Questions fréquentes FAQ

Accès WLAN, accès gratuit à internet

Les nouvelles règles signent-elles l’arrêt de mort des accès WLAN publics ?

Non, ces points d'accès publics resteront bien entendu autorisés. Afin d'élucider des infractions graves, la police et les ministères publics doivent néanmoins pouvoir aussi surveiller, sur autorisation d'un juge, les télécommunications transitant par ces points d'accès WLAN. Ils doivent avoir la possibilité d'identifier les internautes, lorsque les conditions légales d'une enquête sont réunies, comme ils le peuvent aujourd'hui déjà pour les usagers d'un raccordement téléphonique fixe ou mobile. À défaut, il serait trop facile pour les criminels de rester anonymes.

Accès WLAN, données des utilisateurs

Dois-je enregistrer et livrer sur demande les données des usagers si je ne chiffre pas mon accès WLAN privé ?

Non. Le particulier qui met son accès internet à la disposition de tiers doit uniquement livrer au Service SCPT les données dont il pourrait disposer, fournir des renseignements et tolérer une surveillance qui serait réalisée par le Service SCPT. Ce dernier ne peut mettre en place une surveillance que dans le cadre d’une enquête menée par la police et le ministère public pour élucider une infraction, et seulement si la surveillance est ordonnée par le ministère public et autorisée par le tribunal compétent.

Accès WLAN, identification des utilisateurs

Comment procède-t-on pour identifier les utilisateurs d’un accès WLAN public ?

Pour élucider des infractions, la police et les ministères publics doivent aussi pouvoir identifier les utilisateurs d'un accès WLAN public, lorsque les conditions légales d'une enquête sont réunies. Cela n'est possible que si ces utilisateurs se connectent au réseau WLAN en question avec des données d'accès et s'ils se sont au préalable identifiés au moins indirectement. Des solutions existent déjà, qui sont conviviales pour les utilisateurs et peu coûteuses pour les fournisseurs. Elles sont par exemple utilisées dans les gares, les cars postaux ou les aéroports, avec une connexion et une identification grâce à un code de confirmation envoyé par SMS. D'autres méthodes sont envisageables : carte de crédit, carte d'embarquement dans un aéroport ou bon de réservation à l'hôtel, avec un code lié au numéro de chambre. Les autorités de poursuite pénale ont ainsi une chance réaliste de découvrir qui utilise ou a utilisé un réseau WLAN pour planifier ou commettre une infraction. Une copie d'une pièce d'identité n’est cependant pas exigée.

 

Quelles sont les implications de la solution d’identification indirecte pour la poursuite pénale ?

Pour les autorités de poursuite pénale, l'identification indirecte est un progrès, car il n'y avait jusqu'à présent aucune obligation de s'identifier de quelque manière que ce soit lors de l'utilisation d'un réseau WLAN public. Une lacune demeure cependant dans tous les cas où l'identification continuera de ne pas être obligatoire. L'obligation de s'identifier ne vaut en effet que pour les réseaux WLAN gérés à titre professionnel.

 

Quelles sont les implications de l’identification pour les utilisateurs ?
  • Seuls doivent pouvoir être identifiés les utilisateurs d’un réseau WLAN géré à titre professionnel, c'est-à-dire, par exemple, le réseau d'une gare ou d'un aéroport. De nombreux fournisseurs disposent aujourd'hui déjà de systèmes permettant d'identifier rapidement et simplement les utilisateurs, par exemple via un SMS.
  • La personne qui gère elle-même son réseau public n'a pas de dispositions particulières à prendre et n'est pas tenue d'être en mesure d'identifier qui que ce soit, même si elle gère ce réseau par exemple dans le cadre d'un festival open-air. Sur ordre des autorités de poursuite pénale et après autorisation d'un juge, elle doit simplement fournir les données dont elle dispose. Il en va de même pour le propriétaire d'un hôtel ou d'un restaurant qui met lui-même son réseau WLAN à la disposition de ses clients.
  • Les fournisseurs d'accès à internet de moindre envergure économique ou opérant dans les domaines de l'éducation et de la recherche peuvent être dispensés de certaines obligations de surveillance. Ces fournisseurs d'accès ayant des obligations restreintes en matière de surveillance ne sont pas tenus de conserver les données secondaires des connexions internet établies via leur réseau WLAN public. Ils ne doivent enregistrer que les données saisies au moment de l'identification de l'utilisateur et les conserver aussi longtemps que le droit d'accès de l'utilisateur est valable et six mois au-delà.
  • Pour les utilisateurs eux-mêmes, rien ne change, ils ne seront en aucune façon limités dans leurs habitudes de navigation sur internet.

 

Les particuliers devront-ils à l’avenir enregistrer les données d’identification des autres membres de leur foyer avec lesquels ils partagent leur connexion WLAN ?

Non. Les particuliers qui mettent leur accès internet à la disposition de tiers ne devront surveiller personne ni enregistrer des données pour les livrer à la police ou au ministère public dans le cadre d'une enquête. Ils devront néanmoins livrer les données dont ils disposent et fournir des renseignements si un ministère public s'adresse au Service SCPT pour les obtenir. Ils devront aussi tolérer des surveillances ordonnées et autorisées que le Service SCPT serait appelé à mener.

Cartes de crédit

Est-il exact que les fournisseurs de services de télécommunication doivent maintenant enregistrer les données des cartes de crédit ?

Non, le fournisseur ne doit livrer ces informations que si elles sont déjà par ailleurs en sa possession. Il en allait déjà ainsi sous l’ancien droit : les fournisseurs doivent livrer ces informations lorsque le ministère public les demande par une décision parce qu’il en a besoin pour élucider une infraction. La nouvelle réglementation prévoit simplement une procédure standardisée qui allège le travail administratif pour le fournisseur comme pour les autorités.

Champ d’application

Le champ d’application de la loi a-t-il été étendu dans la nouvelle LSCPT ?
  • Selon l’art. 2 LSCPT, les personnes obligées de collaborer sont :

- les fournisseurs de services postaux (let. a)
- les fournisseurs de services de télécommunication (FST ; let. b)
- les fournisseurs de services de communication dérivés (FSCD ; let. c)
- les exploitants de réseaux de télécommunication internes (let. d)
- les personnes qui mettent leur accès à un réseau public de télécommunication à la disposition de tiers (let. e), et
- les revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication (let. f).

  • Sont des FSCD notamment :

- les services de stockage en ligne (stockage en nuage, hébergement de fichiers, hébergement partagé, stockage en ligne, partage de fichiers)
- les services de téléchargement et de partage de contenus (par ex. de vidéos)
- l’informatique en nuage
- les places de marché électroniques (mais les services de communication intégrés dans des places de marché électroniques sont assimilés à des services de télécommunication)
- les services mobiles de localisation (Location Based Services)
Pour de plus amples informations, vous pouvez consulter la Notice FST / FSCD sur le site internet du Service SCPT.

Chevaux de Troie fédéraux / GovWare

Dans quels cas est-il possible de recourir à des programmes informatiques spéciaux (government ware, GovWare, ou encore « chevaux de Troie ») et qui exactement a le droit d’en décider ?

Le Conseil fédéral a décidé de créer une base légale claire pour le recours aux GovWares. Leur utilisation n’est possible que pour certaines infractions graves figurant sur une liste plus restreinte que pour la surveillance ordinaire de la correspondance par poste et télécommunication (art. 269 ss CPP). Il s’agit d’infractions pour lesquelles une investigation secrète peut aussi être ordonnée (art. 286, al. 2, CPP). L’utilisation est explicitement limitée à la surveillance des télécommunications. Il reste donc interdit de perquisitionner un ordinateur à distance ou de surveiller une pièce avec le micro ou la caméra d’un ordinateur qui s’y trouve. Le recours à un GovWare doit en outre dans tous les cas être ordonnée par le ministère public et autorisé par le tribunal des mesures de contrainte.

 

Est-il vraiment indispensable de recourir à des GovWare ou des chevaux de Troie fédéraux ?

Le recours à des GovWare est nécessaire pour que la poursuite pénale des criminels suive le rythme de l’évolution technologique. Il ne s’agit pas de surveiller davantage, et encore moins de « fouiner » au hasard ou de perquisitionner un ordinateur. Les autorités de poursuite pénale doivent cependant avoir accès aux outils dont elles ont besoin pour la poursuite des crimes graves. Sinon, les criminels utiliseront les moyens de communication les plus modernes et la poursuite pénale n’arrivera plus à suivre : les trafiquants de drogue peuvent par exemple mener leurs affaires via la téléphonie cryptée sur internet, sachant qu’ils ne seront pas surveillés.

 

Que font les autorités de poursuite pénale pour rendre les GovWare et leur utilisation aussi sûrs que possible et pour éviter les abus ?

Pour empêcher le recours abusif à des GovWare, une combinaison de dispositions techniques et organisationnelles est nécessaire. Sur le plan technique, les autorités de poursuite pénale définissent les fonctions de sécurité nécessaires ; un service indépendant vérifie ensuite qu’elles soient complètes et intégrées selon les normes reconnues. Sur le plan organisationnel, les autorités de poursuite pénale doivent décrire la procédure détaillée pour le recours et l’exploitation des GovWares, dans laquelle sont définies notamment les autorisations des intervenants et l’utilisation du système informatique. Enfin, toutes les étapes de la procédure sont minutieusement documentées, de la demande de surveillance à sa clôture, en passant par son autorisation, afin d’assurer la traçabilité de toute la procédure, notamment pour le tribunal. Toutes ces mesures doivent réduire au minimum le risque d’un recours abusif aux GovWare. Les renseignements obtenus par une surveillance téléphonique ne peuvent être utilisés comme moyen de preuve devant un tribunal que si la surveillance a bien été ordonnée pour recueillir ces preuves-là et qu’elle a été autorisée conformément aux règles applicables.

Conservation des données 

L’arrêt de la Cour de justice de l’Union européenne (CJUE) du 8 avril 2014 concernant la conservation des données concerne-t-il aussi la Suisse ?
Non, dans ses accords bilatéraux avec l’UE, la Suisse n’a pas repris la directive sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de télécommunications. Cette directive ne s’applique donc pas en Suisse. Les données dont il est question ici ne sont pas les contenus de conversations mais uniquement les données indiquant qui a communiqué avec qui, où, quand et pendant combien de temps, en utilisant quels moyens techniques. Ces informations peuvent aider à reconstituer un comportement criminel a posteriori ou à retrouver le lieu où se trouve une personne disparue (recherche en cas d’urgence). Dans son arrêt, la CJUE n’interdit pas en soi la conservation des données secondaires mais exige que des règles strictes soient mises en œuvre concernant l’accès à ces données, leur conservation et leur utilisation. Ces règles manquaient dans la directive européenne mais elles existent dans le droit suisse. Selon une appréciation de l’Office fédéral de la justice, l’arrêt de la CJUE ne remet donc pas même indirectement en cause la conservation des données secondaires en Suisse.

 

Pourquoi la conservation des données serait-elle admissible en Suisse ?

En Suisse, l’atteinte aux droits fondamentaux causée par la conservation des données secondaires est réduite au strict nécessaire. Les données sont certes conservées sans qu’il y ait de soupçon qu’une infraction ait été commise, mais la police et les ministères publics n’y ont pas un accès sans restrictions parce que les données en question sont conservées par les fournisseurs de services de télécommunication, et ne sont pas en possession de l’État. La loi prévoit en outre des barrières élevées pour autoriser l’accès à ces données. Les autorités de poursuite pénale n’ont ainsi accès aux données que si plusieurs conditions sont remplies. Dans les procédures pénales et les procédures d’entraide judiciaire, la surveillance ne peut être ordonnée que s’il existe de graves soupçons qu’un crime ou un délit a été commis. La mesure de surveillance doit aussi se justifier au regard de la gravité de l’infraction. Il faut enfin que les mesures prises jusqu’alors dans le cadre de l’instruction soient restées sans succès ou que les recherches n’aient aucune chance d’aboutir ou soient excessivement difficiles en l’absence de surveillance. Pour les recherches en cas d’urgence, la surveillance n’est admise que si des indices sérieux donnent lieu de penser que la santé ou la vie d’une personne disparue est gravement menacée. Dans chaque cas, un tribunal vérifie d’office si les conditions sont réunies. La surveillance ne reste pas non plus secrète : les motifs, le mode et la durée de la surveillance sont communiquées à la personne surveillée au plus tard lors de la clôture de la procédure préliminaire.

 

Quelles seraient les conséquences d’un abandon de la conservation des données ?

Renoncer à la conservation des données rendrait plus difficile la poursuite des infractions et aurait ainsi un effet négatif sur la sécurité publique. La police ne pourrait plus utiliser les traces que les auteurs d’infraction laissent de leurs appels téléphoniques et sur internet, qu’il s’agisse de cybercriminalité, de pédopornographie, de trafic de stupéfiants, de meurtres, d’infractions contre le patrimoine ou de terrorisme. Sans conservation des données secondaires, la recherche de personnes disparues serait également plus compliquée : il serait par exemple beaucoup plus difficile de déterminer le dernier endroit où une personne a passé un appel.

Conservation des données secondaires

Combien de temps les données secondaires sont-elles conservées ?

Les fournisseurs de services de télécommunication conservent les données secondaires pendant six mois (art. 26, al. 5, LSCPT).

Identification pour une carte SIM

Pourquoi faut-il produire une pièce d’identité pour l’achat d’une nouvelle carte SIM ?

Toute personne qui achète une carte SIM doit présenter une pièce d’identité pour que le fournisseur en fasse une copie. Si l’acheteur peut s’identifier à l’aide d’un moyen d’identification électronique valable (eID) ou d’un service d’identification en ligne, il n’a pas besoin de se présenter en personne. Au demeurant, les fournisseurs avaient déjà sous l’ancien droit l’obligation d’identifier les usagers au moyen d’un document officiel (sans conservation de copie) pour l’achat d’une carte SIM à prépaiement. Mais comme certains d’entre eux ne s’acquittaient pas toujours de cette obligation et enregistraient parfois des clients sous des noms fantaisistes (par ex. Superman de Krypton), l’art. 20 de l’OSCPT leur impose désormais de conserver une copie lisible du document produit que la police ou le ministère public peuvent utiliser pour les besoins d’une enquête. Cette obligation s’applique à tous les clients (prépaiement et post-paiement). Les règles ne changent pas, en revanche, en ce qui concerne les accès WLAN : les usagers ne sont pas obligés de présenter de pièce d’identité pour s’enregistrer.

Mesures de surveillance

Qui peut les ordonner ?
  • Dans la poursuite pénale ordinaire, c’est le ministère public qui ordonne des mesures de surveillance (art. 269, al. 1, CPP).
  • Dans la procédure pénale militaire, ce sont les juges d’instruction (art. 70, al. 1, PPM).
  • Le Service de renseignement de la Confédération (SRC) a également la compétence d’ordonner des mesures de surveillance (art. 26 ss LRens).
  • En dehors d’une procédure pénale, des mesures de surveillance peuvent être ordonnées pour une recherche en cas d’urgence ou la recherche d’une personne condamnée. Ce sont alors les autorités cantonales – souvent la police – ou fédérales désignées à cet effet qui ordonnent les mesures (art. 37, al. 3, LSCPT).

Sphère privée

Les craintes concernant un « État fouineur » ou des atteintes à la sphère privée sont-elles vraiment infondées ?
  • Oui, ces craintes sont infondées, parce qu’une mesure de surveillance ne peut être ordonnée que par une autorité, en application d’une loi (CPP ou LRens), et qu’elle doit ensuite encore être autorisée par le tribunal des mesures de contrainte ou par le Tribunal administratif fédéral.
  • Pour une autorité de poursuite pénale (ministère public), une surveillance n’est possible que dans le cadre d’une procédure pénale et en présence d’une infraction grave (voir à ce sujet la liste des infractions).
  • Le Service de renseignement de la Confédération (SRC) peut également ordonner une surveillance à titre préventif et en dehors d’une procédure pénale, mais il lui faut l’autorisation du Tribunal administratif fédéral et du chef du DDPS (qui consulte au préalable les chefs du DFAE et du DFJP).

Statistiques

Des surveillances sont-elles ordonnées dans toutes les procédures pénales ?

La statistique (www.li.admin.ch/fr/stats) montre qu’une surveillance est ordonnée dans environ 1,5 % de toutes les infractions. Concrètement, on a compté en 2019 un total de 8666 surveillance pour 544 781 infractions, et il faut préciser que plusieurs mesures de surveillance peuvent concerner une même personne, par exemple lorsqu’il s’agit de surveiller le raccordement fixe et plusieurs téléphones mobiles d’un trafiquant de drogue.

Dernière mise à jour: 21.12.2020 - 16:32