Pourquoi la Suisse est-elle considérée comme le cœur de la vie privée ?

La protection des données personnelles et le respect de la vie privée sont des enjeux de mieux en mieux compris du grand public. Il faut dire que les scandales et les affaires relatifs aux données personnelles explosent et sont de plus en plus médiatisés. Les outils et services censés nous y aider se multiplient. Parmi eux, un large panel d’entreprises met en avant la localisation géographique comme un argument majeur en faveur du respect de la privée.

Pour appuyer cet article et les réflexions qui gravitent autour du sujet de la vie privée, nous avons contacté plusieurs acteurs du numérique suisses. Vous trouverez leurs réactions au fil de votre lecture et nous viendrons ajouter d'éventuelles réponses par la suite.

Considérée comme un bastion du droit des individus, la Suisse vient en première position des pays dans lesquelles nos données personnelles seraient plus en sécurité qu’ailleurs. Cette affirmation est-elle seulement vraie, et si oui : pourquoi ?

Des services qui misent sur la confidentialité

Threema, ProtonMail, Infomaniak, Tresorit, SecureSafe, Silent Circle, pCloud … sont autant de sociétés dont vous avez sans doute entendu parler ces dernières années. Leurs points communs ? Proposer des services et outils numériques, aussi bien auprès des entreprises qu’auprès des particuliers, en mettant l’accent sur la confidentialité et en offrant des garanties en matière de protection de la vie privée. Qu’il s’agisse de services mails, d’hébergement et stockage cloud, ou encore de messagerie instantanée, ces entreprises communiquent beaucoup autour de ce qu’offre le droit suisse. Le pays est souvent mentionné comme étant l’un des plus protecteurs en matière de vie privée.

Dans un contexte où l’emprise des GAFAM semble toujours s’intensifier malgré les scandales et les révélations, à l’heure des lanceurs d’alertes et des mobilisations citoyennes de grande envergure face aux dispositifs de surveillance des gouvernements, avoir recours à des services basés en Suisse change-t-il vraiment quelque chose à l’équation ?

Sphère privée et secret bancaire

Avant de parler des potentiels atouts des outils numériques helvètes, il convient d’évoquer certains faits qui font de la Suisse une destination prisée. Avant d’être considérée comme une valeur sûre pour nos données personnelles, la Suisse a d’abord été un paradis fiscal en raison du secret bancaire.

Un véritable bras de fer diplomatique s’est joué et a débouché sur certains accords entre pays dans le but de faire tomber ce secret bancaire. Si bien que la Suisse s’apparente aujourd’hui plus à un « refuge » fiscal qu’à un paradis pour les contribuables français (entre autres). Les Helvètes se sont en effet longtemps reposés sur le droit civil et la protection de la sphère privée, protégés par la Constitution fédérale, pour faire de leur pays une destination prisée dont l’économie est largement portée par les activités bancaires.

Ce droit au respect de la vie privée n’est d’ailleurs pas le seul atout suisse en matière bancaire, comme d’hébergement de données. L’image de discrétion et de fiabilité à l’internationale dont jouit le pays le distingue, tout autant que sa stabilité économique et politique, sa neutralité, et la solidité de son système judiciaire.

Voilà pour le contexte, bien connu, de ce pays dont les spécialités sont loin de s’arrêter à la charcuterie et au fromage. Dirigeons-nous toutefois vers ce qui nous intéresse, à savoir les lois qui s’appliquent en matière de protection des données pour les entreprises basées en Suisse.

Protection des données : un droit fondamental inscrit dans la Constitution

La Suisse est l’un des rares pays qui intègrent le traitement des données personnelles à sa Constitution. Il s’agit plus précisément de l’article 13 de la Constitution, garantissant aux citoyens suisses que leurs données ne peuvent être exploitées sans leur consentement préalable.

Ce droit fondamental est concrétisé par plusieurs lois, à commencer par le Code civil suisse qui protège en cas d’atteinte illicite à la personnalité, ainsi que la Loi fédérale sur la protection des données de 1992 (LPD). Cette dernière oblige les entreprises à respecter un certain nombre de dispositions qui concernent cette fois-ci aussi bien les résidents suisses que les étrangers. Sa portée extraterritoriale s’étend également aux entreprises étrangères, qui se doivent de respecter ses dispositions lorsqu’elles traitent les données des résidents suisses.

Révisée et adoptée le 25 septembre 2020, la nouvelle version de ce texte accuse quelques lenteurs dans sa mise en place et devrait entrer en vigueur courant 2022. Elle reprend les fondements du Règlement Général sur la Protection des Données (RGPD) européen, dans l’objectif de conserver le niveau de protection adéquat stipulé au sein de la convention 108 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel édicté par le Conseil de l’Europe.

Un contexte loin d’être idyllique

Si les entreprises suisses sont tenues de respecter des lois qui offrent l'un des niveaux de protection parmi les plus élevés au monde, cela ne signifie pas pour autant que tout soit parfait. Les banques et les entreprises du numérique profitent de ce cadre juridique pour proposer des services avec un niveau de confidentialité supérieure ; pour autant le renforcement des droits des personnes et des obligations des entreprises avec la révision de la LPD s’est fait à pas de tortue. La LPD révisée se rapproche fortement des standards européens, notamment avec la prise en compte des concepts de Privacy by Design et Privacy by Default. Dans les faits, la LPD comble un écart colossal entre sa version de 1992 et sa version révisée, mais elle reste un peu plus laxiste que le RGPD sur plusieurs points.

En outre, la Suisse s’est récemment fait remarquer dans plusieurs dossiers. On pense notamment au fait que la justice suisse aurait utilisé un logiciel d’espionnage israélien dans le cadre de plusieurs affaires, selon une enquête menée par la RTS. La police fédérale n’a pas précisé s’il s’agissait ou non de Pegasus, mais elle a tenu à rassurer en précisant une utilisation uniquement ciblée dans le cadre d’infractions graves.

La problématique soulevée ici est toutefois celle de la souveraineté numérique du pays, des questions auxquelles les citoyens suisses semblent attachés, comme le montre la récente polémique autour du choix des fournisseurs cloud de la Confédération. En adjugeant le contrat à Alibaba, Microsoft, Oracle et Amazon, la Chancellerie fédérale a créé la surprise et suscité de nombreuses levées de boucliers.

La souveraineté numérique du pays est en jeu, les acteurs américains étant contraints par le Cloud Act là où la loi chinoise oblige les entreprises à communiquer sans restriction avec les services de renseignement nationaux dans le cas d'Alibaba. Les objectifs et la portée de ces contrats se sont précisés dans un communiqué récent, expliquant notamment que la Confédération "ne prévoit pas de transférer des données sensibles nécessitant un niveau de protection élevé dans des nuages publics" donnant en exemple les données fiscales et de santé.

Pourquoi les entreprises suisses offrent-elles le meilleur niveau de protection au monde ?

Hormis son arsenal pénal, que nous aborderons ensuite via l’affaire ProtonMail, la Suisse peut se vanter de n’être signataire d’aucun accord international de surveillance. Depuis les révélations de l’ancien analyste de la NSA, Edward Snowden, le monde ouvre les yeux sur ce qu’est et comment s’exerce la surveillance électronique de masse, une surveillance qui est loin d’être le seul fait du gouvernement américain.

En occident, de nombreux pays ne peuvent espionner directement leurs citoyens en raison du cadre légal qui s’y applique. En France, l’intimité de la vie privée et le secret des communications électroniques sont protégés par la loi. Cela pousse les pays à la coopération, notamment avec la signature d’accords de partage de renseignements, des alliances connues sous le nom de Five Eyes qui regroupe les cinq grands pays anglophones, Five Eyes Plus, qui y ajoute la France, l’Allemagne et le Japon, Nine Eyes, ou encore Fourteen Eyes. Dans certains cas, elles permettent aux pays qui en sont membres d’outrepasser leurs propres lois nationales. C’est du moins ce que révèle le témoignage de Snowden qui qualifie lui-même les Fives Eyes comme « une agence de renseignement supranationale qui ne répond pas aux lois de ses propres pays membres ».

Il serait toutefois mensonger d’exclure la Suisse de toute alliance internationale impliquant un partage d'informations, comme nous l'avons vu à propos du secret bancaire. Les Helvètes participent notamment à un forum des services de renseignement des 27 états de l’UE, une institution qui permet un échange volontariste sur les problèmes communs aux services de renseignement. Le Counter Terrorism Group (CTG) est une branche de ce forum, fondé après les attaques du 11 septembre 2001, il se concentre quant à lui uniquement sur les affaires de terrorisme.

Cela nous amène à évoquer le cadre pénal qu’offre la Suisse. Les entreprises suisses sont contraintes par la loi à ne pas transmettre d’information concernant leurs utilisateurs à d’autres gouvernement ou entités (article 271 du Code pénal suisse). Seules les autorités suisses peuvent contraindre une entreprise à fournir des données personnelles, sous certaines conditions puisque les demandes étrangères se doivent d’être instruites et validées par un tribunal suisse. Alors comment cela se passe lorsque c’est le cas ? La récente affaire impliquant ProtonMail dans l’arrestation d’un activiste du climat en France a justement apporté pas mal d’éclaircissements sur ces questions.

L'affaire ProtonMail

En septembre 2021, Proton Technologies AG, la société qui édite ProtonMail, a été pointée pour avoir fourni les moyens qui ont menés à l’arrestation d’activistes français appartenant au collectif Youth for Climate. Si l’entreprise a été sous le feu des critiques, c’est surtout en raison des promesses initiales de ProtonMail qui indiquait "ne pas journaliser les adresses IP par défaut".

Si l’on peut reprocher un manque de clarté dans la communication de ProtonMail, il faut toutefois souligner que l’entreprise n’a fait que répondre à la requête des autorités suisses elles-mêmes. C’est sans doute ce qu’il fallait comprendre : ProtonMail ne journalise pas les adresses IP et fingerprints par défaut, mais peut le faire lorsqu’une réquisition judiciaire émanant d'un tribunal suisse, lui ordonne. C’est exactement ce qu’il s’est passé dans cette affaire.

L’Union européenne dispose en effet d’un cadre pour la coopération entre pays en matière pénale : la Convention européenne d’entraide judiciaire (CEEJ), transposée dans le droit suisse avec la loi fédérale sur l’entraide internationale en matière pénale (EIMP). C’est ainsi que les autorités suisses ont jugé recevable la demande du gouvernement français reçue par le biais d’Europol. Reste à savoir si la liste des infractions susceptibles de justifier une surveillance (régie par le Code de procédure pénale suisse – CPP) est trop vaste pour en venir à valider un trop grand nombre de demandes étrangères.

Le CPP implique d’autres dispositions, notamment l’obligation d’informer la personne des motifs, du mode et de la durée de la surveillance, « au plus tard lors de la clôture de la procédure préliminaire ». C’est cependant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) qui fixe les obligations des fournisseurs de télécommunications dans le cas d’une surveillance. ProtonMail appartenant à la catégorie des fournisseurs de services de communication dérivés, l’entreprise n’est tenue qu’à une collecte de données minimales par rapport à un fournisseur de télécommunication qui se doit de conserver ses données et de les rendre accessibles.

C’est bien l'appartenance à cette catégorie qui protège ProtonMail, et les autres services d’hébergement, de mails ou de messagerie instantanée. Le Service de surveillance de la poste et des télécommunications (SSPT) a d’ailleurs tenté de faire passer ProtonMail (et ProtonVPN) dans la catégorie des fournisseurs de télécommunications. La société Proton AG a toutefois remporté son recours en appel devant un tribunal administratif fédéral, confirmant le statut de l’entreprise et les exigences en matière de conservation des données.

Le droit à la vie privée représente-t-il un danger ?

Les commentaires vont bon train sur les technologies et le cadre légal qui permettent de se protéger des atteintes à la vie privée. Il convient en premier lieu de se rappeler que le droit au respect de la vie privée
a été affirmé par la Déclaration universelle des droits de l'homme des Nations unies en 1948.

La problématique qui revient le plus souvent sur le devant de la scène est de savoir comment débusquer ceux qui utilisent ces services pour de mauvaises raisons. Comme nous l’avons vu, même un pays considéré comme une enclave pour la sécurité des données disposent d’un cadre complet pour l’entraide internationale.

On peut finalement faire le parallèle entre le secret bancaire et le droit à la sphère privée : le secret bancaire suisse a longtemps agacé (le mot est faible) les gouvernements en favorisant l’arrivée de capitaux étrangers. La Suisse a peu à peu allégé ses dispositifs de protection jusqu’à la signature d'accord dans le cadre d’une coopération avec certains États.

Si l’attractivité du système bancaire nationale est en baisse, il s’agit néanmoins de trouver un équilibre dans le champ d’application du secret bancaire aux étrangers. Bien que régulièrement remis en cause, cet équilibre semble déjà plus mature et harmonieux en ce qui concerne les communications, la collecte des données et la protection de la vie privée. Certes, il n’est sans doute pas parfait. Il permet malgré tout d’apporter une plus forte protection aux étrangers qui ont recours à certains services numériques suisses.

Comment choisir les services les plus respectueux de la vie privée ?

La Suisse n’est pas le seul pays à proposer un cadre supérieur à la moyenne en matière de protection de la vie privée. Le Panama, emplacement choisi par NordVPN notamment, est un bon exemple de localisation où les obligations légales en matière de conservation de données sont légères, sans oublier le fait que ce pays n’est également pas signataire d’accords internationaux de type Five Eyes.

La juridiction à laquelle dépendent les services fait partie des premiers critères à observer si l’on s’attache à la sécurité et à la confidentialité. Mais cela ne fait pas tout. Certaines entreprises vendent par exemple des services apparemment basés en Suisse, alors que seul leur siège social l’est vraiment. On pense notamment à pCloud qui met en avant une « protection des données comme en Suisse » alors que ses serveurs sont situés soit au Luxembourg, soit aux États-Unis, à Dallas. Dès lors les données qui y transitent ne sont pas sous le coup de la juridiction suisse, mais bel et bien des pays qui les abritent.

Bien sûr cela ne signifie pas qu’un service installé dans un pays comme les États-Unis soit forcément mauvais, le cas le plus parlant est sans doute celui de l’application de messagerie instantanée Signal. Le fonctionnement même de l’application, qui s’appuie sur un protocole de chiffrement de bout en bout et open source, garantit qu’un tiers ne puisse consulter les messages échangés. À cela s’ajoute un stockage local sur l'appareil de l'utilisateur lui assurant de fait un meilleur niveau de sécurité. Cela ne signifie pas non plus l’absence de métadonnées, ces informations associées aux messages impliquent un grand nombre de données parfois aussi sensibles, voire plus, que le contenu des communications. Dans le cas de Signal, les métadonnées ne sont que temporaires, logiquement requises lors de la transmission du message. Signal reste également assujettie au Cloud Act et ne peut être utilisée de manière réellement anonyme puisqu'il est nécessaire de fournir un numéro de téléphone ou une adresse email pour utiliser la messagerie. Deux faiblesses qu'on ne retrouve pas avec l'application Suisse Threema qui demande en revanche l'achat d'une clé de licence moyennant quelques euros.

Après les considérations liées à la localisation, viennent donc inéluctablement s’ajouter celles de la technologie. Le chiffrement de bout en bout signifie que les données transmises ne sont accessibles qu’à l’utilisateur du service, et bien sûr à la personne qui dispose de la clé pour déchiffrer les contenus ou le message, par exemple dans le cas d’un échange d’emails chiffrés. C’est pour cette raison, dans le cas de Signal ou de ProtonMail par exemple, que ces deux entreprises ne peuvent fournir le contenu des messages échangés quand bien même les autorités l’exigent. Pour en revenir à l’affaire ProtonMail, celle-ci n’aurait pas eu lieu si la personne en cause avait utilisé la version oignon du site, accessible comme son nom l’indique via le réseau Tor. Il y a forcément un écart assez important entre le fait d’utiliser un service qui dispose de forts atouts en matière de confidentialité et un usage « anonymisé » comme Tor le permet (bien qu’il ne soit pas infaillible non plus).

Les services de stockage cloud basés en Suisse

Voici les principaux services de stockage disponibles chez nos amis helvètes.

pCloud

Présentation de pCloud

Lancé en 2013, le service de stockage en ligne pCloud a séduit plus de 16 millions d'utilisateurs. Populaire aux Etats-Unis mais également en Asie, il est notamment apprécié pour son excellente expérience utilisateur, son haut niveau de sécurité ainsi que ses tarifs, plutôt abordables. Au niveau des fonctionnalités, pCloud propose notamment une solution de backup sur ordinateur, des options de restauration de fichiers et de quoi facilement collaborer avec d'autres utilisateurs.

En plus de son interface web, pCloud permet à ses abonnés de synchroniser leurs données sur toutes sortes de dispositifs (ordinateurs Windows, Mac ou Linux, appareils sous système iOS ou Android). Des extensions sont également disponibles sur les navigateurs Chrome, Firefox Edge et Opera. Il existe aussi un module pour Adobe Lightroom CC.

Ce service dispose d'une offre gratuite plutôt complète, qui comprend un espace de stockage de 4 Go extensibles. Il existe également des formules payantes à l'année, démarrant à 49,99 €. pCloud propose notamment des plans Famille et Business. Des offres "à vie" sont aussi disponibles !

pCloud : les mesures de sécurité

Comme beaucoup de services concurrents (Dropbox et iCloud, notamment), pCloud utilise le protocole AES-256 pour protéger les fichiers qui lui sont confiés. Il chiffre également les clés privées en RSA 4096-bits, un standard qui va au delà des préconisations de l'Agence nationale de la sécurité des systèmes d'information. Pour plus de sécurité, pCloud sauvegarde les données de ses utilisateurs sur 3 serveurs différents. Cette méthode a déjà montré ses preuves en cas de panne.

Parmi les autres mesures de sécurité, on peut noter que la société a mis en place l'authentification à deux facteurs, et ce, depuis plusieurs années. En plus d'un mot de passe, les utilisateurs peuvent donc confirmer leur identité au moyen d'un code envoyé par SMS ou avec une notification. Lorsque vous configurez l'authentification à deux facteurs, vous recevez 10 codes de récupération. Ces 10 codes de récupérations peuvent être utilisés si vous n'arrivez pas à accéder à votre compte pCloud.

Cette solution en ligne propose également à ses utilisateurs de définir des appareils de confiance sur une période de 30 jours. Un coffre-fort virtuel est aussi disponible, mais seulement en option.

Proton Drive

Présentation de Proton Drive

Basée à Genève, la société Proton a été créée en 2014 par d'anciens ingénieurs du CERN. Ayant pour objectif de proposer une alternative au géants du web américains, l'entreprise a dépassé cette année les 100 millions d'utilisateurs. Proposant à l'origine une solution de messagerie ainsi qu'un VPN, Proton a mis au point la solution de stockage en ligne Proton Drive, déclinée en version web, Android, iOS et Windows. Des apps Linux et MacOS seront prochainement disponibles.

Proton Drive dispose d'une offre gratuite limitée qui comprend 1 Go d'espace de stockage. Il existe également trois formules payantes : "Plus" à 2,99 € par mois, "Unlimited" à 12,99 € par mois et "Family" à 29,99 € par mois. Les fonctionnalités proposées au sein de ce service sont assez classiques : synchronisation de fichiers depuis un dossier dédié, versioning, backup, partage de fichiers ou de dossier via un lien de téléchargement, upload automatique des images depuis un smartphone, etc.

Proton Drive : les mesures de sécurité

La grande force de Proton Drive est sa sécurisation. Le service utilise, en effet, le chiffrement de bout en bout ainsi que le cryptage zéro accès. Grâce à ces protections, personne, pas même Proton, ne peut accéder aux données de l'utilisateur qui est le seul à avoir la main sur ses fichiers. Ce dernier possède, pour cela, une clé privée.

Proton Drive chiffre le contenu de tous les fichiers mais aussi les multiples éléments qui y sont liés (nom, métadonnées, taille, date d'upload, etc.). Le chiffrement E2EE est également appliqué aux liens de téléchargement. La double authentification est aussi proposée par le service (avec une app ou une clé physique).

Autre élément en faveur de Proton : l'entreprise est propriétaire de ses serveurs et a mis en place des accès biométriques. Elle ne consulte et ne revend aucune des données qui lui sont confiées.

kDrive - Infomaniak

Présentation de kDrive

Créée en 1994 à Genève, la société Infomaniak est reconnue pour son respect de l'environnement et son éthique (elle a d'ailleurs récemment reçu le Prix Suisse de l'éthique 2023). Elle dispose d'une large offre de services dans laquelle on trouve notamment la solution de stockage cloud kDrive. Intégré dans la suite bureautique en ligne kSuite, cet outil se base sur des serveurs éco-friendly. On peut y accéder en version web mais aussi l'installer sur ordinateur (Windows, Mac, Linux) ou appareil mobile (iOS, Android).

Pensé aussi bien pour les particuliers que les professionnels, kDrive ne manque pas de fonctionnalités: import de fichiers, liens de partage, création et édition de documents en ligne, boîte de dépôt, gestion des droits et des versions, synchronisation, upload automatique de photos depuis un mobile, etc. Ce service dispose d'une offre gratuite généreuse (15 Go) qui permet de tester les options avancées du service durant 30 jours. 3 formules payantes existent : Solo (4,99 € par mois), Pro (6,66 € par mois et utilisateur) et Team (10 € par mois). Il est possible de choisir sa durée d'engagement.

kDrive : les mesures de sécurité

Infomaniak est propriétaire de datacenters classés TIER 3+. Cette société n'analyse et ne revend aucune donnée et propose la double authentification pour tous ses outils, dont kDrive. Les fichiers sont chiffrés grâce au standard AES-128 bits.

De plus, les transferts de données sont protégés avec le protocole SSL/TLS. Un chiffrement AES 128-bits est également appliqué lors de ces transmissions.

Pour plus de sécurité, kDrive sauvegarde les fichiers qui lui sont confiés au sein de trois serveurs différents. En cas de panne, il n'y a donc pas à craindre que ces derniers soient perdus. Notons que les serveurs sont régulièrement audités par des experts tiers.

Tresorit

Présentation de Tresorit

Tresorit est un service de stockage en ligne lancé en 2014 (la version française date, quant à elle, de 2016). Créé par des développeurs hongrois, il a, au départ été conçu pour les professionnels. Sa simplicité d'utilisation lui permet toutefois d'être également utilisé par des particuliers.

Tresorit est un service accessible sur le web mais également sur une grande variété d'appareils (ordinateurs Windows, Linux et Mac, appareils sous système iOS ou Android). Des plugins Outlook et Gmail sont disponibles pour chiffrer des pièces jointes.

Les tarifs de Tresorit sont les suivants :

• Pour les particuliers, on trouve une formule "Personal" à 9,99 € par mois et une formule "Professional" à 23,99€ par mois.
• Pour les professionnels, il y a une formule "Business Standard" à 12 € par mois et par utilisateur, une formule "Business Plus" à 16 € par mois et une formule "Custom" sur devis.

La formule gratuite donne accès à un espace de stockage cloud de 3 Go, accessible depuis 2 appareils.

Tresorit : les mesures de sécurité

La solution Tresorit a mis en place le protocole AES 256 pour sécuriser les fichiers qui lui sont confiés, avant de les envoyer sur ses serveurs. Toutes les données sont chiffrées de bout en bout. De plus, une technologie Zero-Knowledge est également utilisée : ainsi, seul l'utilisateur peut consulter le contenu de ses documents.

Si la société est localisée en Europe, ses datacenters sont, eux, basés dans le monde entier. En effet, Tresorit n'est pas propriétaire de ses serveurs : l'entreprise utilise les centres Microsoft Azure. Il est, cependant, possible pour les entreprises abonnées à ses services de choisir l'emplacement où elles souhaitent que leurs données soient stockées.