- La motion demande d’adapter l’ordonnance de manière à ce que seules les données marginales (header) puissent être enregistrées dans le cadre de la communication par Internet.
- Le Conseil fédéral explique qu’il n’existe pas de base légale pour stocker les données de contenu ; l’identification ne se fait que rétroactivement au moyen de données marginales.
- La conservation des adresses IP cibles peut être nécessaire pour une attribution claire auprès de CGNAT ; seuls quelques grands fournisseurs sont concernés.
Motion Molina (18.3507) : Mise en œuvre de la LSCPT conformément au dispositif de vote
Texte soumis
Le Conseil fédéral est chargé d’adapter l’ordonnance sur la surveillance de la correspondance par poste et télécommunication (OSCPT) de manière à ce que les personnes soumises à l’obligation de collaborer au sens de l’art. 2, let. b à f, n’aient accès qu’aux données fiscales. LSCPT, seules les données fiscales (header) peuvent être enregistrées lors de la communication par Internet.
Justification
Lors de la révision de la LSCPT, le Conseil fédéral a assuré à plusieurs reprises que l’enregistrement des communications par Internet n’était pas nécessaire. exclusivement les données marginales (header) concernées et enregistrées par les personnes soumises à l’obligation de collaborer. Selon la mise en œuvre actuelle de la LSCPT dans la loi correspondante Règlement par le Conseil fédéral, les fournisseurs d’accès peuvent toutefois transmettre l’ensemble des paquets de données, soit également les “données de navigation”.Les données sont systématiquement enregistrées. Il s’agit d’une atteinte supplémentaire aux droits fondamentaux de citoyens intègres, qui n’était pas prévue par le législateur et qui doit être corrigée en conséquence.
Avis du Conseil fédéral du 29.8.18
Ni la loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT ; RS 780.1) ni ses ordonnances d’exécution n’imposent aux personnes tenues de collaborer de conserver les contenus (données utiles) des communications Internet. Il n’est notamment pas nécessaire de conserver l’ensemble des paquets de données IP, y compris les données utiles, ni toutes les données dites d’en-tête IP (IP-Header). Il existe donc pas de base légalepour savoir rétrospectivement quels sites web une personne donnée a visités et encore moins ce qui a été communiqué. Cela n’est possible qu’en temps réel, au moyen d’une surveillance ordonnée par le ministère public et autorisée par le tribunal, et uniquement à partir du moment de l’activation.
Il est seulement exigé que certains fournisseurs soient en mesure d’identifier clairement et rétroactivement l’auteur ou l’origine d’une connexion Internet donnée. Et ce uniquement dans la mesure où l’autorité habilitée fournit les informations nécessaires, notamment temporelles, sur la connexion recherchée. En fin de compte, on ne demande rien d’autre que de consulter un annuaire téléphonique. On veut connaître le Identifier les clients qui a une connexion Internet spécifique à un moment donné a été établie. Il ne s’agit toutefois pas d’un numéro de téléphone, mais d’une adresse IP d’origine.
De nombreux fournisseurs utilisent des procédures non univoques, par exemple la “Carrier-Grade Network Address Translation” (CGNAT), pour attribuer des adresses IP à leurs clients. Cela signifie que de nombreux clients partagent simultanément la même adresse IP publique d’origine utiliser le site. Dans de tels cas, une recherche à partir d’une adresse IP d’origine et d’un moment précis donne lieu à de nombreux résultats. Seul le fournisseur qui exploite le système CGNAT peut procéder à l’attribution des connexions Internet à chaque client. Ce fournisseur doit donc fournir des informations supplémentaires que la seule adresse IP publique d’origine attribuée au client et la date d’attribution. Le site Conservation des adresses IP de destinationLe site Internet de l’Union européenne est un site de référence pour l’ensemble de l’Union européenne, sur la base duquel le nom de domaine d’un site Internet visité pourrait être trouvé, peut donc être nécessaireLe fournisseur de services a besoin de ces données pour identifier clairement la paternité ou l’origine d’une connexion Internet donnée.
Conformément à l’art. 22 LSCPT, les fournisseurs sont tenus de fournir au service OCTP toutes les indications permettant d’identifier l’auteur de l’infraction. Les fournisseurs sont toutefois libres de choisir la manière technique de garantir cette identification. Sur la base de l’art. 22 al. 2 LSCPT, le Conseil fédéral a défini les données secondaires à des fins d’identification à l’art. 21 de l’ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication (OSCPT ; RS 780.11). Les données marginales ne contiennent pas d’indications sur le contenu de la correspondance par télécommunication, mais renseignent uniquement sur la manière dont qui est ou a été en communication avec qui, quand et où. Les données secondaires relatives à l’attribution et à la traduction des adresses IP et des numéros de port doivent être conservées pendant six mois à des fins d’identification, puis détruites afin de limiter au maximum l’atteinte aux droits fondamentaux.
Il convient en outre de noter que l’obligation de conserver les données accessoires à des fins d’identification ne concerne pas tous les fournisseurs, mais uniquement les fournisseurs de services de télécommunication qui n’ont pas été libérés de certaines obligations de surveillance (art. 26, al. 6 LSCPT, art. 51 OSCPT) et les fournisseurs de services de communication dérivés soumis à des obligations de surveillance plus étendues (art. 27, al. 3 LSCPT, art. 52 OSCPT). Ainsi, sont seuls quelques grands fournisseurs sont concernés.
Enfin, le rapport explicatif de l’OSCPT indique expressément que du point de vue de la protection des données Procédure de mettre en œuvre des mesures pour lesquelles les Stockage des destinations de connexion (adresses IP de destination) non requis et qu’il faut donc s’en abstenir. D’autre part, le Conseil fédéral ne souhaite pas porter atteinte à la liberté économique des fournisseurs et ne prescrit donc pas la procédure, mais uniquement le but, à savoir l’identification des auteurs d’infractions commises via Internet et l’identification des personnes en cas de menaces contre la sécurité intérieure ou extérieure.
Le Conseil fédéral propose de rejeter la motion.