La première Cour du Tribunal administratif fédéral (TAF) s’est prononcée deux fois les 21 et 23 juin 2011 à la suite de recours déposés contre des décisions du Service Surveillance de la correspondance par poste et télécommunication (SCPT). Ces deux affaires concernaient la surveillance d’un accès à Internet demandé par le ministère public du canton de Zürich: surveillance d’un accès à large bande du réseau fixe (A-8284/2010) et surveillance d’un accès par un numéro de téléphone mobile (A-8267/2010).
Contrairement à ce que l’on pourrait croire au premier abord, la question posée par ces arrêts n’est pas de savoir si la surveillance d’un accès à Internet est légale, mais si la méthode exigée par le Service SCPT peut être imposée aux fournisseurs de service de télécommunication (FST). La surveillance d’un accès à Internet fait partie de la surveillance de la correspondance (art. 269ss CPP et est expressément mentionnée dans les art. 23ss OSCPT) Le TAF ne jugeait pas le recours d’une personne surveillée mais celui d’un FST. En simplifiant, on a d’un côté le Service SCPT qui veut faire respecter ses directives et de l’autre le fournisseur service de télécommunication qui veut limiter ses investissements et frais en matière de surveillance.
Lois, ordonnances, et directives
Les mesures de surveillance, notamment des communications, étaient réglées d’abord par la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Aujourd’hui ces disposition ont été en partie remplacées par le Code de procédure pénale fédéral, mais en partie seulement. Si les conditions de surveillance et la procédure d’autorisation et de contrôle en ressortisse, les obligations des fournisseurs sont toujours régies par la LSCPT. Une ordonnance du Conseil fédéral règle ensuite les détails techniques conformément aux délégations contenues dans la LSCPT: c’est l’Ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT). Le service SCPT émet finalement des directives, qui ne sont malheureusement pas (encore) publiques, mais s’inspirent largement des normes de l’Institut européen des normes de télécommunication (ETSI).
Le Service SCPT n’était pas compétent pour adopter une directive (contraignante)
Sans trop entrer dans les détails techniques de ces deux affaires, on peut retenir que le procureur a ordonnée la surveillance de tout le trafic Internet de l’accès à large bande, respectivement du numéro de téléphone mobile. Le service SCPT a ordonné au fournisseur de service de télécommunication de dupliquer le trafic Internet et d’en remettre les données selon la directive établie.
L’art. 24 de l’OSCPT dresse la liste des types de surveillance des accès à Internet qui peuvent être ordonnées et mentionne des informations relatives au courrier électronique ainsi qu’aux données dites accessoires (données de facturation). Alors que la loi vise la surveillance des communications, le Conseil fédéral a réduit la surveillance d’un accès à Internet à la surveillance du courrier électronique. La compétence du Service SCPT d’adopter des directives est donc limitée à cette matière et le Tribunal a naturellement admis le recours du fournisseur de service, non sans souligner le besoin urgent d’adapter l’Ordonnance à la réalité technique. L’OSCPT est d’ailleurs actuellement en cours de révision.
Comment surveiller Internet aujourd’hui ?
La question la plus intéressante est certainement celles que n’a pas traité le Tribunal (parce qu’il n’en était pas saisi): le ministère public peut-il ordonner la surveillance d’un accès à Internet ? La réponse est certainement oui, mais le problème est de savoir comment. A une extrémité, l’autorité de poursuite pénale peut ordonner la surveillance d’un accès à Internet étant donné que le CPP le permet. A l’autre extrémité le fournisseur d’accès n’a pas d’obligation de disposer des compétences et du matériel nécessaire pour procéder à une telle surveillance d’un accès à Internet (ni de se conformer aux directives techniques du service).
La situation ressemble fortement à celle de la surveillance de la correspondance à l’intérieur de réseaux de télécommunications internes ou de centraux domestiques. L’exploitant doit prêter son concours ou tolérer la surveillance mais n’a pas d’obligation de l’exécuter. Le service exécute lui-même la surveillance ou la fait exécuter à ses frais (art. 28s OSCPT).
A mon avis il faut procéder par analogie pour la surveillance d’un accès à Internet, d’autant que le Service SCPT semble disposer d’équipement mobile lui permettant de mener à bien la surveillance.
Laisser un commentaire