Décision de Proton, une entreprise suisse de services sécurisés, de transférer la majorité de son infrastructure hors de Suisse vers l’Allemagne et la Norvège, investissant 100 millions de francs suisses. Cette décision est une réponse à une nouvelle loi suisse qui, à partir de 2025, exigera des services de plus de 5 000 utilisateurs qu’ils mettent en place une surveillance continue et en temps réel des communications, y compris des métadonnées comme les adresses IP et les données de localisation. L’auteur explique que cette mesure va à l’encontre de la promesse de confidentialité de Proton et de l’image traditionnelle de la Suisse comme refuge pour la vie privée numérique, contrastant avec les approches plus ciblées de la surveillance dans d’autres pays. Le texte aborde également les implications économiques et symboliques pour la Suisse si elle perd la confiance de ces entreprises basées sur la protection des données.
Pourquoi Proton, icône de la confidentialité numérique, quitte-t-il la Suisse ?
Proton, né au CERN en 2014 et réputé pour ses services chiffrés (Proton courriel, VPN, Cloud, etc.), transfère l’essentiel de son infrastructure hors de Suisse vers l’Allemagne et la Norvège. Cette décision fait suite à l’adoption par la Suisse de l’Ordonnance sur la Surveillance des Communications (OSCPT 2025), une loi qui obligerait les services de plus de 5000 utilisateurs à transmettre un flux continu et en quasi-temps réel de métadonnées (adresses IP, localisation, volume de données) aux autorités suisses. Pour Proton, dont le modèle commercial repose sur la promesse de « no logs ever » et le chiffrement de bout en bout, cette loi est une menace directe à son ADN et à sa capacité à garantir la confidentialité de ses utilisateurs.
Qu’est-ce que l’OSCPT 2025 et pourquoi est-elle si controversée ?
L’OSCPT 2025 (Ordonnance sur la Surveillance des Communications) est une révision législative suisse qui exige que tout service numérique comptant plus de 5000 utilisateurs mette en place un « tuyau permanent » vers le service de surveillance de la correspondance suisse. Cela signifie une transmission continue et par défaut de métadonnées telles que les adresses IP source et destinataire, la localisation réseau et le volume de données, qui seraient ensuite stockées pendant six mois sur des serveurs externes aux entreprises. Contrairement à d’autres pays où la surveillance est ciblée et nécessite une réquisition judiciaire, la Suisse vise une duplication intégrale préventive des données, même avec des algorithmes de détection d’anomalie. Cette approche est jugée beaucoup plus intrusive que les pratiques en France, aux États-Unis, ou celles de l’Union européenne, qui ont déjà censuré la conservation massive et indifférenciée des données pour violation des droits fondamentaux.
En quoi la nouvelle loi suisse diffère-t-elle des pratiques de surveillance ailleurs dans le monde ?
La principale différence réside dans le caractère continu et par défaut de la transmission des données. Alors qu’en France, la conservation des données par les opérateurs est exigée, leur transmission aux autorités ne se fait que sur réquisition et sous cadre légal précis validé par un juge. Aux États-Unis, des agences comme la NSA ne peuvent accéder qu’à des données filtrées basées sur des sélecteurs précis et validés par un tribunal. La Cour de Justice de l’Union Européenne a, à maintes reprises, déclaré la conservation massive et indifférenciée des données comme une violation des droits fondamentaux. La Suisse, en revanche, propose de connecter les services directement et en temps réel aux autorités, sans filtre ni requête préalable, ce qui rend ses services « moins confidentiels que Gmail aux États-Unis », selon le dirigeant de Proton.
Quels sont les services de Proton et comment garantissent-ils la confidentialité de leurs utilisateurs ?
Proton a été fondé sur l’idée que chaque utilisateur a droit à une « maison aux murs opaques » sur le web. Ses services incluent :
- Proton courriel : Chiffrement de bout en bout, suppression de l’adresse IP dans les en-têtes de mails sortants, et interdiction de l’exploitation publicitaire des données.
- Proton VPN : VPN « sans log » ne stockant pas l’IP source, la durée de session, ou le contenu des visites.
- Proton Drive : Un cloud chiffré.
- Proton Pass : Un gestionnaire de mots de passe.
- Proton Umo : Un assistant conversationnel IA qui ne stocke et ne trace rien, effaçant les requêtes après traitement (conversations disparaissant côté serveur après 48 heures ou immédiatement en mode fantôme).
Proton ne collecte pas d’adresse IP permanente, d’identité, de cookies publicitaires, ou d’en-têtes révélant la localisation. Le modèle économique par abonnement (parfois payé en Bitcoin ou en espèces) est basé sur l’absence de revente de données.
Pourquoi Proton a-t-il choisi l’Allemagne et la Norvège pour y relocaliser ses infrastructures ?
Proton a choisi l’Allemagne et la Norvège en raison de leurs cadres légaux robustes en matière de protection des données :
- Allemagne : Championne des « garde-fous ». La Cour constitutionnelle allemande a annulé trois fois la conservation de masse des données, et la Cour de Justice de l’Union Européenne est également très vigilante sur ces questions.
- Norvège : Applique le RGPD (Règlement Général sur la Protection des Données), est politiquement stable, et alimente ses data centers en hydroélectricité, offrant un avantage écologique non négligeable grâce au refroidissement naturel de son climat subpolaire.
Ces pays offrent un environnement juridique et technique plus propice au respect de la confidentialité que la future législation suisse.
Quelles sont les implications économiques et symboliques de cette décision pour la Suisse ?
Le départ de Proton représente un « séisme » dans la tech européenne et un risque économique et symbolique majeur pour la Suisse. La « marque Swiss Privacy », cultivée pendant 20 ans et qui a fait de la Suisse un « paradis de la vie privée », risque de se fissurer. Selon une étude de l’université de Saint-Gall, les services basés sur la confiance numérique représentent déjà plus de 10 % du PIB suisse (finances incluses). En menaçant des acteurs comme Proton, Berne prend le risque de chasser des entreprises qui contribuent au rayonnement de sa place technologique. La perte de confiance de la part des utilisateurs, qui « se gagne en années et se perd en minutes », est un coût incalculable. Proton, avec ses 200 employés directs et son aura planétaire, envoie un signal puissant de 100 millions de francs suisses d’investissement déplacés hors du territoire.
Quels sont les arguments du gouvernement suisse pour justifier l’OSCPT 2025 ?
Les services fédéraux suisses justifient la nécessité de cette nouvelle loi par plusieurs arguments :
- Lutte contre le crime organisé : La nécessité de suivre les échanges chiffrés pour combattre le crime organisé.
- Parité avec les opérateurs télécom classiques : La police antiterroriste réclame la même capacité de surveillance que celle appliquée aux opérateurs de télécommunications traditionnels.
- Fiabilité pour les partenaires Schengen : Le département fédéral de justice souhaite prouver sa fiabilité aux partenaires de Schengen.
- Argument budgétaire : Externaliser le stockage et l’indexation des données aux plateformes est considéré comme moins coûteux que d’envoyer un grand nombre de réquisitions par an.
- Jurisprudence locale : Une décision du Tribunal Fédéral de 2018 a jugé la rétention indifférenciée compatible avec la Constitution, ouvrant la voie à cette législation.
Quel est le calendrier de ce bras de fer et quelles sont les prochaines étapes ?
La consultation publique sur l’OSCPT 2025 s’est close le 6 mai 2025, et le texte est désormais remonté aux chambres fédérales suisses. Le bras de fer législatif devrait durer au moins un an. Cependant, Proton n’attend pas le verdict :
- Septembre 2025 : Les serveurs IA de Proton Umo seront opérationnels à Francfort.
- À venir : Les clusters de courriel et VPN seront progressivement déplacés.
- Cap sur 2030 : Proton vise un retrait quasi complet de son infrastructure de Suisse.
Cette délocalisation progressive de 100 millions de francs d’investissement, avec les premiers contrats de colocation de data centers signés dès 2021, indique que Proton avait anticipé ce virage législatif. Des opposants à la loi rêvent déjà d’un référendum, offrant la possibilité aux citoyens suisses de voter contre ce projet.