Basée à Genève, l’entreprise Proton est réputée à l’échelle mondiale pour respecter la vie privée des 100 millions de personnes qui utilisent ses services d’e-mail ou de stockage en ligne. Cette confidentialité des données est toutefois menacée en Suisse, alerte son directeur Andy Yen.

Une consultation publique ouverte de janvier à mai par le Conseil fédéral est la cause de ses inquiétudes. Celle-ci portait sur une révision partielle de deux ordonnances liées à la surveillance des communications afin d’inclure notamment des définitions claires des différentes catégories d’entreprises obligées de collaborer avec la Confédération à des fins de renseignement et de surveillance.

La révision précise également l’obligation légale pour les fournisseurs de services de télécommunication de supprimer les chiffrements qu’ils ont opérés sur les données, à l’exception des chiffrements de bout en bout, un système de protection avancée utilisé par exemple dans les messageries Threema, Signal ou WhatsApp.

Extension massive de la surveillance

Le Conseil fédéral affirme que la révision a principalement pour but d’apporter des clarifications mais le projet s’apparente en fait à une extension massive du domaine de la surveillance de nos communications numériques, selon Grégoire Barbey du journal Le Temps. En l’état du projet, des centaines d’entreprises seraient obligées de conserver davantage de données et de connaître l’identité de chaque utilisateur, résume le journaliste.

Les nouvelles règles imposeraient à ces entreprises d’enregistrer en temps réel les adresses IP, les destinataires des mails et les localisations des usagers. Elles seraient également obligées de les partager en continu avec le service de la Surveillance de la correspondance par poste et télécommunication. Ceci de façon généralisée et non plus seulement en cas de requête du Service de renseignement de la Confédération ou des autorités judiciaires, souligne la Tribune de Genève.

Regarder: Surveillance des communications: fronde contre le projet du Conseil fédéral (RTS)

«La transmission des métadonnées envisagée a une portée telle qu’elle sera imposée à pratiquement n’importe quel service en ligne ou app disposant de seulement 5000 utilisateurs – alors que cela a été jugé illégal en Europe», déplore Andy Yen.

De nombreuses réactions négatives

La consultation proposée par le Conseil fédéral a provoqué de nombreuses critiques. Proton, dont le modèle d’affaires repose sur la protection des données personnelles, menace de quitter le pays si la réforme devait être adoptée en l’état. L’avis de son directeur est clair: «La proposition du conseiller fédéral Beat Jans [à la tête du Département fédéral de justice et police, ndlr] est extrême: elle vise à imposer en Suisse une surveillance de masse jugée pourtant illégale, non seulement dans l’Union européenne mais aussi aux États-Unis. Cela forcerait les entreprises suisses à espionner leurs utilisateurs pour le compte de l’État.»

Regarder: Interview d'Andy Yen, fondateur du service de courriel Proton (RTS) et Fact checking des arguments sur la révision de l’ordonnance sur la surveillance (RTS)

L’entreprise suisse Threema, qui propose une application de messagerie chiffrée, affirme qu’il est «hors de question» qu’elle collecte et conserve des données supplémentaires sur ses utilisatrices et utilisateurs. En cas d’adoption de la révision, elle se dit prête à lancer une initiative populaire pour que la population puisse se prononcer sur les conséquences de ces modifications d’ordonnances.

Les cantons de Vaud et Genève ont également émis des réserves. Dans sa réponse à la consultation, le gouvernement vaudois dit craindre «la mise en oeuvre d’un système s’apparentant à une surveillance généralisée en Suisse». Quant au Conseil d’État genevois, il rappelle que la population du canton a inscrit dans sa Constitution le droit à l’intégrité numérique et souligne que certaines dispositions de la loi sur la surveillance des communications pourraient entrer en tension avec ce droit fondamental.

Des critiques venant des partis

Les partis politiques ont aussi dénoncé certains aspects de la révision des ordonnances. Le Parti libéral-radical (PLR) estime que les dispositions envisagées «porteraient atteinte à la vie privée et aux droits fondamentaux des utilisateurs».

Selon Les Vert·e·s, ce projet aura pour effet d’imposer des obligations plus strictes à la plupart des entreprises, notamment en termes de conservation des données. De tels changements devraient être effectués au niveau de la loi et non à travers la modification d’une ordonnance, affirme le parti écologique.

L’UDC juge le projet «disproportionné» en raison de l’atteinte qu’il porterait «de manière injustifiée» à la liberté économique. Quant au Parti socialiste, il considère que de telles mesures réduiraient la capacité d’innovation dans le pays.

D’autres oppositions

La faîtière des entreprises technologiques Swico, qui compte plus de 750 membres employant près de 56’000 personnes, s’oppose également au projet du Conseil fédéral dans un document de 15 pages. Elle considère que la révision des ordonnances va bien au-delà de ce que prévoit la loi en étendant largement les obligations de la grande majorité des fournisseurs de services de communication dérivés.

La Société numérique, une association pour la protection des citoyennes et des consommateurs à l’ère numérique, affirme que le Conseil fédéral instaurerait un État de surveillance de masse s’il adoptait cette révision. Elle a lancé le 20 mai une pétition au niveau national intitulée «La démocratie plutôt qu’un État de surveillance!». La version en allemand compte plus de 12’000 signatures à ce jour.

La Fédération romande des consommateurs a quant à elle souligné les risques de cybersécurité qui seraient causés par ce projet, en raison de la conservation de grandes quantités de données qui serait imposée aux entreprises concernées. Ces informations pourraient en effet être la cible d’attaques informatiques.

Une suite incertaine

La confidentialité des données des utilisatrices et utilisateurs de Proton avait déjà été remise en cause par l’agence de surveillance des communications de la police fédérale. «Leur première offensive a eu lieu en 2021, ils voulaient déjà nous imposer le régime auquel sont soumis les géants des télécoms Swisscom ou Sunrise, afin de nous forcer à la rétention obligatoire des données des utilisateurs», explique Andy Yen.

Si elle aboutit, la révision des deux ordonnances contraindrait l’entreprise genevoise en ce sens, tout comme les autres fournisseurs de services similaires. Le Conseil fédéral décidera de la direction à donner à cette surveillance numérique lorsqu’il aura complété l’examen des retours obtenus lors de sa consultation.

- Arnaud Mittempergher