L’art. 273 du Code de procédure pénale (CPP) permet au ministère public d’obtenir des fournisseurs de services de télécommunications les données indiquant quand et avec quelles personnes ou quels raccordements la personne surveillée a été ou est en liaison par poste ou télécommunication (a) et les données relatives au trafic et à la facturation (b) lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis. L’ordre de surveillance doit être autorisé par le tribunal des mesures de contrainte et les principes de proportionnalité et de subsidiarité doivent notamment être respectés.
On appelle ces informations «données accessoires» ou encore «données relatives au trafic et à la facturation et identification des usagers». Elles se distinguent des autres mesures de surveillance de la correspondance et des télécommunications par le fait qu’elles ne portent pas sur le contenu. Elles portent donc une atteinte moins grande à la sphère privée et peuvent être autorisées plus facilement que l’accès au contenu (ATF 137 IV 340, consid. 5.5). Ces données peuvent être demandées en temps réel (comme une écoute), mais c’est assez rare. Elles sont le plus souvent demandées avec effet rétroactif. Dans ce cas l’art. 273 al. 3 CPP prévoit une limite à six mois, indépendamment de la durée de la surveillance.
Certains considèrent qu’il s’agit là d’une obligation pour les fournisseurs de conserver les données durant 6 mois et qu’il serait possible d’obtenir des données plus anciennes si elles sont disponibles. Cette interprétation ne devrait pas être suivie. L’obligation de conserver les données découle des art. 12 al. 2 et 15 al. 3 de la Loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT). C’est cette loi qui impose des obligations aux fournisseurs de services, alors que les conditions de surveillance (et d’obtention des données) découlent du CPP. La limite de six mois s’impose donc aux autorités de poursuite et elles ne peuvent pas demander des données antérieures, même si elles sont disponibles. Le projet de révision de la LSCPT prévoit une extension de la durée de conservation des données à 12 mois.
Pas de limite temporelle pour l’adresse IP
Au début de cette année, le Tribunal fédéral (TF) s’est prononcé sur une demande d’identification d’une adresse IP antérieure à plus de 6 mois. Cette décision vient d’être publiée au recueil officiel des ATF (139 IV 98).
L’art. 14 LSCPT dispose que les fournisseurs de services de télécommunication doivent fournir d’une part le nom, l’adresse et, si celle-ci est connue, la profession de l’usager d’un raccordement déterminé, et d’autre part les ressources d’adressage (les paramètres de communication ainsi que les éléments de numérotation tels que les indicatifs, les numéros d’appel et les numéros courts, ce qui inclut l’adresse IP). Ces informations sont fournies sur demande aux autorités fédérales et cantonales qui peuvent ordonner ou autoriser une surveillance de la correspondance par télécommunication, pour déterminer les raccordements et les personnes à surveiller, mais également à l’Office fédéral de la police et aux commandements des polices cantonales et municipales, pour exécuter des tâches de police.
La LSCPT est donc une lex specialis, soit une loi spéciale qui déroge au régime général du CPP selon le TF. On peut aussi considérer simplement que l’identification de l’utilisateur d’une ressource d’adressage (ou dans l’autre sens de la ressource d’adressage d’un utilisateur) est un renseignement sur les raccordements de télécommunication qui ne fait pas partie des mesures de surveillance. Une telle demande n’est pas soumise aux exigences strictes applicables à ces mesures et l’information peut être obtenue facilement, y compris en dehors d’une procédure pénale.
A noter que l’art. 82 de l’Ordonnance sur les services de télécommunication (OST), permet au client d’un service de télécommunication qui reçoit des communications abusives d’obtenir la date et l’heure des messages, les ressources d’adressage ainsi que le nom et l’adresse des titulaires des raccordements ayant servi à établir les communications. Si les messages abusifs sont des emails et non des appels téléphoniques, cette disposition devrait aussi inclure l’adresse IP.
Le TF avait laissé ouverte la question de savoir si des données accessoires (soit d’autres données que le nom et l’adresse du titulaire d’un numéro de téléphone ou d’une adresse IP) qui seraient disponibles au-delà de six mois pouvaient être transmises aux autorités de poursuite. C’est dans une autre affaire (ATF 139 IV 195) que le TF a apporté la réponse à cette question, confirmant que la limite de six mois doit être respectée pour les données accessoires au sens de l’art. 273 al. 3 CPP.
Nouvelles technologies et droit (archive) 
Est-ce que ce serait identique lorsqu’un operateur utilise du Carrier Grade NAT et qu’une adresse IP n’est plus personnelle mais partagee potentiellement entre plusieurs dizaines ou centaines d’utilisateurs. L’identification necessite la connaissance des ports, du protocole et d’un timestamp precis. Cordialement.
Merci pour cette question pointue et nouvelle…
La LSCPT ne donne pas plus d’informations. En revanche, l’art. 27 de l’ordonnance (OSCPT) dit que les fournisseurs d’accès à Internet doivent fournir:
a. dans le cas des adresses IP attribuées: le type de raccordement, la date et l’heure de l’attribution ou la date et l’heure du début et le cas échéant de la fin de la période de l’attribution, le nom, l’adresse, les données utilisées pour la procédure d’identification (login) et, si elle est connue, la profession de l’usager ainsi que les autres adresses IP que le fournisseur d’accès à Internet lui a attribuées;
b. dans le cas des systèmes informatiques: si ces informations sont disponibles, les noms des domaines et d’autres éléments d’adressage de ces systèmes que les fournisseurs d’accès à Internet connaissent.
Ce sera donc une question d’interprétation, même j’ai l’impression que le fournisseur devra au moins transmettre les informations qu’il possède et qui permettraient d’identifier l’utilisateur en question (que l’on retienne que c’est une adresse attribuée (même si elle l’est simultanément à plusieurs) ou qu’on y voit un système informatique.
Mais je dois avouer ne pas encore avoir vu cette question jusqu’à maintenant et toute retour d’expérience pratique est bienvenu! Cordialement.
Je vois tout de meme un risque important lorsqu’un CSP repondra avec une liste de centaines de personnes pour une seule adresse IP attribuee pour un laps de temps de quelques secondes. Le CGNAT va se repandre de plus en plus ces prochaines annees en complement de l’introduction de IPv6. Les LEA des autres pays europeens travaillent deja tres serieusement sur ce sujet. P
ex. la Belgique a defini clairement ce cas de figure dans le nouvel arrete royal pour la retention des donnees. Voir aussi l’article de Geoff Huston d’APNIC http://www.potaroo.net/ispcol/2013-11/traceback.html
Tres cordialement.
Effectivement cela ne serait pas acceptable et violerait le principe de proportionnalité. Il faudrait un moyen de faire un tri. On pourrait faire une analogie avec la recherche par champs d’antennes: il faudrait donc trouver un moyen de limiter les informations transmises (en les anonymisant) ou en exigeant plus de critères de la part de l’autorité qui demande les informations pour ne devoir livre que un ou deux noms?
Merci pour le lien, je vais aller lire cet article…