L'illusion que la "vie privée suisse" est la meilleure
La "vie privée suisse" n'est peut-être pas aussi forte que vous le pensez. Combattez la surveillance par un cryptage fort, pas par la localisation.
tl;dr : Ne tombez pas dans le panneau de la protection de la vie privée en Suisse. Avec des accords de partage de données similaires à ceux de l’UE, la Suisse ne peut pas vous protéger si des autorités étrangères demandent vos données.
Notre monde est devenu totalement interconnecté grâce à de vastes enchevêtrements de câbles, de serveurs bourdonnants et de communications sans fil. Après les retombées des révélations de Snowden, diverses rumeurs ont surgi sur l’internet et dans la société en général, faisant état d’endroits dans le monde qui échappent à la surveillance de la NSA, des Cinq Yeux et de l’appareil de renseignement des Quatorze Yeux. Mais dans quelle mesure ces affirmations sont-elles vraies ?
Existe-t-il un paradis de données dans le monde qui offre réellement une protection supérieure contre les États-nations ou d’autres acteurs de menaces persistantes avancées ?
La Russie semble être le lieu de prédilection des groupes criminels de ransomware qui cherchent à échapper à la juridiction américaine, les micronations ont évoqué la possibilité de solutions de stockage et d’hébergement de données offshore, mais qu’en est-il de la Suisse et de la vie privée suisse ?
Ce petit pays montagneux a longtemps été considéré comme un bastion de la liberté et de la protection de la vie privée, notamment dans le domaine de la banque et de la finance, la Suisse ayant offert des services pour aider les personnes fortunées à échapper à la législation fiscale locale.
Mais la Suisse peut-elle prétendre à la même chose lorsqu’il s’agit de protéger les données en ligne ? Est-il vraiment possible, où que ce soit dans le monde, d’échapper au leviathan de la surveillance numérique ?
Le modèle de sécurité suisse est comme leur fromage. Plein de trous.
De nombreuses entreprises basées en Suisse et soucieuses de la protection de la vie privée tentent de se faire connaître en partant du principe que ce petit pays existe dans une bulle protectrice hors de portée des agences internationales de renseignement ou d’application de la loi. Outre le fait que cette idée est facilement démentie et que la protection de la vie privée en Suisse n’est pas meilleure qu’en Allemagne, par exemple, et qu’il existe de nombreux exemples de collaboration active entre le gouvernement suisse et les autorités américaines chargées de l’application de la loi, cette étrange hypothèse de protections spéciales persiste. Face à des preuves faciles à trouver qui prouvent le contraire, pourquoi les gens supposent-ils que la Suisse est un paradis pour les données ?
La réponse est triple : la Suisse ne fait pas partie de l’UE, elle a conservé une longue tradition de neutralité et elle a acquis une réputation de refuge pour le stockage des richesses et l’évasion fiscale grâce au tristement célèbre “compte bancaire suisse”.
Examinons ces éléments pour déterminer s’ils soutiennent ou non la conclusion selon laquelle vos données sont réellement plus sûres si les serveurs sont situés en Suisse et donc protégés par la “confidentialité suisse”.
1. La Suisse ne fait pas partie de l’UE
Quel rôle joue l’appartenance d’un pays à l’UE dans sa coopération avec les agences de renseignement mondiales comme celles des États-Unis ? Tout d’abord, le fait d’être situé au-delà de la frontière américaine ajoute un élément de sécurité dans la mesure où les autorités américaines ne peuvent pas débarquer immédiatement sur votre lieu de résidence et enfoncer la porte. Toutefois, il existe de nombreux accords bilatéraux d’échange d’informations entre l’UE et les États-Unis. Certains pays ont leur propre partenariat avec les agences de renseignement des “Cinq Yeux”.
On pourrait penser que la Suisse n’est pas membre de l’UE et qu’elle n’est donc pas impliquée dans ce type d’échange de données, mais ce n’est pas le cas. Le “Club de Berne” est un groupe volontaire d’échange de renseignements entre les 27 pays de l’UE, la Norvège et, vous l’aurez deviné, la Suisse. Fondé en 1971, ce groupe partage activement les données qu’il recueille afin de surveiller les menaces. À la suite des attentats terroristes du 11 septembre 2001, ce groupe a également créé un programme dérivé, le groupe de lutte contre le terrorisme, qui vise à partager des renseignements afin de prévenir de futures attaques terroristes dans le monde entier. Les analyses de renseignements recueillies par ces groupes sont transmises au Centre de situation et de renseignement de l’Union européenne, qui collabore avec le Royaume-Uni, membre de l’organisation Five Eyes.
La Suisse est également membre d’Interpol et travaille en coopération active avec Europol, ce qui inclut le partage de renseignements criminels avec d’autres pays de l’UE et de l’espace Schengen. Le pays travaille également au sein du Centre européen de lutte contre la cybercriminalité pour combattre les activités criminelles en ligne. Les États-Unis d’Amérique sont un autre membre de ce groupe qui n’appartient pas à l’UE. Bien que cela aille à l’encontre de l’idée reçue, cela ne devrait pas être surprenant, car c’est précisément ainsi que fonctionne un bureau de renseignement.
Malgré leurs affirmations répétées selon lesquelles le fait d’exister en dehors de l’UE offre une meilleure protection des données, c’est loin d’être le cas. Le gouvernement suisse recueille et partage des données avec les États membres de l’UE ainsi qu’avec le Royaume-Uni et les États-Unis, de sorte que les données stockées à l’intérieur de ses frontières ne sont pas plus sûres que celles stockées en France ou en Allemagne. L’idée que la frontière nationale suisse offre une forme particulière de protection de la vie privée est une illusion.
2. La Suisse maintient sa neutralité politique
Suite aux retombées d’un important vol de données au sein du BND (Service fédéral de renseignement) suisse, un rapport de Reuters a montré que la Suisse a travaillé directement avec les agences de renseignement américaines et britanniques. Ce n’est pas une surprise puisque le gouvernement suisse a déclaré il y a quelques années avoir reçu 9000 données uniques et en avoir partagé 4500 avec plus de 100 agences de renseignement étrangères différentes. Cela contredit l’affirmation vide souvent avancée selon laquelle la Suisse parvient à opérer dans l’isolement politique.
La neutralité ne signifie pas non plus que les services de renseignement suisses opèrent à l’intérieur de leur propre pays. Le programme Onyx, récompensé par le “Big Brother Award”, qui intercepte les données téléphoniques, Internet et les télécopies, est installé dans les magnifiques villes de montagne de Loèche, Zimmerwald et Heimanschwand. Le système Onyx collecte ce trafic sur la base de certains mots-clés demandés par les agences de renseignement après approbation d’un tiers indépendant. Le NDB affirme qu’il ne collecte pas le trafic interne, mais tout trafic dont la destination se situe au-delà de la frontière suisse est considéré comme un jeu, même s’il est envoyé par un citoyen suisse. Cette pratique n’est pas unique et le BND suisse fonctionne de la même manière que d’autres agences de renseignement nationales.
Station de collecte de données du programme Onyx
Cette collecte transfrontalière du trafic signifie que si vous vous connectez à un service basé en Suisse depuis l’étranger, vos données sont activement collectées et partagées avec d’autres agences de renseignement dans le monde.
Voilà pour la valeur de la “Swiss Privacy”.
3. Les banques suisses aident activement les citoyens étrangers à dissimuler de l’argent
Les premières lois protégeant les institutions financières suisses contre le partage des données des clients ont été instituées en 1713 à Genève. Ces lois permettaient aux personnes fortunées et aux entreprises de toute l’Europe de dissimuler de l’argent en dehors de leur pays d’origine et d’éviter ainsi de payer des impôts. Cette pratique s’est imposée et, combinée à la neutralité politique de la Suisse, le pays est devenu une destination bancaire de choix pour le blanchiment d’argent et l’évasion fiscale.
Ce rideau de secret est tombé en 2018 lorsque la Suisse est devenue un participant actif de la norme commune de déclaration (NCD) qui exige que les nations membres partagent les informations sur les comptes financiers appartenant à des clients étrangers. Cela signifie qu’à chaque saison fiscale, les banques et les institutions financières sont tenues de communiquer les informations relatives aux clients étrangers qui sont tenus de payer des impôts dans un autre pays. Actuellement, 38 pays au total participent au CRS, dont les États-Unis, l’ensemble de l’Union européenne, la Norvège, le Royaume-Uni, le Canada, l’Australie, la Nouvelle-Zélande, le Japon, la Corée du Sud et Israël. Un certain nombre de ces pays devraient attirer l’attention, car ils sont membres des programmes de renseignement Five Eyes et Fourteen Eyes.
Station de surveillance de Leuk
Toutes ces informations étant acheminées vers les pays qui gèrent l’appareil de renseignement le plus important et le plus complet au monde, le simple fait d’avoir une banque située en Suisse ne signifie rien. À l’ère numérique, les frontières physiques des États-nations souverains n’ont que peu ou pas de pouvoir dissuasif lorsqu’il s’agit de protéger les données.
Chiffrement et localisation
Avec tous ces accords mondiaux de partage de renseignements, nous vivons dans un monde où il n’y a pas un seul endroit où il est sûr de simplement “cacher” ses données. Ne vous laissez donc pas séduire par la promesse d’une protection de la vie privée en Suisse.
Peu importe l’endroit où vous stockez vos données, si vous devenez suffisamment intéressant, il est probable que vos informations tombent entre les mains des forces de l’ordre ou des services de renseignement, que ce soit par le biais d’une surveillance directe ou d’une incitation légale à partager les données disponibles. Même les installations sécurisées dotées de réseaux protégés sont vulnérables à ces menaces persistantes avancées, comme l’ont montré les cyberattaques (présumées) des États-Unis et d’Israël contre l’installation nucléaire iranienne au moyen de Stuxnet.
La Suisse est-elle favorable à la protection de la vie privée ?
La Suisse est généralement considérée comme un pays favorable à la protection de la vie privée en raison de la solidité de ses lois sur la protection des données et de sa réputation en matière de protection des comptes bancaires, sur lesquelles repose en grande partie la bonne réputation du pays en termes de protection des droits à la vie privée. Comme l’Allemagne, la Suisse, petit pays situé dans les Alpes, dispose d’une réglementation complète qui régit la collecte, le traitement et le stockage des données à caractère personnel, ce qui constitue une base juridique solide pour la protection de la vie privée. Il convient toutefois de noter que la Suisse dispose de lois sur la conservation des données, alors que l’ Allemagne n’en a pas. Bien qu’elle ne soit pas parfaite en ce qui concerne le droit à la vie privée, la Suisse dispose d’un cadre juridique solide pour la protection de la vie privée dans son ensemble.
Leslois sur la protection des données du pays sont très similaires à celles de l’Allemagne en ce qui concerne les exigences strictes en matière de sécurité des données énoncées dans la loi fédérale suisse sur la protection des données (Schweizer Bundesgesetz über den Datenschutz, DSG). L’indépendance juridique de la Suisse par rapport à l’Union européenne, son statut politique neutre et son histoire en matière de protection des droits à la vie privée en font un choix attrayant pour les entreprises à la recherche d’un environnement opérationnel sûr et respectueux de la vie privée. Cependant, le cadre juridique n’est pas très différent de celui de l’Union européenne ou de l’Allemagne, à savoir que le Règlement général sur la protection des données (RGPD) de l’UE est l’une des meilleures législations en matière de protection des données et qu’il est valable dans l’UE et en Allemagne, mais pas en Suisse.
Suisse et États-Unis
La Suisse et les États-Unis diffèrent considérablement dans leur législation sur la protection de la vie privée, en particulier en ce qui concerne les activités des agences de renseignement et les lois sur la surveillance. La Suisse - tout comme l’Allemagne - dispose de lois complètes sur la protection des données qui donnent la priorité aux droits individuels à la vie privée et s’oppose historiquement à la surveillance de masse, imposant des limites légales plus strictes à ses agences de renseignement, le NDB suisse et le BND allemand. En revanche, les États-Unis, par le biais de lois telles que la Foreign Intelligence Surveillance Act (FISA) et la USA PATRIOT Act, accordent des pouvoirs de surveillance plus étendus à des agences telles que la NSA et le FBI. La FISA est particulièrement préoccupante en termes de protection de la vie privée, car elle permet la surveillance de citoyens non américains, y compris potentiellement les communications avec des citoyens américains, ce qui soulève des inquiétudes quant à la protection de la vie privée et à l’abus de pouvoir.
Par exemple, le FBI a abusé de la loi FISA 702 des millions de fois en effectuant des recherches sans mandat dans les appels, les textes et les courriels des Américains. Avec la récente réautorisation de FISA 702 jusqu’en 2025, cette surveillance de masse illégale des communications des Américains se poursuivra.
En résumé, la Suisse - tout comme l’Allemagne - est généralement considérée comme un pays favorable à la protection de la vie privée, en raison de son cadre juridique et de son engagement historique en faveur de la protection des droits individuels à la vie privée.
La localisation ne signifie pas que vos données sont en sécurité. Seul un cryptage puissant peut assurer cette tranquillité d’esprit.
Au lieu de chercher des sanctuaires de stockage spéciaux, le meilleur choix est de crypter toutes vos données avec un cryptage sécurisé de bout en bout. Si les données tombent entre les mains d’un acteur de la menace, le contenu réel reste en sécurité car il ne pourra voir qu’un amalgame de non-sens. Une sécurité opérationnelle adéquate et un cryptage puissant devraient être la norme lorsqu’il s’agit de protéger votre vie numérique. En plus de choisir des services qui protègent vos données par le chiffrement, vous devriez opter pour ceux qui poursuivent actuellement de nouveaux modèles de chiffrement, notamment le “perfect forward secrecy” et le chiffrement post-quantique. Vous aurez ainsi l’assurance que vos données ne seront pas victimes de la stratégie “récolter maintenant, décrypter plus tard”.
Conclusion : Les lois suisses sur la protection de la vie privée sont bonnes et sont très similaires aux lois GDPR en vigueur en Allemagne. Cependant, ces lois ne vous protègent pas des programmes de surveillance nationaux ou internationaux. Au lieu de cela, le chiffrement de bout en bout est le meilleur outil pour protéger vos données.
Restez vigilant et en sécurité. Bon chiffrement !