La proposition de mise à jour de l’ordonnance suisse sur la surveillance du trafic des postes et télécommunications (VÜPF : Verordnung über die Überwachung des Post- und Fernmeldeverkehrs) représente une expansion significative des pouvoirs de surveillance de l’État, pire que les pouvoirs de surveillance des États-Unis. Si elle est adoptée, elle aura de graves conséquences pour les services cryptés tels que Threema, une alternative cryptée à WhatsApp, et Proton Mail, ainsi que pour les fournisseurs de VPN basés en Suisse.

Bien que la protection de la vie privée en Suisse ait été surestimée, les règles législatives en Suisse sont actuellement décentes et comparables aux lois allemandes sur la protection des données. Cette mise à jour du VÜPF, qui pourrait entrer en vigueur d’ici 2026, changerait radicalement la législation sur la protection des données en Suisse.

Turn ON Privacy in one click.

Get

Pourquoi cette mise à jour est dangereuse

Si la loi est adoptée dans sa forme actuelle,

• Les fournisseurs suisses de services de messagerie et de VPN qui ne comptent que 5 000 utilisateurs seront contraints d’enregistrer les adresses IP et de conserver les données pendant six mois - alors qu’en Allemagne, la conservation des données est illégale pour les fournisseurs de services de messagerie.
• Une pièce d’identité ou un permis de conduire, voire un numéro de téléphone, sont exigés pour le processus d’enregistrement de divers services, ce qui rend impossible l’utilisation anonyme.
• Les données doivent être fournies sur demande en texte clair, ce qui signifie que les fournisseurs doivent être en mesure de décrypter les données des utilisateurs de leur côté (à l’exception des messages cryptés de bout en bout échangés entre les utilisateurs).

De plus, la loi n’est pas introduite par ou via le Parlement, mais le gouvernement suisse, le Conseil fédéral et le Département fédéral de justice et police (DFJP) veulent étendre massivement la surveillance de l’internet en mettant à jour le VÜPF - sans que le Parlement n’ait son mot à dire. C’est un choc dans un pays fier de sa démocratie directe, où les citoyens se prononcent sur toutes sortes de lois. Toutefois, en 2016 , les Suisses ont en fait voté en faveur d’une surveillance accrue, de sorte que la démocratie directe pourrait ne pas être d’un grand secours.

Histoire de la surveillance en Suisse

En 2016, le Parlement suisse a mis à jour sa loi sur la conservation des données (BÜPF) afin d’imposer la conservation de toutes les données de communication (courrier, courriel, téléphone, messages texte, adresses IP). En 2018, la révision de la loi VÜPF a traduit cela en obligations administratives pour les fournisseurs de services Internet, les fournisseurs de courrier électronique et autres, avec des exceptions en ce qui concerne la taille du fournisseur et le fait qu’il soit classé comme fournisseur de services de télécommunications ou de services de communication.

C’est ainsi que des services tels que Threema et ProtonMail ont été exemptés de certaines des obligations auxquelles des fournisseurs tels que Swisscom, Salt et Sunrise devaient se conformer, alors même que le gouvernement suisse aurait souhaité les classer parmi les quasi-opérateurs de réseau et les fournisseurs de services de télécommunications. La mise à jour du VÜPF, actuellement en discussion, semble viser directement les petits fournisseurs ainsi que les fournisseurs de services anonymes et de VPN.

L’État suisse chargé de la surveillance a toujours cherché à obtenir beaucoup de pouvoir et a dû être rappelé à l’ordre par le Tribunal fédéral dans le passé pour asseoir la surveillance sur une base juridique solide.

Aujourd’hui, l’article 50a de la réforme VÜPF stipule que les fournisseurs doivent être en mesure de supprimer “le cryptage fourni par eux ou en leur nom”, ce qui revient à demander un accès au cryptage par une porte dérobée. Toutefois, les messages cryptés de bout en bout échangés entre les utilisateurs ne sont pas concernés par cette obligation de décryptage. Pourtant, même le fournisseur suisse de services de messagerie électronique Proton Mail déclare à Der Bund que “la surveillance suisse serait beaucoup plus stricte qu’aux États-Unis et dans l’UE, et que la Suisse perdrait sa compétitivité en tant que lieu d’implantation d’entreprises”.

Critique de la loi

Cette réforme est largement critiquée comme une attaque contre la vie privée et la sécurité des communications numériques. Si elle est mise en œuvre, elle pourrait sérieusement nuire à la réputation de la Suisse en tant que lieu privilégié pour les services en ligne sécurisés et privés. L’utilisation d’une application suisse en raison de son bon niveau de protection des données deviendrait obsolète, ce qui affecterait même les petites entreprises ainsi que les projets open source exploités depuis la Suisse. En revanche, les grands acteurs de la Silicon Valley, tels que WhatsApp ou Gmail, ne seraient pas concernés par cette législation.

La Digitale Gesellschaft déclare à Heise que

”À l’avenir, il ne sera plus guère possible d’utiliser une application de chat, par exemple, sans fournir directement ou indirectement une pièce d’identité officielle. La révision représente une attaque frontale contre nos droits fondamentaux, l’État de droit et la possibilité d’une communication sûre et protégée.”

Les experts juridiques et en protection des données critiquent également le fait que la mise à jour du VÜPF entre en conflit avec la loi sur la protection des données (par exemple, le principe de minimisation des données de la loi) et peut violer des droits constitutionnels tels que le droit à la vie privée.

Chez Tuta Mail, nous luttons contre les tentatives légales visant à saper le chiffrement sur tous les fronts, comme le cadre européen ProtectEU, la tentative de la Suède de mettre en place une porte dérobée pour le chiffrement, et maintenant la mise à jour du VÜPF par la Suisse.

Ensemble, nous devons veiller à ce que notre internet reste sûr et privé !