Surveillance de masse : où en est vraiment la Suisse ?
Bruxelles vient de ressusciter « Chat Control », son projet controversé de surveillance des messageries, que Berne a toujours regardé avec hostilité. Mais derrière la posture, la Suisse mène ses propres batailles : conservation des données, interception des communications, reconnaissance faciale, régulation des géants du numérique. État des lieux d'un pays moins tranquille qu'il n'y paraît.
La Suisse aime se raconter en refuge numérique : le pays de Proton et de Threema, l’héritière du secret bancaire reconvertie dans la protection des données. La relance du dossier « Chat Control » par le Conseil de l’UE, fin juin, vient de redonner du lustre à cette image – la Confédération ayant exprimé tôt ses réserves face au projet européen. Un examen attentif de ses propres chantiers législatifs révèle pourtant un tableau plus nuancé : sur la surveillance des télécommunications, le renseignement, la biométrie ou l’emprise des plateformes, la Suisse est traversée par les mêmes tensions que ses voisins. Et elle les tranche, dossier par dossier, dans un sens qui n’est pas toujours celui de sa légende.
Chat Control : le revenant bruxellois
On croyait le dossier enterré. Le 26 mars 2026, le Parlement européen refusait – à une voix près, 307 contre 306 – de prolonger « Chat Control 1.0 », cette dérogation à la directive ePrivacy qui autorisait les grandes plateformes à scanner « volontairement » les communications privées de leurs utilisateurs à la recherche de contenus pédocriminels. La dérogation a expiré le 4 avril, sans remplacement. Trois mois plus tard, le Conseil de l’UE a relancé la machine : le 26 juin 2026, les ambassadeurs des États membres se sont entendus pour ressusciter le régime sous la forme d’un texte présenté comme nouveau, mais quasiment identique à l’ancien, valable jusqu’en avril 2028. Début juillet, le texte amendé est reparti au Conseil, dans des conditions procédurales que ses détracteurs jugent pour le moins acrobatiques.
Le volet le plus lourd du dossier, « Chat Control 2.0 » – officiellement le règlement CSAR, proposé par la Commission en mai 2022 – reste quant à lui en négociation : il vise un cadre permanent et obligatoire de détection des contenus pédocriminels, imposé aux messageries, avec des implications directes pour le chiffrement de bout en bout.
Et la Suisse dans tout cela ? Officiellement, elle n’est pas concernée : non membre de l’UE, elle ne serait pas liée par le règlement. Mais ses champions du chiffrement – Proton, Threema – le seraient dès lors qu’ils opèrent sur le marché européen. Berne a d’ailleurs pris position tôt et sans ambiguïté : dès septembre 2024, un avis de droit commandé par le Conseil fédéral soulignait que le contrôle des messageries instantanées envisagé par Bruxelles pourrait violer le droit suisse. Une hostilité de principe qui vaut à la Confédération une réputation flatteuse de bastion de la vie privée.
Cette réputation mérite examen. Car pendant que la Suisse regarde Bruxelles avec circonspection, elle mène chez elle plusieurs chantiers qui touchent au même nerf : jusqu’où l’État peut-il regarder ?
L’OSCPT, ou le « Chat Control » que la Suisse s’est presque infligé
L’ironie du dossier suisse tient en un sigle : OSCPT, l’ordonnance sur la surveillance de la correspondance par poste et télécommunication. Le 29 janvier 2025, le Conseil fédéral a ouvert une consultation sur une révision partielle de ce texte d’application, avec un objectif affiché de clarification des obligations des prestataires. Derrière le vocabulaire technique, le projet étendait les obligations de surveillance bien au-delà des opérateurs télécoms classiques, pour englober messageries, fournisseurs d’e-mail et VPN – y compris de petits acteurs.
L’OSCPT, c’est quoi au juste ?
Contrairement à une idée répandue, ce texte ne doit rien à Bruxelles : c’est une construction purement suisse, et elle est ancienne. L’ordonnance est le bras d’exécution de la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT), dont la première version remonte à 2000 et qui encadre les écoutes et surveillances ordonnées par la justice pénale. Entièrement révisée pour l’ère d’Internet, la loi actuelle est en vigueur depuis le 1er mars 2018, et ses ordonnances ont été retouchées à plusieurs reprises depuis – la dernière fois au 1er janvier 2024, avant la révision aujourd’hui contestée.
Aucun accord bilatéral ni l’appartenance à Schengen n’impose un tel régime : la surveillance pénale des télécommunications relève de la souveraineté de chaque État. Sur le point le plus controversé, la Suisse est même en porte-à-faux avec le droit européen plutôt qu’en train de s’y aligner : la Cour de justice de l’UE a jugé illégale dès 2018 la conservation indiscriminée des données, et l’analyse d’impact commandée dans le cadre du dossier rappelle que le droit de l’UE interdit toujours la surveillance générale et les mandats de déchiffrement. La pression est en réalité interne : ce sont les autorités de poursuite pénale qui poussent à combler les angles morts nés de la migration des communications vers les messageries chiffrées – la Conférence des ministères publics et plusieurs cantons réclamant même des réformes plus profondes de la LSCPT et du Code de procédure pénale.
Les juristes ont vite pointé le cœur du problème. Une nouvelle catégorie de requêtes obligerait les prestataires à conserver la date, l’heure, l’adresse IP et le port de la dernière connexion de chaque utilisateur : selon la revue swissprivacy.law, cela créerait de facto une surveillance généralisée de tous les accès aux services comptant plus de 5 000 utilisateurs en Suisse – loin des promesses faites au Parlement lors de la révision de la loi elle-même. L’Internet Society Suisse alertait de son côté sur une menace pour le chiffrement et rappelait que Proton avait annoncé son départ de Suisse si le texte passait en l’état. Pour la Fédération romande des consommateurs, qui suit le dossier de près, le projet imposerait de stocker des données sur tous les utilisateurs, sans le moindre soupçon d’infraction – exactement le type de conservation indiscriminée que la Cour de justice de l’UE a jugé contraire aux droits fondamentaux dès 2018.
La suite a montré que les contre-pouvoirs helvétiques ne sont pas décoratifs. La consultation, close en mai 2025, a tourné à la levée de boucliers générale : société civile, opérateurs et faîtières économiques ont rejeté le projet de concert. En février 2026, le Conseil fédéral a fait machine arrière en annonçant une analyse d’impact et une seconde consultation – un procédé inhabituel qui dit l’ampleur des objections. Le Conseil des États a enfoncé le clou en adoptant une motion de Johanna Gapany (PLR/FR) sommant le gouvernement de revoir sa copie. Et fin mai 2026, une étude commandée par des acteurs du secteur – intérêt direct oblige, la prudence s’impose sur ses chiffres – prédisait des milliards de pertes et des départs d’entreprises en cas d’adoption. Le dossier est aujourd’hui en suspens, mais pas abandonné.
La surveillance de masse existe déjà : elle s’appelle exploration du réseau câblé
Il serait toutefois trompeur de présenter la Suisse comme un pays où la surveillance indiscriminée ne serait qu’un projet avorté. Elle existe, elle a même été approuvée en votation populaire. La loi sur le renseignement (LRens), acceptée par le peuple le 25 septembre 2016 et entrée en vigueur en 2017, autorise le Service de renseignement de la Confédération (SRC) à pratiquer l’« exploration du réseau câblé » : l’enregistrement des signaux transmis par réseau filaire qui traversent la Suisse, analysés par mots-clés. Comme la majorité des communications suisses transitent par des serveurs étrangers, même un courriel échangé entre deux résidents suisses via Gmail peut être happé par le dispositif. Amnesty International y voit une surveillance de masse préventive, menée sans soupçon concret.
Cette critique a reçu un renfort de poids. Dans un arrêt de novembre 2025, le Tribunal administratif fédéral a constaté que l’exploration du réseau câblé, telle qu’elle est pratiquée, viole la Constitution fédérale et la Convention européenne des droits de l’homme. Un désaveu judiciaire majeur – auquel la réponse politique laisse songeur. La révision de la LRens, dont le Conseil fédéral a adopté le message en janvier 2026, renforce certes la surveillance indépendante du SRC et renonce, après les critiques de la consultation, à permettre la surveillance des avocats ou des médecins. Mais elle prévoit aussi d’étendre les moyens du service : le traitement des exigences posées par le Tribunal administratif fédéral est renvoyé à une étape ultérieure du processus, distincte du paquet principal.
Pour la coalition d’ONG qui suit le dossier (Amnesty, Digitale Gesellschaft, humanrights.ch, Public Eye, notamment), la révision aggrave le mal au lieu de le corriger : elle permettrait au SRC de collecter d’abord et de vérifier la légalité ensuite, elle assouplit les garde-fous protégeant l’activité politique et crée une base légale pour le profilage par intelligence artificielle à partir de vastes bases de données croisées. Début juin 2026, à l’ouverture du débat au Conseil national, ces organisations demandaient le renvoi pur et simple du projet au Conseil fédéral. Le sort de ce texte constituera l’un des meilleurs indicateurs de la trajectoire suisse.
Biométrie : le pays des interdictions locales et du déploiement fédéral
Sur la reconnaissance faciale, la Suisse offre un paysage éclaté, presque contradictoire – fédéralisme oblige. Il n’existe aucune interdiction nationale de l’identification biométrique dans l’espace public, contrairement au règlement européen sur l’IA qui la prohibe en principe. La nouvelle loi sur la protection des données classe les données biométriques parmi les données sensibles, mais elle ne s’applique ni aux cantons ni ne comporte d’interdiction explicite.
Dans ce vide relatif, deux dynamiques opposées se déploient. D’un côté, une vague d’interdictions locales, portée par la campagne « Stop à la reconnaissance faciale » d’AlgorithmWatch CH, Amnesty et la Société numérique : les législatifs de Zurich, Saint-Gall et Bâle-Ville ont adopté des interventions en ce sens, et en mai 2025, Lausanne est devenue la première ville romande à bannir la reconnaissance faciale de l’espace public – les enquêtes de police judiciaire restant exemptées. Le Tribunal fédéral a par ailleurs posé une balise importante en octobre 2024, en jugeant, à propos de la recherche automatisée de véhicules, que ce type d’atteinte grave à l’autodétermination informationnelle exige une base légale formelle.
De l’autre côté, le déploiement avance. Plusieurs polices cantonales – Argovie, Neuchâtel, Saint-Gall, Vaud – utilisent déjà des systèmes de reconnaissance faciale dans le cadre de poursuites pénales, sur des bases juridiques que d’éminents juristes jugent controversées. Surtout, l’Office fédéral de la police franchit un cap en 2026 : avec le projet « AFIS 2026 », fedpol ajoute un module de reconnaissance faciale à son système national d’identification, donnant accès à plus d’un million d’images de visages – dont celles de toutes les personnes enregistrées comme requérantes d’asile, s’inquiète AlgorithmWatch CH. Et en novembre 2025, coup de théâtre : le Grand Conseil zurichois est devenu le premier parlement suisse à approuver des projets pilotes de reconnaissance faciale biométrique à des fins de surveillance – à une voix près, 87 contre 86, et contre l’avis initial du gouvernement cantonal.
Une voix d’écart à Zurich, une voix d’écart au Parlement européen sur Chat Control : le hasard des scrutins dit quelque chose de l’équilibre précaire dans lequel se trouvent ces questions.
Vingt-six cantons, plusieurs Suisses
Le fédéralisme dessine une carte politique à rebours des intuitions : ce sont les collectivités plutôt à gauche qui érigent des digues, et les majorités bourgeoises qui déploient. À Zurich, la gauche a réclamé en vain l’interdiction de l’identification biométrique avant le vote des projets pilotes ; à Lausanne, c’est une majorité rose-verte qui a porté le bannissement. Genève est allée plus loin que tous : en juin 2023, ses citoyens ont inscrit avec 94,21 % de oui un droit fondamental à l’intégrité numérique dans la constitution cantonale – une première mondiale, portée d’ailleurs par un élu PLR et soutenue par tous les partis. Un axe Romandie/Suisse alémanique se dessine aussi : Vaud et Genève furent les cantons les plus critiques de la révision de l’OSCPT sur le plan constitutionnel, Genève invoquant précisément son intégrité numérique. Nuance de taille, toutefois : sur le terrain, les polices de cantons de toutes couleurs – Vaud et Neuchâtel comme Argovie et Saint-Gall – utilisent déjà la reconnaissance faciale en poursuite pénale, souvent plus vite que le droit ne les encadre.
Les GAFAM : une régulation tardive, et qui ne vise pas la surveillance commerciale
Reste le troisième front : celui des géants du numérique, dont le modèle économique repose sur une collecte de données que Shoshana Zuboff a popularisée sous le nom de capitalisme de surveillance. Ici, la Suisse avance – tard, et prudemment. Après un report en avril 2025 qu’une large alliance d’élus, de scientifiques et d’ONG avait vivement dénoncé, le Conseil fédéral a fini par mettre en consultation, le 29 octobre 2025, son projet de loi fédérale sur les plateformes de communication et les moteurs de recherche. Le texte, inspiré du Digital Services Act européen, vise les services utilisés par au moins 10 % de la population résidante – environ 900 000 utilisateurs, soit une poignée de géants comme Google, Meta, TikTok ou X. Au menu : procédures de signalement des contenus illicites, justification des suppressions et blocages, transparence de la publicité et des systèmes de recommandation, obligation d’un représentant légal en Suisse et sanctions pouvant atteindre 6 % du chiffre d’affaires mondial.
La consultation, close le 16 février 2026, a dessiné des clivages profonds : trop timide pour les uns, excessive pour d’autres – le PLR défendant une approche minimaliste et l’UDC rejetant toute réglementation, tandis qu’economiesuisse plaide pour un texte resserré afin d’éviter la suppression préventive de contenus. Insatisfaite du rythme fédéral, la société civile a pris les devants : en mars 2026, la Fondation Guido Fluri et un comité d’élus de tous bords ont lancé une initiative populaire « Internet » réclamant un cadre constitutionnel plus ambitieux, intégrant jusqu’à l’IA générative.
Il faut cependant nommer la limite de tout cet édifice : ces textes régulent la modération, la transparence et la responsabilité des plateformes – pas la surveillance commerciale elle-même. Aucun d’eux ne s’attaque frontalement à la collecte publicitaire massive de données personnelles, cœur du réacteur des GAFAM. Sur ce terrain, la Suisse s’en remet à sa loi sur la protection des données, réputée moins exigeante que le RGPD, et n’a pas d’équivalent du Digital Markets Act européen.
Un pays à la croisée des chemins
Que retenir de ce tour d’horizon ? D’abord, que la Suisse n’est pas l’État de surveillance que certains discours alarmistes décrivent : les contre-pouvoirs y fonctionnent, et de manière spectaculaire. Un tollé en consultation a fait reculer le Conseil fédéral sur l’OSCPT ; un tribunal fédéral a déclaré l’exploration du réseau câblé contraire à la Constitution ; des villes interdisent la reconnaissance faciale ; une initiative populaire s’attaque aux géants du numérique. Peu de pays offrent autant de leviers institutionnels contre la dérive sécuritaire.
Mais la Suisse n’est pas non plus le sanctuaire numérique de sa légende dorée. Elle pratique depuis 2017 une forme d’interception en masse des communications transfrontalières que sa propre justice juge inconstitutionnelle – et que le législateur s’apprête à étendre plutôt qu’à corriger. Son administration a tenté d’imposer, par simple ordonnance, une conservation généralisée de données que la jurisprudence européenne condamne depuis des années. Sa police fédérale déploie la reconnaissance faciale en 2026, et son plus grand canton vient d’ouvrir la porte aux essais biométriques dans l’espace public.
Le vrai visage de la Suisse en matière de surveillance se décidera dans les mois qui viennent, sur trois dossiers précis : la seconde mouture de l’OSCPT, le sort parlementaire de la révision de la LRens, et l’issue de la loi sur les plateformes. Trois textes, trois occasions de choisir entre le réflexe sécuritaire qui gagne l’Europe – Chat Control en tête – et le modèle qui a fait de ce pays l’adresse préférée de ceux qui tiennent à leur vie privée. Une chose est sûre : contrairement à une idée reçue, la neutralité helvétique ne s’étend pas à cette question-là. Il faudra trancher.