un support de données indépendant du réseau.
Dans le contexte des lacunes de sécurité régulièrement déplorées sur Internet, la question se pose de savoir si la protection des données est ainsi encore garantie. Certes, selon l’article 9, la sécurité des données est réglée au niveau du service de surveillance lui-même ainsi que lors de la transmission des données de surveillance au service, mais pas lors de l’enregistrement et du stockage par les fournisseurs d’accès à Internet. Il semble donc possible et probable que des personnes non autorisées puissent “pirater” l’accès aux données de connexion correspondantes.
Ces personnes non autorisées ne sont pas nécessairement des jeunes qui commettent des actes illégaux à la recherche d’excitation et de confirmation. Il peut également s’agir de pirates informatiques au service d’entreprises, de services secrets ou d’autres organisations, qui ont ou peuvent développer un intérêt naturel pour de telles données de connexion et qui souhaitent établir un profil sur les opérations privées et professionnelles à partir des données ainsi obtenues. Ainsi, les données obtenues de cette manière permettent non seulement de présélectionner des cibles pour d’autres attaques, mais aussi de reconstruire des réseaux entiers de relations de nature privée ou professionnelle. Les mémoires de données des fournisseurs d’accès doivent paraître particulièrement attrayantes pour de telles attaques, car les données y sont stockées sous une forme concentrée.
Avis du Conseil fédéral
La loi sur les télécommunications (LTC ; RS 784.10) autorise le traitement et la conservation de certaines données relatives aux télécommunications. L’article 60 de l’ordonnance sur les services de télécommunication (OST ; RS 784.101.1) définit quelles données peuvent être traitées et à quelles conditions. Il s’agit notamment des données nécessaires à l’établissement de la communication, à la fourniture de renseignements conformément à la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1) et à la perception de la rétribution des prestations de la FST. En outre, certains droits d’information des clients vis-à-vis des FST sont prévus et ils peuvent exiger des FST qu’ils fournissent des renseignements sur le nom et l’adresse du raccordement appelant en cas de communications établies de manière abusive.
La LTC oblige donc déjà la FST à enregistrer et à conserver les données relatives au trafic et à la facturation de tous les abonnés. La LSCPT et l’ordonnance y relative (OSCPT ; RS 780.11) stipulent uniquement que ces données, ainsi que celles qui sont précisées dans la loi susmentionnée, doivent être transmises dans certains cas (procédures pénales) à des autorités désignées qui en font la demande.
Par ailleurs, les FDA ont également besoin de ces données pour les objectifs mentionnés à l’article 60 OST.
1. l’OSCPT ne favorise pas l’affaiblissement de la protection des données pour les raisons susmentionnées. Les FST sont tenus de garder le secret sur les données en question en vertu de l’article 43 LTC et ne peuvent fournir des données précises que si les conditions de la LTC, de la LSCPT et de l’OSCPT sont remplies.
2. l’obligation faite aux fournisseurs d’accès à Internet de ne stocker sur des supports de données indépendants du réseau que les données de connexion nécessaires à la communication de renseignements aux autorités dans le cadre d’une procédure pénale n’a aucun sens. Comme nous l’avons expliqué plus haut, les FST enregistrent en principe les données en question de tous leurs clients et clientes pour leurs propres besoins ; il n’est pas nécessairement établi au moment de l’enregistrement si ces données doivent encore être utilisées pour fournir des renseignements aux autorités dans le cadre d’une procédure pénale. Une obligation de stocker les données de connexion sur des supports indépendants du réseau n’est pas réalisable dès le départ pour la simple raison qu’au moment du stockage des données, on ne sait pas encore sur quel abonné il faudra éventuellement fournir des renseignements à l’avenir. Cela entraîne une charge de travail disproportionnée et ne garantit pas non plus une sécurité absolue contre les accès non autorisés. Au contraire, plus les données sont enregistrées ou stockées, plus la sécurité des données est menacée, quel que soit le support de stockage.
3. le législateur exige uniquement des FST qu’ils garantissent la sécurité des données (art. 43 ss LTC et art. 64 OST). Il laisse aux FST le soin de décider des mesures techniques, administratives et organisationnelles à prendre. Une telle réglementation est judicieuse, car elle permet aux différents FST de choisir les moyens qui conviennent à leur exploitation.
La solution proposée par l’interpellateur, à savoir une prescription sur la manière de garantir la sécurité, comporte le risque d’une solution non adaptée au cas particulier.