L’arrêt A-5373/2020 du Bundesverwaltungsgericht du 13 octobre 2021 trace une ligne qui tient depuis cinq ans : ProtonMail est, au sens de l’Art. 2 let. c BÜPF (RS 780.1), un fournisseur de services de communication dérivés, et non un fournisseur de services de télécommunication au sens de l’Art. 2 let. b BÜPF. L’examen de la proportionnalité détermine quelles obligations de surveillance incombent aux prestataires de ce type. La révision de la VÜPF (RS 780.11) par le DFJP a échoué lors de la procédure de consultation du 6 mai 2025 et est depuis lors réécrite sous cet argument de proportionnalité. Les clauses contractuelles qui présupposent des obligations généralisées de conservation sans motif spécifique pour les fournisseurs de services de communication dérivés se heurtent à la réserve de proportionnalité ancrée à l’Art. 5 al. 2 BV (RS 101).

Le Bundesgericht avait déjà tracé cette ligne en avril 2021, dans l’arrêt Threema 2C_544/2020 : un prestataire qui ne fournit ni accès direct ni accès indirect à Internet et n’assume aucune responsabilité pour la transmission d’informations n’est pas un fournisseur de services de télécommunication au sens de l’Art. 2 let. b BÜPF. Le Bundesverwaltungsgericht a confirmé cette ligne dans A-5373/2020 pour ProtonMail, l’a qualifié de fournisseur de services de communication dérivés au sens de l’Art. 2 let. c BÜPF et a renvoyé la cause pour nouveau traitement — le statut de ProtonVPN et l’étendue concrète des obligations pour les fournisseurs de services de communication dérivés sont restés ouverts. Pour ces derniers, l’Art. 27 BÜPF (RS 780.1) s’applique à la place de l’Art. 26 BÜPF : la surveillance du contenu en temps réel sans motif spécifique et la conservation généralisée des données disparaissent ; des obligations ciblées de renseignement et de surveillance subsistent. Quiconque veut déplacer la frontière entre fournisseur de services de télécommunication et fournisseur de services de communication dérivés doit passer l’examen de proportionnalité.

Le projet du DFJP de janvier 2025 visait précisément à retourner cette ligne. Il aurait soumis les fournisseurs de services de communication dérivés comptant au moins 5 000 utilisateurs à une obligation d’identification et contraint les prestataires dépassant un million d’utilisateurs ou 100 millions de francs de chiffre d’affaires annuel à une conservation de six mois des métadonnées. L’argument de l’administration était opérationnel : les autorités avaient besoin d’identificateurs fiables parce que les services chiffrés érodaient leur pratique d’enquête. La procédure de consultation a répondu de manière unanime — tous les partis ayant pris position, l’association professionnelle Swico, la Digitale Gesellschaft, plus de 15 000 signatures de pétition et dix-neuf organisations internationales de défense des droits fondamentaux, coordonnées par EDRi et cosignées par Statewatch et Amnesty International Suisse, ont jugé le projet disproportionné. Andy Yen, directeur général de Proton, a annoncé le déplacement de l’infrastructure hors de Suisse, depuis lors, une partie des serveurs fonctionne en Allemagne et en Norvège ; Threema n’a pas menacé de quitter le pays, mais de lancer une initiative populaire.

Le fondement juridique du rejet n’est pas nouveau : l’Art. 5 al. 2 BV (RS 101) exige la proportionnalité pour toute activité étatique, l’Art. 13 BV protège le secret des télécommunications. L’Art. 8 CEDH et la jurisprudence de la CourEDH (Big Brother Watch c. Royaume-Uni et Centrum för Rättvisa c. Suède, tous deux du 25 mai 2021) exigent, pour toute conservation généralisée de données, une délimitation précise, un contrôle judiciaire et des garanties procédurales. La CJUE a déclaré la conservation généralisée et indifférenciée des données incompatible avec le droit de l’Union dans Tele2 Sverige (2016) et La Quadrature du Net (2020) et exige depuis lors une conservation ciblée et proportionnée au cas par cas. La Suisse n’est pas membre de l’Union, mais est liée par la CEDH — et sa pratique de surveillance s’aligne depuis des années sur la doctrine de Luxembourg.

La Digitale Gesellschaft a réagi en mai 2026 à un nouveau projet de VÜPF du DFJP publié par la Republik. Celui-ci relève les seuils d’application des obligations d’identification et de conservation et limite les obligations les plus lourdes aux prestataires disposant d’une grande part de marché. Les modèles économiques peu consommateurs de données restent néanmoins dans le viseur, car l’orientation structurelle vers l’identification de masse demeure inchangée. Quiconque lit ce projet en regard de la consultation de mai 2025 y voit l’aveu : le seuil de proportionnalité s’est déplacé, le besoin de surveillance, lui, est inchangé.

Trois conséquences sont opérationnelles dès cette semaine. Premièrement : quiconque recourt à des prestataires du segment des fournisseurs de services de communication dérivés (messagerie électronique, messagerie instantanée, VPN) devrait étayer la qualification au sens de l’Art. 2 let. c BÜPF dans le contrat de sous-traitance, avec renvoi à A-5373/2020, plutôt que de la laisser figurer comme un risque non documenté. Deuxièmement : l’hypothèse selon laquelle une future révision de la VÜPF imposerait des obligations de conservation sans examen de proportionnalité n’est plus soutenable ; cet examen appartient aux clauses contractuelles portant sur les coûts de conformité et les garanties de localisation des données. Troisièmement : les politiques de groupe en matière de chiffrement peuvent être bâties sur la pratique actuelle sans la réserve d’un régime de conservation imminent. Quiconque documente soigneusement la prochaine révision des fournisseurs tient l’argument même si le deuxième projet de VÜPF entre en consultation.

L’Art. 27 BÜPF (RS 780.1), tel qu’interprété par le Bundesverwaltungsgericht dans A-5373/2020, exige de l’autorité qu’elle établisse positivement la qualification de fournisseur de services de télécommunication au sens de l’Art. 2 let. b BÜPF avant de pouvoir réclamer l’intégralité des obligations de surveillance. Quiconque veut des obligations de conservation doit les justifier de manière proportionnée, et non les imposer par simple affirmation. Proton n’a pas obtenu de dérogation dans cette procédure. L’arrêt confirme un fait plus simple : l’État de surveillance suisse est soumis au même examen de proportionnalité que toute autre activité étatique. Quiconque continue, en mai 2026, de combattre politiquement ce que la Constitution règle depuis longtemps mène le mauvais combat — et le perdra vraisemblablement à la fin.