Collecte et Rétention de données de connexion (métadonnées)

Lawful interceptionLe Parti Pirate Suisse a traduit notre feuille d’informations concernant la collecte et la rétention de données de connexion. Merci beaucoup!

Qu’est-ce que la rétention de données de connexion?

En Suisse, tous les fournisseurs de services postaux, téléphonies et d’accès Internet sont obligés d’enregistrer chaque transmission (lettres, emails, appels, SMS, connexions Web, etc…) et de stocker les données correspondantes durant 12 mois. La loi (LSCPT) impose cela à tous les opérateurs et fournisseurs de solutions de télécommunications. Cela constitue une atteinte sévère et disproportionnée à la sphère privée des citoyens, tel qu’elle est garantie dans notre Constitution.

Quelles données sont collectées et stockées?

La collecte de données comprend l’identification de l’appelant ainsi que du recépteur et la durée de conversation. En outre, les informations de localisation du téléphone mobile sont stockées. Le catalogue comprend aussi de nombreux détails administratifs, numéros de téléphone, les abonnements et les transactions de paiement.

Comme les smartphones modernes sont pratiquement connectés en permanence à Internet, il est possible de collecter les informations des antennes auxquelles se sont connectés les périphériques et ainsi suivre à la trace les déplacements de la cible.

Dans quels cas ces données sont-elles utilisées?

Le soupçon d’une violation dans l’affaire de détournement de matériel  de télécommunications est suffisant pour obtenir l‘utilisation des données conservées. Ceci  n’est donc pas limité aux crimes graves, mais il est également possible d‘avoir recours à une telle procédure dans le cadre d’infractions moins graves, comme le vol simple, la violation du droit d’auteur, les fausses alarmes et pour tous les crimes commis sur Internet – de sorte que même pour une insulte, les fournisseurs sont tenus de permettre l’identification de l’auteur ou du créateur du message insultant. Il n’est pas nécessaire de recevoir une injonction d’un juge pour avoir l’obligation de collecter ces données

Avec  la nouvelle loi sur les renseignements, le Service fédéral de renseignements est en mesure d’accéder aux données. Cette  intervention est l’une des soi-disantes «mesures   soumises à autorisation». Comme l’application de la loi est nécessaire pour identifier les utilisateurs d’Internet, il est impossible de vraiment garantir par la suite que ces données ne seront divulguées que sur autorisation.

«Qui n’a rien fait, n’a rien à craindre» – vraiment?

Avec cette loi, la suspicion est généralisée et débouche sur des contrôles préventifs. La présomption d’innocence est ici bafouée. Aucune exception pour les avocats, les journalistes, les médecins n’existe. Ainsi, la conservation des données interfère avec le secret professionnel.

Il est aussi possible de surveiller un lieu en filtrant toutes les connexions passant par l’antenne la plus proche et les différent mobiles s’y connectant.

Tel que rapporté, la Cour constitutionnelle fédérale allemande a jugé que la rétention des données est capable de «provoquer un sentiment diffus et menaçant d’être observé, ce qui peut nuire à un libre exercice des droits  fondamentaux dans de nombreux domaines».

Cela vaut indépendamment du fait que les données soient réellement évaluées ou non. Une caméra de surveillance dotée d’un voyant rouge remplit aussi le jeu de simulation dans le rôle de recherche de la discipline.

N’est-il donc pas évident que ces données contribuent à résoudre des crimes et sont donc indispensables?

Malheureusement, il ya peu d’études qui analysent la nécessité de la conservation des données pour lutter contre la criminalité.

L’Institut  Max Planck affirme, dans un rapport commandé par l’Office fédéral allemand  de la Justice : «En comparaison des taux de détection qui ont été obtenus en Allemagne et en Suisse en 2009, aucune preuve ne peut être faite que la pratique de conservation des données des Suisses, depuis environ 10 ans, conduise à un renseignement supérieur systématique».

Pour justifier une «grave ingérenc» dans les droits fondamentaux, comme la  rétention de données, il faut démontrer sa nécessitée. L’argument de la «sécurité» et du «maintien de l’ordre» ne suffit pas comme justification générale de la rétention d’informations. Une restriction des droits fondamentaux est illégale lorsque l’utilité de la mesure ne peut pas être prouvée.

Ces données de connexioin ne sont-elles pas de toute façon stockées par les fournisseurs?

Certaines informations issues des métadonnées sont nécessaires aux opérateurs pour établir la facturation, comme, par exemple, les journaux de connexion. Pour permettre le traitement de ces données par les autorités, la nature même des informations n’est pas altérée, simplement restructurée pour permettre une historisation et une transmission facilitée; lorsqu’elles sont requisitionnées, elles sont transmises via une interface standardisée à l’administration. Cela n’altère en rien le caractère de la collecte de données, ni les risques qui y sont liés.

Les données nécessaires à la facturation ne sont pas les seules à être enregistrées. Un vaste ensemble de données est concerné par la rétention: les adresses IP attribuées lors des connexions,  les connexions aux antennes de téléphonie cellulaire, les relevés de messagerie électronique (SMS,  Email…), etc. Cependant la loi sur la protection des données impose à un prestataire de service de ne pas avoir accès à ces données, et de pouvoir faire la démonstration de leur destruction. Or, la LSCPT exige tout le contraire. A priori, l’opérateur ne devrait posséder tout au plus que des données anonymisées.

Dans le cas de soupçons raisonnables, la rétention généralisée de données peut très bien être remplacée par des méthodes et approches «quick freeze» ou «saisie instantanée» . Il s’agit de faire une capture immédiate de l’ensemble des données d’une personne ou d’un groupe de manière transversale chez l’ensemble des opérateurs, et de mettre le résultat de cette intervention à disposition des enquêteurs, sur ordonannce du tribunal uniquement.

Quelle est la position de la Justice quant à la rétention des données?

L’ensemble des Cours Constitutionnelles qui ont été saisies pour examiner des lois similaires à la LSCPT envisagée par la Suisse, a déclaré qu’en la matière elles représentaient toutes des attaques injustifiées contre les droits fondamentaux, et à chaque fois, ces tribunaux se sont prononcés pour une invalidation de ces lois: La Roumaine (2009, 2014) L’Allemagne (2010), la République tchèque (2011),  l’Autriche (2014), Pays-Bas (2015) et la Bulgarie (2015).

En 2014, la Cour de Justice Européenne a également rendu invalide la directive européenne concernant la rétention des métadonnées. La Cour a jugé que les atteintes aux droits fondamentaux étaient profondes et particulièrement graves. Le législateur avait «franchi la ligne rouge par l’ampleur et la disproportionalité  des mesures de surveillance prescrites, qui, par leurs effets, remettent en cause les droits fondamentaux»

Il y a un an, le Haut-Commissaire des Nations Unies aux droits de l’homme a formulé une critique très virulente quant à la rétention de données: «Le stockage de données de communication représente une atteinte significative de la sphère privée, non obstant le fait que ces données soient employées ou non. Cette atteinte à la sphère privée entraîne des conséquences et effets extrêment négatifs sur les libertés d’expression et de réunion.»

Et en Suisse?

Dans  une analyse de l’arrêt sur la directive de l’UE, les avocats suisses spécialisés en la matière, Simon SCHLAURI et Daniel RONZANI, ont conclu: «Le législateur suisse, qui travaille actuellement sur une intensification significative de la rétention, serait bien avisé d’envisager de manière approfondie la question fondamentale de la constitutionnalité de la conservation des données».

En outre en Suisse, le cadre juridique définissant la rétention de données n’impartit pas de restrictions quant à l’usage fait de ces données. Il n’impose ni la destruction de ces données à l’expiration de la phase de conservation de 6 mois, ni aucun devoir de diligence envers les prestataires manipulant ces données. Quant à un droit d’information des personnes faisant l’objet de telles mesures, il est tout simplement inexistant.

La «Digitale Gesellschaft» s’est donc vue contrainte d’entamer une procédure judiciaire. La plainte contre le stockage de métadonnées est actuellement en cours de traitement par le Tribunal administratif fédéral (TAF).