Провайдер имеет техническую возможность мониторить весь трафик, проходящий через него со всеми вытекающими последствиями. Другое дело, что в общем случае это ему ни к чему, разве что вы специально чем-то обратили на себя его пристальное и недоброе внимание.
В случае шифрации трафика, например SSL, IP адреса источника и назначения всё равно остаются открытыми, поэтому, даже не имея доступа к содержимому трафика, можно примерно прикинуть, с какими хостами вы работали. Полностью закрыть для провайдера информацию сможет только шифрованный туннель, но для этого потребуется организовать второй его конец, где-то в сети, за провайдером, что технически и организационно довольно сложно.
Что касается всяческих спецслужб, то
СОРМ ещё никто не отменял, против них вы вряд ли найдёте средство, если вас возьму т в оборот (не дай бог тьфу, тьфу)
