La révision 2025 de l’OSCPT en Suisse soulève un débat entre protection de la confidentialité et obligations légales. Proton envisage de déplacer ses infrastructures hors du pays, alors qu’Infomaniak choisit de rester dans le cadre suisse. Comparaison des deux approches, équivalents français et panorama des solutions souveraines en matière de sécurité des données.
En Suisse, l’OSCPT (Ordonnance sur la surveillance de la correspondance par poste et télécommunication) fait l’objet d’une révision en 2025. Cette réforme clarifie les acteurs tenus de coopérer avec les autorités : opérateurs télécoms, services de messagerie, plateformes OTT (Over The Top), fournisseurs de Wi-Fi d’entreprises, etc. Contrairement à certaines craintes, la révision ne casse pas le chiffrement de bout en bout (E2EE). Elle impose en revanche aux fournisseurs des obligations de coopération technique et administrative, graduées selon leur rôle.
En France, le cadre légal est différent. Les interceptions et surveillances sont placées sous le contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR). En parallèle, l’ANSSI encadre la sécurité des données à travers des référentiels comme SecNumCloud, qui certifie les services cloud conformes aux exigences de souveraineté et de sécurité. Ainsi, la France ne dispose pas d’un texte identique à l’OSCPT, mais d’un écosystème réglementaire qui équilibre surveillance encadrée et protection des données.
Proton, éditeur suisse connu pour ses services chiffrés (Proton Mail, Proton Drive, Proton VPN), défend une approche zero-access : même l’entreprise n’a pas la capacité de déchiffrer les données des utilisateurs. Face à l’OSCPT 2025, Proton estime que le flou entourant certaines obligations pourrait remettre en cause son modèle de confidentialité absolue. C’est pourquoi l’entreprise a annoncé le transfert d’une partie de son infrastructure en Union européenne, où elle estime que le cadre juridique est plus prévisible et compatible avec son engagement en faveur de la vie privée.
Infomaniak, autre acteur suisse du numérique, a réagi différemment. L’entreprise s’oppose « en l’état » au texte, mais accepte de rester dans le périmètre juridique suisse. Elle estime pouvoir continuer à garantir un haut niveau de protection tout en respectant les obligations légales. Contrairement à Proton, Infomaniak privilégie un équilibre entre conformité nationale et engagement éthique, sans remettre en cause son ancrage suisse.
La comparaison est plus nuancée qu’il n’y paraît :
En résumé, Proton va plus loin dans l’absolu de la confidentialité technique.
Oui. En France, plusieurs alternatives souveraines cherchent à concilier sécurité, confidentialité et conformité réglementaire :
Ces fournisseurs ne proposent pas tous du chiffrement de bout en bout natif comme Proton, mais ils offrent des garanties de souveraineté et de conformité aux normes françaises et européennes (RGPD, NIS2, SecNumCloud).
L’OSCPT 2025 illustre un dilemme commun à tous les États : concilier les impératifs de sécurité nationale et le respect de la confidentialité des utilisateurs. Proton pousse la logique de la protection maximale en déplaçant ses infrastructures, tandis qu’Infomaniak fait le choix d’une conformité raisonnée. En France, le modèle repose sur un contrôle institutionnel (CNCTR) et une certification de confiance (SecNumCloud), offrant un cadre où des solutions souveraines peuvent émerger sans compromettre la sécurité des données.