Comme l’année dernière, l’AS-Rens ne rend pas non plus compte, dans le présent rapport d’activités, de chaque inspection réalisée. En fonction du sujet principal traité dans le présent rapport d’activités, certaines inspections sont développées, tandis que d’autres sont seulement mentionnées. Cependant, un résumé de chaque inspection est publié sur le site Internet de l’AS-Rens9.
9 https://www.ab-nd.admin.ch/fr/pruefplan-und-pruefberichte.html
Plan des inspections
L’AS-Rens établit chaque année un plan des inspections axé sur les risques10. Il contient les domaines d’inspections suivants :
- Stratégie et planification
- Organisation
- Collaboration
- Recherche
- Ressources
- Traitement des données et archivage
Au total, l’AS-Rens a planifié 18 inspections pour l’année 2021. De plus, elle a mis en œuvre l’inspection « 20-3 Compétences et responsabilités respectives du SRC A11 et du RM », prévue en 2020, ainsi qu’une inspection extraordinaire dans le domaine HUMINT. L’AS-Rens a totalement renoncé à réaliser les inspections « 20-1 Changemanagement (gestion du changement) » et « 21-3 Sécurité au sein du SRC », d’une part, en raison d’un manque temporaire de ressources en personnel, et d’autre part parce que, entre le moment de la planification et celui de la réalisation de l’inspection, les conditions réelles ont tellement changé que la mise en œuvre de ces inspections n’était plus pertinente. Certains aspects de ces inspections prévues ont déjà été pris en compte dans d’autres inspections ou le seront dans des inspections à venir. La mise en œuvre de l’inspection « 21-16 Services de télécommunication » a débuté en 2022.
Sur la base d’événements actuels et de certains développements, l’AS-Rens a procédé à court terme à des clarifications individuelles dans trois cas au cours de l’année sous revue, en vue d’une éventuelle inspection. Les connaissances ainsi acquises ont été en partie intégrées dans des inspections en cours ou prévues.
10 Voir Rapport d’activités de l’AS-Rens 2020, page 9.
11 SRC, division Analyse
Inspections 2021
Stratégie et planification
Dans le domaine « Stratégie et planification », sont examinés des sujets qui concernent la planification stratégique à court, moyen et long terme des services de renseignement suisses ainsi que leurs objectifs. L’inspection ci-dessous était planifiée pour ce domaine en 2021:
- 21-1 Engagement de collaboratrices et de collaborateurs du SRC dans les représentations suisses à l’étranger (SRC)
Cette inspection faisait suite à l’inspection « 19-2 Gestion de l’information en matière de renseignement entre le senseur « Attachés de défense » (AD) et le SRC » et visait notamment à contrôler la mise en œuvre de la recommandation. C’est pourquoi l’inspection 21-1 est expliquée au point 5.4 « Controlling des recommandations ».
Organisation
Dans le domaine « Organisation », l’AS-Rens examine dans quelle mesure la structure et les processus des services leur permettent de remplir leur mandat légal conformément au droit, de façon adéquate et efficace.
En 2021, l’AS-Rens a réalisé l’inspection « 20-3 Compétences et responsabilités respectives du SRC A et du RM » qui n’avait pas pu l’être en 2020. Cette inspection est expliquée dans le présent rapport d’activités. En outre, selon le plan des inspections 2021, les inspections ci-dessous étaient prévues:
- 21-2 Protection des infrastructures critiques / cyberdéfense (SRC/COE)
- 21-3 Sécurité au sein du SRC (SRC)
- 21-4 Extrémisme violent de droite (SRC)
L’inspection « 21-3 Sécurité au sein du SRC » n’a pas été effectuée.
[20-3] Compétences et responsabilités respectives du SRC A et du RM (SRC/RM)
L’inspection a principalement porté sur la question de savoir si les produits du SRC et du RM étaient suffisamment différenciés les uns des autres. En outre, il a été examiné si, là où ils se recoupent, les potentiels de synergie, par exemple l’échange mutuel du savoir-faire professionnel, étaient suffisamment exploités. L’inspection était déjà prévue en 2020 mais elle a été reportée en raison de réorganisations dans la division Analyse du SRC. Elle a été relancée en septembre 2021. En tenant compte des mandats de base et de la convention de collaboration entre le SRC et le RM, l’AS-Rens a procédé à de vastes analyses des produits et des formes de collaboration des services inspectés. Il a été constaté qu’il n’y a que peu de thèmes pour lesquels un chevauchement des domaines d’intérêt est possible dans les activités d’analyse du SRC et du RM.
Dans le but d’éviter les doublons, un échange régulier, en partie formalisé, a lieu entre les domaines concernés du SRC et du RM. Entre autres, les services s’informent mutuellement de la planification de leur production et mettent leurs produits à la disposition de l’autre service. L’échange d’informations se reflète également dans les produits eux-mêmes, qui ont tendance à se compléter plutôt qu’à se répéter lorsqu’ils traitent des domaines d’intérêt communs. Souvent, il y a des produits qui, partant de la même situation, transmettent chacun des perspectives différentes. C’est pourquoi l’AS-Rens a conclu que la délimitation entre les domaines d’analyse du SRC et du RM était adéquate et efficace.
[21-2] Protection des infrastructures critiques / cyberdéfense (SRC/COE)
Dans le rapport de situation « La Sécurité de la Suisse 2021 », le SRC décrit l’augmentation de l’exposition aux cyberattaques. La pression en matière de numérisation, renforcée par les mesures de protection contre la pandémie, en serait la cause. Les nombreuses entreprises suisses qui proposent des accessoires et des services aux exploitants d’infrastructures critiques en Suisse et à l’étranger constitueraient également des cibles intéressantes pour les acteurs d’origine étatique. Les cyberattaques classiques ainsi que le cyberespionnage, le cybersabotage et le cyberterrorisme, dirigés directement contre les infrastructures critiques, ne représentent qu’une petite partie de l’ensemble des cybermenaces identifiées, selon le SRC. Les infrastructures critiques en Suisse n’ont pas été jusqu’à présent une cible directe d’actes de sabotage. Toutefois, le potentiel de dommages est considéré par le SRC comme le plus élevé dans ce domaine, car les services d’infrastructure correspondants, tels que l’approvisionnement en électricité ou les services de télécommunication, sont essentiels au fonctionnement de la société.
En raison de ces risques incontestés, l’AS-Rens a contrôlé si les deux services, SRC et COE, disposaient de compétences et de capacités qualitatives et quantitatives suffisantes pour rechercher et traiter les informations nécessaires12 et perturber, empêcher ou ralentir d’éventuelles attaques contre des infrastructures critiques13.
Le secteur Cyber du SRC, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (OIC MELANI14) et des parties de l’armée sont les acteurs déterminants pour faire face aux cybermenaces. Ils sont intégrés dans une structure organisationnelle interdépartementale complexe pour la protection des infrastructures critiques et la cyberdéfense. La tâche principale du SRC, avec la collaboration du COE, est d’identifier les cyberattaques et de savoir qui en sont les auteurs à l’aide de moyens du renseignement. En outre, il soutient les exploitants d’infrastructures critiques en leur présentant la situation actuelle dans le cyberspace. Les moyens du COE sont utilisés par le SRC pour l’analyse technique des cybermenaces.
L’analyse opérationnelle et l’analyse technique sont regroupées au sein du SRC dans le secteur Cyber. Parallèlement, le COE dispose également, dans le domaine des Cyber Network Operations (CNO), d’une unité Cyber Threat Intelligence (CTI) qui s’occupe de l’analyse des cybermenaces. Le secteur Cyber du SRC se voit sollicité dans le champ d’action cyber lorsqu’il s’agit d’incidents relevant de la politique de sécurité et pouvant être attribués à un autre État. Les activités purement cybercriminelles ne relèvent pas de son domaine de compétences.
En cas d’approbation d’une demande du SRC d’agir contre un agresseur conformément à l’art. 37, al. 1, LRens, le SRC chargerait le COE de mener la contre-attaque, car le SRC ne dispose pas lui-même des ressources pour mener une cyberattaque. Ces ressources sont du ressort de l’armée selon la cyberstratégie du DDPS. Le Joint Cyber Technical Analysis Center (JCTAC) représente une forme de coopération qui va au-delà de la simple relation mandant/mandataire. Il ne s’agit pas d’une nouvelle unité organisationnelle, mais du regroupement de collaboratrices et de collaborateurs du SRC et du COE analysant ensemble les cybermenaces sur le plan technique.
L’inspection a montré que les compétences sont disponibles au SRC et au COE et que l’interaction entre les deux services fonctionne.
Clarification individuelle CYBER du SRC
L’AS-Rens a connaissance d’irrégularités dans le secteur Cyber du SRC depuis mai 2021. Elle a suivi de près les démarches internes entreprises par le SRC et a également demandé des éclaircissements quand cela était nécessaire. Sur le fond, l’AS-Rens approuve les démarches entreprises par le SRC et le DDPS. Éclaircir la pertinence d’une action pénale est pour l’AS-Rens de la plus haute importance. Nous allons suivre de près les développements, aussi à l’avenir, et exercer une influence lorsque cela nous paraîtra nécessaire. À ce jour, nous ne voyons aucune plus-value à poursuivre nos propres démarches (p. ex. au moyen d’une inspection).
« Le juste équilibre entre le traitement des données autorisé et souhaité et le traitement interdit dans cette thématique est très difficile à trouver pour les collaboratrices et les collaborateurs du SRC. »
[21-4] Extrémisme violent de droite (SRC)
Le SRC est responsable de la recherche et du traitement d’informations afin de détecter et d’empêcher à temps les menaces contre la sécurité intérieure et extérieure de la Suisse. Cela vaut également lorsque les menaces proviennent de l’extrémisme violent (EXTR)15.
Le SRC et son activité dans le domaine de l’extrémisme violent de droite – en tant que partie du domaine thématique EXTR – ont été à plusieurs reprises remis en question et critiqués de divers côtés. D’une part, le SRC se voit reprocher le fait d’être « aveugle de l’œil droit » et de ne pas prendre cette thématique suffisamment au sérieux16. D’autre part, le SRC se voit aussi régulièrement reprocher de rechercher illicitement des informations sur des activités politiques17.
Selon le rapport du SRC « La Sécurité de la Suisse 2020 », les membres des milieux d’extrême droite ont fait un usage modéré de la violence. Le plus grand risque d’un attentat motivé par l’extrême droite en Suisse proviendrait donc de personnes agissant seules avec des convictions d’extrême droite, mais sans appartenance ferme à des groupes extrémistes violents établis. Dans le rapport 2021, le SRC a montré que les milieux d’extrême droite ont un potentiel de menace élevé. Des groupes existants ont été dissous et de nouveaux ont été formés. Cependant, « seul » un événement lié à la violence a été constaté au cours de l’année sous revue.
Avec l’inspection 21-4, entre autres, l’AS-Rens cherchait à savoir si des concepts et processus adéquats existent au sein du SRC pour le domaine de l’extrémisme violent de droite, s’ils sont mis en œuvre efficacement et si la gestion d’informations se fait conformément au droit. Lors de ses inspections, elle a constaté que le SRC avait de nombreux concepts et processus pour les activités de renseignement dans le domaine de l’extrémisme violent de droite.
Le SRC n’est autorisé ni à rechercher ni à traiter aucune information relative aux activités politiques ou à l’exercice de la liberté d’opinion, de réunion et d’association en Suisse. Cette interdiction est qualifiée de restriction de traitement des données18.
Parallèlement, le SRC doit toutefois anticiper les dangers émanant de l’extrémisme violent de droite et qui menacent la sécurité intérieure et extérieure de la Suisse. Le juste équilibre entre le traitement des données autorisé et souhaité et le traitement interdit dans cette thématique est très difficile à trouver pour les collaboratrices et les collaborateurs du SRC, qui doivent, dans le cadre de leur travail quotidien, se pencher sur diverses questions de délimitation:
- Dans quelle mesure l’extrémisme se différencie-t-il de l’extrémisme violent et du terrorisme?
- Comment l’extrémisme violent19 est-il défini exactement et quand peut-on parler de commettre, d’encourager ou d’approuver des actes de violence20?
- Quand est-ce qu’un sujet relève de l’EXTR (et peut donc être traité par le SRC) et quand est-ce qu’un sujet relève d’une activité politique et de l’exercice de la liberté d’opinion, de réunion ou d’association en Suisse (et ne peut pas être traité par le SRC)21?
- Quand le SRC peut-il néanmoins traiter des informations sur l’activité politique et sur l’exercice de la liberté d’opinion, de réunion ou d’association en Suisse, précisément parce qu’il existe des indices concrets que ces personnes exercent leurs droits pour préparer ou mener des activités extrémistes violentes22?
En se basant sur ces questions et réflexions, le SRC a élaboré divers outils pour soutenir le travail quotidien des collaboratrices et des collaborateurs. Par exemple, un recueil de cas (casuistique) et les décisions qui en découlent doivent faciliter le travail des collaboratrices et des collaborateurs et les prises de décision futures dans des cas similaires.
« Le SRC doit garantir l’exécution conforme au droit de la LRens, tant au sein du SRC que dans les SRCant, par des mesures d’assurance qualité et de contrôle appropriées. »
L’anonymisation est une méthode pour le respect de la restriction de traitement des données: selon la loi, les informations non autorisées, mais néanmoins collectées concernant l’activité politique et l’exercice de la liberté d’opinion, de réunion ou d’association en Suisse doivent être anonymisées. Dans l’inspection 21-4, l’AS-Rens a constaté qu’il y avait des incohérences internes en ce qui concerne l’anonymisation des produits/annonces en rapport avec la restriction de traitement des données.
La liste d’observation est une autre référence importante pour le travail quotidien des collaboratrices et des collaborateurs du SRC. Il s’agit d’un instrument de pilotage politique du Conseil fédéral, qui l’approuve chaque année. Cette liste énumère les organisations et les groupements dont il y a lieu de penser qu’ils menacent la sûreté intérieure ou extérieure de la Suisse23 et permet à ces derniers de franchir la restriction de traitement des données24.
Dans l’inspection 21-4, l’AS-Rens a contrôlé si la procédure de vérification du SRC pour l’inscription des organisations de l’extrémisme violent de droite sur la liste d’observation25 était adéquate. Sur la base d’échantillons, elle a analysé la manière de procéder du SRC et l’a jugée adéquate.
En ce qui concerne la légalité de la gestion des informations, l’AS-Rens n’a pas non plus constaté d’illégalités dans ses échantillons. Elle a en outre interrogé des tiers afin de vérifier l’efficacité des rapports et de la transmission d’informations sur le phénomène de l’extrémisme violent de droite. Ils ont estimé que les informations reçues du SRC étaient en principe efficaces.
12 Art. 6, al. 1, let. a, ch. 4, LRens.
13 Art. 37, al. 1, LRens.
14 Operation Information Center, domaine de Melani
15 Art. 6, al. 1, let. a, ch. 5, LRens
16 P. ex. postulat 02.3059; postulat 17.3831; heure des questions/ question 19.5677; heure des questions/question 21.7312; Die braune Gefahr – Die Schweiz ist keine Insel, SRF, 12 mai 2019; Wie neutral ist unsere Polizei?, « Walliser Bote », 23 juillet 2020; Geheimdienst soll Rechtsextreme ins Visier nehmen, «Zeitung für die Region Basel», 25 mai 2021.
17 P. ex. interpellation 19.3868; Geheimdienst überwacht Menschenrechtsorganisation seit 15 Jahren, Netzpolitik.org, 10 août 2021
18 Art. 5, al. 5, LRens
19 Art. 6, al. 1, let. a, ch. 5, LRens
20 Art. 19, al. 2, let. e, LRens
21 Art. 5, al. 5, LRens
22 Art. 5, al. 6, LRens
23 Art. 70, al. 1, let. b et art. 72 LRens
24 Art. 5, al. 8, LRens
25 Art. 72 LRens
Collaboration
Ce domaine d’inspection regroupe les sujets concernant la collaboration nationale et internationale des services. À cet égard, les SRCant représentent chaque année un élément central de l’activité de contrôle de l’AS-Rens. Cette année, elle rendra compte des inspections sous forme de synthèse.
En 2021, l’AS-Rens a effectué les inspections suivantes dans ce domaine :
- 21-5 Assurance qualité du SRC auprès des services de renseignement cantonaux (SRCant)
- 21-6 Inspection du SRCant Bâle-Ville (SRC / SRCant)
- 21-7 Inspection du SRCant Bâle-Campagne (SRC / SRCant)
- 21-8 Inspection du SRCant Appenzell Rhodes-Extérieures (SRC / SRCant)
- 21-9 Inspection du SRCant Appenzell Rhodes-Intérieures (SRC / SRCant)
- 21-10 Inspection du SRCant Argovie (SRC / SRCant)
- 21-11 Inspection du SRCant Vaud (SRC / SRCant)
- 21-12 Inspection du SRCant Neuchâtel (SRC / SRCant)
[21-5] Assurance qualité du Service de renseignement de la Confédération auprès des services cantonaux de renseignement (SRCant) (SRC)
L’assurance qualité est une mesure de réduction des risques. En complément des inspections régulièrement effectuées dans les SRCant, l’AS-Rens a vérifié si cette mesure avait un impact sur les SRCant. Cela permet de garantir qu’une surveillance adéquate des SRCant soit assurée en coordination avec l’AS-Rens. Une assurance qualité fiable et gérable est importante pour la qualité des données et des informations du SRC et des SRCant. Le SRC doit donc garantir l’exécution conforme au droit de la LRens, tant au sein du SRC que dans les SRCant, par des mesures d’assurance qualité et de contrôle appropriées. Le service d’assurance qualité du SRC (AQ SRC), rattaché au domaine Gestion de l’information/Cyber, est chargé de cette tâche.
L’AQ SRC contrôle au moins une fois par an, au moyen d’échantillonnages, la légalité, l’adéquation, l’efficacité et l’exactitude du traitement des données dans tous les systèmes d’information du SRC. Pour ce faire, elle établit un plan de contrôle et vérifie notamment la pertinence et l’exactitude des rapports périodiques enregistrés par les SRCant. En outre, elle efface les données issues d’examens préalables menés par les SRCant et dont la saisie remonte à plus de cinq ans, et procède à la suppression de données demandée par les SRCant. En outre, l’AQ SRC assure également des formations internes sur les questions liées à la protection des données.
L’AQ SRC choisit toujours le même processus pour effectuer des échantillonnages auprès des SRCant. Les différentes étapes de ce processus sont planifiées avec des délais et clairement attribuées aux collaboratrices et collaborateurs de l’AQ SRC. Ces différentes étapes comprennent notamment l’attribution du mandat, la collecte de données statistiques selon des instructions identiques, un questionnaire basé sur les statistiques recueillies, l’avis des SRCant sur le questionnaire ainsi que le rapport final. Celui-ci est mis en consultation au sein de la direction du SRC, puis approuvé par cette dernière. Lors de la dernière étape, les SRCant reçoivent ce rapport définitif et l’AQ SRC suit la mise en œuvre de ses éventuelles recommandations. L’implication de la direction et l’adoption définitive des rapports par la direction du SRC confèrent à ces rapports également le poids nécessaire vis-à-vis des SRCant.
L’AQ SRC applique son mandat de contrôle de manière adéquate et efficace dans le cadre des SRCant. Cela se traduit, par exemple, par le fait qu’elle a développé un processus de prélèvement d’échantillons qui garantit que ce prélèvement est toujours effectué sur la base d’actions identiques. L’AS-Rens a pu s’en convaincre à l’aide de deux échantillons. Des missions internes claires et un principe des quatre yeux permanent garantissent que les contrôles sont effectués efficacement et que les risques correspondants peuvent être détectés.
Grâce à la coordination interne au SRC et à l’harmonisation avec les plans d’inspections de l’AS-Rens, ainsi qu’en tenant compte des résultats d’inspections antérieures, l’AQ SRC coordonne ses activités de contrôle des SRCant de manière adéquate et efficace. Cela permet de garantir que le même SRCant ne soit pas contrôlé deux fois par année, bien que cela soit également possible si nécessaire. En outre, les contrôles internes au SRC sont répartis entre plusieurs personnes. Cela garantit que les aspects opérationnels et sécuritaires sont pris en compte en plus du contrôle du traitement des données.
De [21-6 à 21-12] Inspections des SRCant Bâle-Ville, Bâle-Campagne, Appenzell Rhodes-Extérieures, Appenzell Rhodes-Intérieures, Argovie, Vaud et Neuchâtel (SRC / SRCant)
En 2021, l’AS-Rens a examiné les activités de renseignement des SRCant d’Argovie, des deux Appenzell, des deux Bâle, de Neuchâtel et de Vaud. Leur collaboration avec le SRC a également été examinée. Depuis le début de ses activités de surveillance, l’AS-Rens a donc contrôlé au total 17 SRCant26. L’examen des neuf SRCant restants suivra au cours des deux prochaines années.
Il est ressorti de toutes les inspections des SRCant en 2021 que le SRC et les SRCant collaborent en principe bien en ce qui concerne tous les thèmes liés au renseignement. En ce qui concerne la réalisation d’actions opérationnelles communes, les deux parties souhaitent toutefois une meilleure coordination. Les divergences d’opinions entre le SRC et certains SRCant sur l’évaluation annuelle des performances ont pu être résolues lors d’entretiens de clarification.
Les SRCant disposent de bonnes à très bonnes connaissances en matière de renseignement et exécutent les mandats du SRC conformément au droit, dans les délais et avec une qualité satisfaisante pour le SRC. Ce dernier met à la disposition des SRCant, sur le poste de travail décentralisé27, plusieurs applications et dossiers relatifs au renseignement, notamment une gestion des mandats ainsi qu’une application spécialisée (FA KND). La FA KND permet aux cantons de recenser des objets de manière structurée28. L’AS-Rens n’a constaté, auprès des SRCant, ni l’existence de fichiers propres, ni de données personnelles dont le traitement ne repose sur aucune base légale. En revanche, les FA KND contenaient parfois des données qui n’avaient pas été saisies en temps réel pour les événements/constatations concernés. Par conséquent, ces données restaient stockées dans les FA KND plus longtemps que les cinq ans prévus par la loi. La cause de ces saisies incorrectes est supposément une migration de données antérieure (2017/2018) et devrait disparaître au cours des deux prochaines années grâce au bon fonctionnement de la suppression automatique. L’AS-Rens continuera à suivre cette évolution en coordination avec l’AQ SRC.
26 En 2020, l’AS-Rens a contrôlé les SRCant de St-Gall, de Zurich, du Tessin, de Soleure et de Fribourg. En 2019, les SRCant de Berne, des Grisons, de Genève, du Jura et de Schaffhouse.
27 Le poste de travail décentralisé est un segment au sein du réseau sécurisé SiLAN du SRC qui permet d’accéder aux systèmes du SRC depuis un site décentralisé. La notion de « poste de travail décentralisé » est également utilisée pour désigner l’ordinateur portable qui permet de travailler à distance. Le poste de travail SRCant est la variante du poste de travail décentralisé mise à disposition des SRCant.
28 Personnes, événements et moyens de communication sont les objets les plus fréquemment recensés par la FA KND.
Recherche
La recherche d’informations est une tâche clé des services de renseignement. Pour ce faire, ils peuvent recourir à divers moyens. L’AS-Rens accorde une attention particulière aux moyens qui interfèrent le plus fortement avec la sphère privée des personnes concernées. En 2021, l’AS-Rens a en outre mené une inspection extraordinaire dans le domaine HUMINT, annoncée préalablement au SRC.
En 2021, l’AS-Rens a effectué les inspections suivantes dans le domaine « Recherche » :
- 21-13 Gestion du risque pour les engagements à l’étranger (SRC)
- 21-14 Opérations (SRC)
- 21-15 HUMINT (SRC)
- 21-19 Inspection extraordinaire HUMINT (SRC)
[21-13] Gestion des risques pour les engagements à l’étranger (SRC)
Le SRC engage des collaboratrices et des collaborateurs pour des activités opérationnelles à l’étranger. Les cibles sont entre autres également des pays dans lesquels les principes de l’État de droit ne sont que partiellement ou pas du tout respectés, ou des zones où la sécurité peut être compromise. Des tiers apportent parfois leur soutien au SRC. Les recherches à l’étranger comportent par conséquent des risques pour les collaboratrices et les collaborateurs mandatés pour ce faire. Le SRC doit donc veiller à ce que les risques pris ne soient pas disproportionnés par rapport au but à atteindre29 et que ses collaboratrices et collaborateurs en mission à l’étranger soient protégés30. Un pilotage et des processus internes sont de rigueur afin que ces directives puissent être respectées. Une gestion des risques adéquate et efficace est d’autant plus importante.
Cette inspection de l’AS-Rens a plus particulièrement porté sur les engagements opérationnels de trois domaines du SRC. En plus des entretiens et de l’étude de la documentation, les procédures du DFAE et de fedpol lors d’engagements à l’étranger ont été analysées à titre de comparaison.
L’AS-Rens est d’avis que le SRC applique au niveau stratégique la gestion des risques lors d’engagements à l’étranger. Il est néanmoins important d’accroître l’adéquation de la gestion des risques pour les engagements à l’étranger. L’objectif principal consiste à garantir la sécurité physique des collaboratrices et des collaborateurs. De plus, le pilotage des engagements à l’étranger devrait être centralisé au SRC et les processus devraient être standardisés. L’AS-Rens peut confirmer que l’intégration de tiers dans des engagements risqués à l’étranger est conforme au droit et clairement documentée.
[21-14] Opérations (SRC)
Le SRC mène des opérations de renseignement parfois en utilisant des mesures de recherche soumises à autorisation. Les projets moins critiques en termes de temps et de sécurité, dans lesquels seules des mesures de recherche n’étant pas soumises à autorisation entrent en ligne de compte, sont réalisés comme besoins de clarifications opérationnels. Le SRC rend compte chaque année des opérations au Conseil fédéral. En cas de besoins de clarifications opérationnels, la cheffe du DDPS n’est informée sur leur contenu que ponctuellement et en cas de besoin.
Dans le cadre d’une inspection annuelle récurrente, l’AS-Rens a analysé la légalité, l’adéquation et l’efficacité de cinq opérations de renseignement sélectionnées et de 15 besoins de clarifications opérationnels. En outre, pour trois mesures de recherche soumises à autorisation, elle a vérifié que leur mise en œuvre était conforme aux décisions du Tribunal administratif fédéral. Au cours des années précédentes, ces trois thèmes avaient été examinés séparément. Néanmoins, en raison des nombreuses interfaces et dépendances, l’AS-Rens a décidé de les regrouper en une seule inspection.
Les activités d’inspection comprenaient l’étude de documents et des entretiens avec les spécialistes responsables au SRC. Sur la base des résultats des activités d’inspection, l’AS-Rens peut en principe confirmer la légalité, l’adéquation et l’efficacité des opérations.
« L’AS-Rens contrôle HUMINT au sein du SRC chaque année au moyen d’échantillonnages. Dans le cadre de ces contrôles, elle couvre tout le spectre de la gestion des sources humaines. »
[21-15] HUMINT (SRC)
Le recours à des informateurs reste l’un des principaux moyens d’exploration des services de renseignement, malgré des possibilités de surveillance technique très développées et l’accès à des informations publiques quasiment infinies. Les personnes ayant un accès particulier à des informations spécifiques sont donc intéressantes et importantes pour tout service de renseignement.
Le public a pu lire comment le SRC utilisait des informateurs dans le rapport de la DélCdG intitulé « Inspection consécutive à l’arrestation d’une ancienne source du SRC en Allemagne ». En 2017, un ancien informateur du SRC a été arrêté en Allemagne pour soupçon d’activité d’espionnage. La DélCdG a alors décidé d’analyser, dans le cadre d’une inspection, les dessous de cette affaire ainsi que le rôle du SRC, du Conseil fédéral et du Ministère public de la Confédération. La mise en œuvre des recommandations de ce rapport imprègne aujourd’hui encore le travail du SRC avec les informateurs.
HUMINT est souvent lié à des risques personnels élevés, tant pour les collaboratrices et les collaborateurs du SRC que pour les informateurs. Il en résulte une responsabilité et une obligation particulière pour le SRC qu’il doit prendre très au sérieux et qui jouent un rôle important dans la surveillance exercée par l’AS-Rens. Les officiers traitants doivent non seulement disposer de connaissances techniques dans leur domaine respectif, mais également d’une formation complète en matière de renseignement et de connaissances de différentes langues. Ils doivent également disposer de compétences sociales supérieures à la moyenne, à commencer par des compétences interculturelles et une sensibilité psychologique, afin de pouvoir relever des défis extraordinaires.
En tant qu’officiers traitants responsables des sources humaines, ils doivent comprendre ce qui motive et pousse les gens, indépendamment de leur origine ou de ce qu’ils font. Les collaboratrices et les collaborateurs opérationnels reçoivent donc une formation spéciale, aussi bien en langues étrangères que pour l’utilisation des technologies ou la conduite du personnel. Il convient également de mentionner que le quotidien en tant qu’officier traitant implique de nombreuses restrictions à la vie privée.
L’AS-Rens contrôle HUMINT au sein du SRC chaque année au moyen d’échantillonnages. Dans le cadre de ces contrôles, elle couvre tout le spectre de la gestion des sources humaines, y compris les risques pour la sécurité, les dépenses financières et l’impact concret obtenu par l’évaluation des informations recueillies à partir d’informateurs. L’AS-Rens sélectionne les engagements des informateurs à inspecter sur la base d’une analyse des risques et mène, entre autres, des entretiens avec les officiers traitants, la direction d’HUMINT et les collaboratrices et les collaborateurs de la division Analyse. Ces dernières et ces derniers intègrent finalement les informations recueillies dans les produits de renseignement.
Ces inspections supposent des exigences considérables en matière de confidentialité. Ainsi, par exemple, les noms des sources humaines et de leurs responsables restent secrets, même pour l’AS-Rens, dans la mesure où ils ne sont pas pertinents pour l’inspection. Cela correspond au principe need-toknow. Concrètement, cela signifie ici que l’accès aux données à caractère personnel est limité aux personnes qui en ont impérativement besoin pour accomplir leurs tâches.
La protection des informateurs est un bien précieux, qui est également protégé par la loi31. C’est pourquoi l’AS-Rens doit remplir les mêmes conditions relatives à la protection des informateurs dans le cadre de ses inspections. Pour des raisons liées à la protection de l’État, l’AS-Rens ne peut pas informer sur le résultat de ses inspections dans le domaine HUMINT de manière aussi détaillée qu’elle le fait dans d’autres domaines d’inspection.
29 Art. 36, al. 3, LRens
30 Art. 36, al. 7, LRens
31 Art. 35 LRens
Ressources
Afin de garantir une activité de renseignement efficace, une gestion adéquate des ressources est indispensable. En 2021, l’AS-Rens n’a ni planifié, ni mené d’inspections dans ce domaine.
Traitement des données et archivage
La sensibilité des informations traitées par les services est élevée. En outre, les prescriptions légales sont vastes et complexes. C’est pourquoi l’autorité de surveillance doit apporter une attention particulière à la légalité du traitement des informations.
En 2021, dans ce domaine, l’AS-Rens a planifié les inspections suivantes :
- 21-16 Services de télécommunication (SRC)
- 21-17 Système d’information du SRC sélectionné (Quattro P)
- 21-18 Protection des données au sein du RM
L’inspection « 21-16 Services de télécommunication » n’a débuté qu’au quatrième trimestre 2021. Jusqu’à la date de clôture de la rédaction du présent rapport d’activités, aucun résultat pertinent pour le rapport n’était encore disponible.
[21-17] Système d’information du SRC sélectionné (Quattro P)
En 2020, l’AS-Rens a décidé d’intégrer le système d’information Quattro P au plan des inspections 2021. La raison à cela est que ce système d’information permet de saisir et traiter un nombre important de déplacements de personnes de certaines nationalités. Les données personnelles dans Quattro P servent en outre de base pour le système de reconnaissance faciale que le SRC utilise depuis 2020 et qui servait jusqu’à présent uniquement à la recherche de données propres. Finalement, le cercle des personnes autorisées à accéder à Quattro P comprend la moitié des collaboratrices et des collaborateurs du SRC ; il est donc important. Dans cette inspection, l’ASRens a contrôlé le fonctionnement, l’utilisation et les contenus du système d’information sur les plans de l’adéquation et de la légalité. De plus, l’une des questions de l’inspection concernait la légalité du système de reconnaissance faciale exploité par le SRC.
Dans le cadre de l’inspection, les directrices d’inspections ont eu accès aux systèmes d’information Quattro P, IASA SRC, SiLAN et au système de reconnaissance faciale. Cela a permis de garantir que l’AS-Rens puisse planifier et effectuer ses échantillonnages de manière indépendante.
Légalité de la saisie et du traitement des données dans Quattro P
Le Conseil fédéral détermine dans une liste non publique les voyageuses et les voyageurs dont les données doivent être communiquées spontanément au SRC32. Il se fonde pour cela sur l’appréciation actuelle de la menace. Les données des voyageurs au sein de l’espace Schengen ne sont pas enregistrées dans Quattro P en raison des contrôles aux frontières inexistants.
Les données personnelles ci-dessous sont saisies dans Quattro P33:
- nom, prénom, date de naissance, nationalité;
- numéro du document d’identité; numéro de visa; date de validité;
- photo du document d’identité;
- lieu, date et description du contrôle à la frontière;
- sexe;
- données provenant de la puce du document d’identité;
- données provenant du visa.
Ces données sont livrées par les services concernés (Corps des gardes-frontière, services de police). Le tri des données à livrer se fait au sein de ces services mêmes afin que le SRC ne reçoive que les données qu’il est autorisé à recevoir selon les dispositions légales. Les données concernant les enfants de moins de 16 ans ne sont pas saisies.
Après l’analyse des dispositions légales et de la documentation relative au système d’information, l’AS-Rens a effectué les échantillonnages ci-dessous pour l’inspection de la notion de légalité:
- saisie des déplacements uniquement des ressortissants figurant sur la liste des États établie par le Conseil fédéral;
- saisie des données concernant des enfants;
- respect de la durée de conservation de cinq ans34;
- vérification des entrées dans Quattro P et leur saisie dans IASA SRC.
Lors de l’inspection des échantillons, l’AS-Rens a constaté des cas de saisies multiples de documents de voyage relatifs à des voyages individuels. Elle a donc recommandé au SRC d’étudier les mesures à prendre pour réduire ces cas, puis de les appliquer. Pour le reste, l’AS-Rens a considéré, sur la base des activités d’inspection réalisées, que les traitements de données dans Quattro P étaient conformes au droit.
Adéquation de la saisie et du traitement des données dans Quattro P
La notion d’adéquation comprend l’aptitude, la nécessité et la pertinence d’une procédure, ici le traitement des données dans Quattro P. Un traitement compliqué et fastidieux des données est source d’erreurs et peut conduire à ce que le SRC dispose trop tard d’informations pertinentes pour l’accomplissement de ses tâches.
La transmission automatisée des données par les bureaux extérieurs qui les fournissent semble faire ses preuves au vu de la grande quantité de données fournies. Seul un petit pourcentage des données livrées est traité manuellement. Si le pourcentage des données livrées incorrectement augmente, le SRC prend contact avec les autorités qui ont fourni les données et des mesures appropriées sont prises pour améliorer la qualité de ces données.
En ce qui concerne les échantillonnages effectués pour vérifier la légalité de la saisie des données, l’AS-Rens a constaté que, pour environ 25 % des données examinées, la destination du voyage était indiquée comme « non définie »35. C’est pourquoi l’AS-Rens a recommandé que le SRC vérifie, en collaboration avec les organes de contrôle, quelles mesures permettraient de réduire ce pourcentage.
Légalité et adéquation de la gestion des accès à Quattro P
Pour des raisons liées à la sécurité de l’information et à la protection des données, l’accès à Quattro P doit être octroyé uniquement aux collaboratrices et collaborateurs du SRC qui en ont besoin pour accomplir leurs tâches. Si les autorisations ne sont plus actuelles, elles ne respectent pas le principe needto-know. Des processus inadéquats dans la gestion des accès entraînent des retards dans l’ajustement des droits d’accès. Ces derniers doivent être adaptés à temps en cas de changements de poste ou de départs de personnel, afin d’éviter les accès illicites aux données et les éventuelles failles de sécurité qui en découlent.
Sur la base des échantillonnages effectués et de l’analyse des documents pertinents, l’AS-Rens a recommandé de vérifier régulièrement les droits d’accès et de supprimer les accès non nécessaires36.
« La reconnaissance faciale est un nouveau moteur de recherche qui suscite la controverse du point de vue de la protection des données. Comme elle est utilisée au SRC, l’AS-Rens a décidé de vérifier la légalité de son utilisation. »
Légalité du système de reconnaissance faciale
Les systèmes de reconnaissance faciale permettent d’identifier des personnes sur des photos, dans des vidéos ou en temps réel. Les images disponibles dans les bases de données sont analysées sur la base de la géométrie des visages saisis. Les traits caractéristiques du visage sont transformés en un ensemble de données numériques – une empreinte faciale. Cette dernière est aussi unique que les empreintes digitales. De telles données sont appelées « données biométriques »37.
La reconnaissance faciale est un nouveau moteur de recherche qui suscite la controverse du point de vue de la protection des données. Comme elle est utilisée au SRC, l’ASRens a décidé de vérifier la légalité de son utilisation.
Elle a constaté qu’au début du projet, le SRC a initié différentes clarifications concernant la légalité. Ces clarifications ont servi à l’élaboration du règlement sur le traitement des données et à une analyse des bases légales. Le projet a continué à se développer par la suite sans que le service juridique ou le service interne de contrôle de qualité du SRC ne vérifient une nouvelle fois la légalité de la poursuite du développement.
Selon l’ AS-Rens, le système de reconnaissance faciale permet de traiter des données biométriques. Ces données sont classées comme des données sensibles conformément à loi fédérale révisée (pas encore en vigueur) sur la protection des données (LPD)38. En vertu de l’art. 47, al. 2, LRens, le Conseil fédéral règle le catalogue des données personnelles pour chaque système d’information. Il l’a fait dans l’OSIS-SRC, mais le traitement des données biométriques n’est prévu dans aucun des systèmes d’information qui y sont mentionnés.
De plus, le système de reconnaissance faciale permet d’établir des profils d’images qui peuvent, en outre, être enrichis à l’aide de métadonnées. Selon l’AS-Rens, cela conduit à la création de profils de la personnalité. Sur la base de ces réflexions, l’AS-Rens a émis plusieurs recommandations qui concernaient notamment aussi l’implication du PFPDT dans la poursuite des clarifications juridiques du SRC.
[21-18] Protection des données au sein du RM
Après avoir mis en lumière les systèmes d’informations pertinents en matière de renseignement utilisés par le Renseignement militaire (RM) dans son inspection 20-17, l’AS-Rens a vérifié au cours de l’année sous revue la légalité du traitement des données personnelles présentes dans deux systèmes du RM au moyen d’entretiens, d’une étude documentaire et d’un échantillonnage aléatoire. Parmi les différents systèmes d’informations, sous-systèmes et applications spéciales autorisées, l’AS-Rens a décidé de focaliser son examen sur les systèmes d’informations exploités par le RM et dont il est responsable, à savoir son outil principal de travail, le système Ik MND, ainsi que sur le système d’échange d’informations sécurisé avec l’étranger BICES39. Selon l’évaluation faite par l’AS-Rens ces systèmes comportent potentiellement un risque élevé au regard de la protection des données (quant à la quantité, la nature des données, les destinataires et éventuels impacts en termes d’atteinte aux droits de la personnalité des personnes concernées).
Elle a pu constater que le RM traite dans le cadre de ses tâches légales des données personnelles et peut aussi être amené à traiter des données personnelles sensibles ou établir des profils de personnalité, bien que l’AS-Rens n’en ait pas constaté la présence lors de ses échantillonnages. Si l’AS-Rens a pu relever la présence de données personnelles dans certains produits du RM, elle constate toutefois que celles-ci ne constituent pas le centre d’intérêt du RM qui se focalise sur ses missions (recherche et évaluation d’informations sur l’étranger importantes pour l’armée, notamment du point de vue de la défense nationale, du service de promotion de la paix et du service d’appui à l’étranger). La recherche d’informations est axée prioritairement sur l’étranger. Elle n’est pas ciblée sur des personnes en Suisse qui ne sont par ailleurs pas saisies de manière structurée dans les systèmes du RM. Les données personnelles de ressortissants suisses qui sont collectées dans le cadre d’un service d’appui en Suisse (par exemple World Economic Forum), sont transmises aux autorités nationales compétentes et ne doivent pas être utilisées en lien avec les activités de renseignement militaire.
« Pendant l’année sous revue, l’AS-Rens a enregistré une nette augmentation des informations et des signalements transmis de manière informelle, dus principalement au mécontentement des collaboratrices et des collaborateurs du SRC. »
Si des données personnelles sont traitées, il s’agit des noms de personnalités politiques, de dirigeants étrangers, des chefs de réseaux ou de groupes armés permettant au RM d’assurer un suivi et une évaluation des développements stratégiques militaires et des forces armées avec un accent sur certains pays ou menaces de type militaire et des conflits armés ainsi que la situation dans les zones d’engagement de l’armée suisse à l’étranger.
Dans chaque cas examiné lors des échantillonnages, un lien a pu être établi avec les activités du RM. Par ailleurs, l’AS-Rens s’est également fait expliquer les droits d’accès des utilisateurs et la procédure d’archivage et de suppression des documents. Elle a constaté que les accès sont limités aux collaboratrices et collaborateurs qui en ont besoin pour l’accomplissement de leurs tâches et que les produits présents dans les systèmes inspectés sont proposés aux archives fédérales et ne sont pas conservés au-delà de la durée légale. Les systèmes utilisés par le RM sont bien documentés. Ils ne sont pas reliés entre eux par des interfaces communes permettant un échange automatisé de données, ce qui limite les risques d’abus.
A l’issue de son inspection, l’AS-Rens n’a pas constaté d’éléments qui pourraient la conduire à douter de la légalité du traitement des données personnelles effectué par le RM dans toutes ses phases ni que ce dernier fait un usage abusif ou disproportionné des données personnelles collectées tant au regard de sa propre législation que des dispositions sur la protection des données.
L’AS-Rens a également constaté que le RM peut s’appuyer sur des dispositions spécifiques pour ce qui a trait à la communication de données personnelles à l’étranger. En règle générale, les produits qui sont transmis à l’étranger concernent des évaluations de situation (militaire, politique, militaro-politique). S’il ne peut être exclu que des données personnelles puissent occasionnellement apparaître dans les produits du RM, il n’y a pas d’échange de données en relation à une personne en particulier. Par ailleurs, les produits du RM ne sont fournis qu’aux services des pays qui partagent les valeurs occidentales et disposent d’une législation sur la protection des données.
32 Art. 55, al. 4, LRens; la liste des pays fait partie de la liste selon l’art. 20, al. 4, LRens (événements et données à communiquer spontanément)
33 Annexe 8 OSIS-SRC
34 Art. 55 OSIS-SRC
35 Les possibilités ci-après sont à disposition: « entrée », « sortie » et « non défini ».
36 Art. 5, al. 4, OSIS-SRC
37 Source: www.kaspersky.de/resource-center/definitions/what-isfacial-recognition, dernière consultation le 22 novembre 2021.
38 RS 235.1
39 Battlefield Information Collection and Exploitation System, Réseau international de communication de l’ OTAN.
Acceptation
L’accueil réservé aux directrices et directeurs d‘inspections de l’AS-Rens par les services soumis à la surveillance a été constructif et professionnel. L’accès aux documents et systèmes d’information nécessaires à la réalisation des mandats d’inspection a pu se faire très simplement. Les personnes interrogées étaient à la disposition des directrices et des directeurs d‘inspections. Les entretiens ont pu être planifiés et réalisés dans un délai raisonnable malgré les restrictions imposées par la pandémie. Les réponses aux questions supplémentaires ont été fournies aussi rapidement que possible.
Pendant l’année sous revue, l’AS-Rens a enregistré une nette augmentation des informations et des signalements transmis de manière informelle, dus principalement au mécontentement des collaboratrices et des collaborateurs du SRC. Les informations ont été analysées dans la mesure du nécessaire et du possible et intégrées dans les procédures d’inspections ou ont donné lieu à des clarifications individuelles. La cheffe du DDPS a été informée par écrit de ces développements, le 13 juillet et le 22 octobre 2021. Cette thématique n’est pas terminée et occupera l’AS-Rens à l’avenir aussi.
Controlling des recommandations
La vérification de la mise en œuvre des recommandations n’est pas explicitement réglementée par les bases légales du renseignement. En accord avec le DDPS et les autorités surveillées, il a été convenu que ces dernières informeraient le département par écrit au sujet de la mise en œuvre des recommandations. L’AS-Rens en reçoit une copie. En 2021, l’AS-Rens a reçu une notification de mise en œuvre pour 66 recommandations. À la fin de l’année il n’y a aucune recommandation en suspens au RM ni à la COE. En outre, au milieu de l’année et en présence du conseiller en renseignement de la cheffe du DDPS, une rencontre avec tous les services soumis à la surveillance a eu lieu pour faire le point sur les recommandations encore en suspens et celles qui avaient déjà été mises en œuvre.
Vérification des recommandations – un exemple concret
Avec l’entrée en vigueur de la LRens, le SRC dispose d’une base légale explicite en vue de détacher ses propres collaboratrices et collaborateurs dans les représentations suisses à l’étranger pour promouvoir des contacts internationaux40. Le SRC utilise cette possibilité et fait appel à ce que l’on appelle des personnes de liaison pour les services de renseignement. En 2019, l’AS-Rens a donc examiné la gestion de l’information en matière de renseignement entre le senseur Attachés de défense (AD) et le SRC.
Les AD permettent à la Suisse de défendre la mise en œuvre de ses intérêts relevant de la politique étrangère et de la politique de sécurité. Bien que les AD soient des militaires, c’est en premier lieu le SRC qui est responsable de leur engagement en tant que senseurs et donc de leur conduite en matière de renseignement.
Suite à cette inspection, l’AS-Rens a recommandé au SRC d’élaborer un concept stratégique visant à mieux définir le recours aux personnes de liaison pour les services de renseignement et son interface avec les attachés de défense. L’objectif est d’améliorer l’adéquation et l’efficacité dans ce domaine du renseignement.
Durant l’année sous revue, l’AS-Rens a procédé à l’inspection « 21-1 Engagement de collaboratrices et de collaborateurs du SRC dans les représentations suisses à l’étranger ». La vérification de la recommandation faite antérieurement quant à l’élaboration d’un concept stratégique pour le recours aux personnes de liaison pour les services de renseignement était un élément essentiel de l’inspection. Les recommandations formulées sont inscrites dans un système de monitorage auprès de l’AS-Rens et vérifiées à l’aide d’avis d’exécution reçus du SRC concernant leur mise en œuvre. Finalement, l’AS-Rens décide si la mise en œuvre décrite suffit ou si elle nécessite une vérification plus approfondie. Si elle parvient à cette dernière conclusion, soit la mise en œuvre à contrôler est intégrée dans une inspection planifiée, soit, comme dans le cas décrit ci-dessus, une inspection propre est créée.
40 Art. 12, al. 2, L Rens