Proton menacé par la surveillance : vers une possible fuite de la Suisse et la fin du chiffrement ?
En bref
Proton a indiqué qu’un durcissement des règles suisses de surveillance pouvait conduire à un déplacement d’infrastructure hors de Suisse, selon des déclarations publiques non détaillées dans les sources fournies ici.
Les inquiétudes portent sur une révision évoquée des ordonnances OSCPT et OME SCPT, susceptibles d’élargir les exigences imposées aux fournisseurs de services numériques, sans périmètre documenté dans les éléments disponibles.
Le point de friction concerne le chiffrement et l’accès aux métadonnées, avec un risque opérationnel sur les architectures dites zéro accès.
Proton menacé par la surveillance en Suisse et conséquences sur la confidentialité
Fondée en 2014 dans le sillage des révélations d’Edward Snowden sur la surveillance de masse, Proton a développé une offre centrée sur la protection de la sphère privée, notamment Proton Mail, Proton Calendar, Proton VPN, Proton Drive et Proton Pass. L’entreprise s’est établie en Suisse en raison d’un cadre réputé restrictif pour l’accès étatique aux données, avec un passage par des requêtes officielles adressées aux autorités helvétiques lorsque des États tiers sollicitent une entraide.
Dans la pratique, Proton a déjà transmis des informations techniques requises par le droit suisse, par exemple des éléments liés à une adresse IP, y compris lorsque l’utilisateur a eu recours à un VPN selon les cas. En revanche, le contenu des courriels et des fichiers est resté chiffré, ce qui a limité l’accès au texte et aux pièces stockées. Ce différentiel entre données de contenu et données périphériques a structuré la promesse commerciale de l’éditeur.
Révision OSCPT et OME SCPT et exposition des responsables de traitement
Les informations disponibles indiquent que des évolutions des ordonnances OSCPT et OME SCPT ont été évoquées, avec l’idée que des entreprises locales pourraient devoir mettre en place des dispositifs de surveillance et adapter leur mécanisme de chiffrement pour rendre accessibles, au minimum, certaines métadonnées. Le contenu exact, le calendrier et le statut de ces travaux ne sont pas documentés dans les éléments transmis.
Pour les organisations suisses utilisatrices de services chiffrés, le risque se déplace vers la gouvernance des traitements, notamment la qualification des rôles entre responsable et sous-traitant, la documentation des finalités, ainsi que l’adéquation des mesures techniques et organisationnelles. Une entreprise romande fictive, Helvomed SA, qui confie des échanges sensibles à une messagerie chiffrée, doit déjà anticiper l’impact d’un changement réglementaire sur son registre et sur ses clauses contractuelles, car l’architecture de sécurité conditionne le niveau de confidentialité réellement atteignable.
Cette incertitude a placé la question du chiffrement au centre du risque de conformité et de réputation.
Fin du chiffrement et obligations LPD, notification et transferts
Si des exigences techniques imposaient une capacité accrue d’accès aux données périphériques, les acteurs concernés devraient réévaluer les scénarios de violation de la sécurité des données et les conditions de notification selon la LPD, en fonction de la gravité pour les personnes concernées. Les sources disponibles ne mentionnent pas de notification spécifique liée à Proton dans ce contexte, mais l’enjeu se situe dans l’augmentation potentielle de la surface d’accès et des journaux techniques.
Un déplacement d’infrastructure hors de Suisse, évoqué publiquement par Proton selon les exemples de titres fournis, repositionnerait aussi la question des transferts et de la sous-traitance. Pour des clients suisses, la conséquence opérationnelle se jouerait dans les DPA, la localisation effective des traitements et les garanties contractuelles, avec un possible effet indirect du RGPD si des données de personnes se trouvant dans l’Union européenne étaient concernées.
Dans les organisations, l’action attendue reste la cartographie des dépendances au chiffrement et la préparation de clauses d’audit et de transparence, en l’absence d’éléments publics consolidés sur le périmètre réglementaire envisagé.
Les entreprises exposées attendent des précisions sur la portée des obligations techniques envisagées et sur leur compatibilité avec des services chiffrés de bout en bout.
Proton a-t-il déjà transmis des données aux autorités suisses ?
Les éléments fournis indiquent que Proton a déjà partagé des informations techniques exigées par le droit suisse, notamment des données liées à une adresse IP selon les cas, tandis que le contenu des courriels et des fichiers est resté chiffré.
Qu’est-ce qui est évoqué autour des ordonnances OSCPT et OME SCPT ?
Les informations disponibles mentionnent une possible évolution de ces ordonnances, avec l’idée d’exigences de surveillance pouvant toucher l’accès à des métadonnées. Le statut, le calendrier et le texte précis ne sont pas documentés dans les éléments transmis.
Quels impacts pour une entreprise suisse qui utilise une messagerie chiffrée ?
L’impact se situe sur la gouvernance des traitements, les mesures techniques et organisationnelles, la documentation des finalités, ainsi que les contrats de sous-traitance et DPA. Un changement d’architecture de chiffrement modifie la confidentialité réellement garantie.
Un départ de Suisse changerait-il la conformité LPD et les exigences liées au RGPD ?
Un déplacement d’infrastructure peut modifier la localisation des traitements et les conditions de transfert, ce qui impose une revue des garanties contractuelles et des flux. Un effet RGPD peut apparaître si des données de personnes dans l’Union européenne sont concernées ou si des entités de l’UE interviennent dans la chaîne de sous-traitance.
Source: www.clubic.com
