5. Activités de surveillance

Dans le domaine « Stratégie et planification », l’AS-Rens examine des thèmes qui touchent à la planification stratégique à court, moyen et long terme des autorités du renseignement suisses ainsi qu’à leurs objectifs. Pour l’année 2022, l’inspection ci-après était planifiée :

• 22-1 Anticipation et détection précoce (SRC)

[22-1] Anticipation et détection précoce (SRC)

La détection précoce et l’anticipation des menaces importantes et des développements stratégiques, tout comme des chances que ces deux éléments représentent, revêtent une importance centrale pour la politique de sécurité. Or, que signifient exactement la détection précoce et l’anticipation ? La détection précoce sert à identifier et à comprendre une menace, qui peut être nouvelle ou découler d’une évolution de la situation. La détection précoce est suivie de l’anticipation, qui consiste à influencer le développement d’une situation par des actes concrets. Ces actes sont essentiels, puisqu’il s’agit de devenir un acteur de ce changement en planifiant et en prenant aujourd’hui des mesures permettant de se préparer demain à un changement à venir.

Le SRC joue un rôle important dans la détection précoce et l’anticipation des menaces importantes. Selon le préambule de la Cheffe du DDPS dans le rapport de situation « La Sécurité de la Suisse 2021 », une meilleure détection précoce doit permettre de lutter de manière plus ciblée contre les cybermenaces, les activités de désinformation et de prise d’influence dirigées contre la Suisse et les menaces hybrides. Ces dernières apparaissent dans les scénarios de conflits modernes, combinant interventions militaires classiques avec pression économique, attaques informatiques ou propagande dans les médias et sur les réseaux sociaux. Ces phénomènes revêtent une importance croissante sur le plan de la politique de sécurité et requièrent une attention accrue.

La recherche et le traitement d’informations sert à détecter à un stade précoce et à prévenir les menaces pesant sur la sécurité intérieure et extérieure de la Suisse. Les évolutions sociétales et techniques et les menaces d’aujourd’hui, qui prennent des dimensions toujours plus globales, obligent le SRC à les détecter mieux et de manière plus précoce tout en y réagissant avec efficacité.

La quantité d’informations ouvertes, disponibles pratiquement en temps réel grâce aux technologies modernes de l’information, ne rend pas les services de renseignement superflus. Ces derniers sont nécessaires pour parcourir les innombrables annonces, les passer sous la loupe et les compléter à l’aide de données non accessibles à tout le monde, les vérifier et établir des analyses de situation en temps voulu. C’est le seul moyen de s’assurer que le Conseil fédéral bénéficie de conditions préalables fiables pour prendre des décisions stratégiques. L’AS-Rens a intégré cette inspection dans son plan des inspections afin de voir si le SRC s’acquittait de cette tâche importante et comment. Au moment de la rédaction du présent rapport d’activité, le rapport d’inspection correspondant était en phase de finalisation. La finalisation et l’envoi du rapport définitif au DDPS, l’AS-Rens publiera le résumé de l’inspection sur son site Internet.

Dans le domaine « Organisation », l’AS-Rens examine la structure des services de renseignement et leurs processus de travail, en se posant notamment la question de savoir si ceux-ci permettent aux autorités concernées de remplir leur mandat légal dans le respect du droit, avec efficacité et de manière adéquate. En 2022, l’AS-Rens a ainsi mené l’inspection ci-après dans ce domaine :

• 22-2 Business Continuity Management et Disaster Recoveries dans l’exploitation informatique (COE)

[22-2] Business Continuity Management et Disaster Recoveries dans l’exploitation informatique (COE)

Les événements imprévus tels que les dommages causés aux câbles par des travaux de construction ou les catastrophes telles que les inondations, mais aussi les menaces qui visent directement l’infrastructure informatique (IT), touchent non seulement les particuliers, mais aussi les entreprises et les organisations étatiques. Le Business Continuity Management (BCM) s’intéresse à l’analyse et à la gestion des risques qui découlent de telles menaces, en lien avec l’entreprise dans son entier. Compte tenu de la forte dépendance de la gestion des affaires vis-à-vis des technologies de l’information, l’existence d’une infrastructure informatique à toute épreuve est essentielle à la survie d’une organisation. C’est la raison pour laquelle l’IT-BCM doit être un soutien technique au Business Continuity Management et veiller à ce que l’infrastructure IT et les services IT s’appuyant là-dessus résistent également à une catastrophe ou puissent être rétablis dans des délais raisonnables et conformes à des priorités définies. Le BCM s’occupe donc du maintien d’une capacité de production minimale dans chaque situation et de l’identification des processus d’affaires critiques nécessaires à cela, entre autres. L’IT-BCM, quant à lui, veille à ce que l’infrastructure informatique ainsi que les données et les applications requises soient disponibles avec une certaine redondance et puissent être remises à disposition dans un délai utile après une panne.

La tâche prioritaire des services de renseignement consiste à rechercher et traiter des données, afin d’y collecter des informations nécessaires aux intérêts sécuritaires du pays. Or, comme toutes les autres organisations dont le modèle d’affaires repose sur le traitement d’informations, ils dépendent tout spécialement de systèmes informatiques toujours hautement disponibles. C’est pourquoi les catastrophes susmentionnées touchent également directement de telles organisations au niveau de leurs processus d’affaires, car la perte de technologies de l’information aboutit tout de suite à une dégradation de leur capacité à garantir les processus critiques. Pour ces organisations, le BCM et l’IT-BCM sont donc étroitement liés. C’est ce qui a conduit l’AS-Rens à examiner le Business Continuity Management de l’informatique et le Disaster Recoveries-IT au sein du COE.

L’AS-Rens a constaté lors de son inspection que le COE s’appuyait avant tout sur la gestion interne des risques pour mener ses réflexions. Prévenir et réduire les risques à un niveau acceptable est à cet égard tout aussi important que de garantir le rétablissement de l’infrastructure informatique après un scénario catastrophe.

Le COE s’efforce par ailleurs en permanence d’optimiser ses capacités en matière de BCM et de Disaster Recoveries-IT. En font partie la mise en place et le développement de stratégies et planifications, ainsi que des investissements réguliers dans l’infrastructure IT, afin que les mécanismes de Back-up et de Disaster Recoveries correspondent au niveau de développement technologique le plus récent.

Globalement, l’AS-Rens arrive à la conclusion que le COE est bien préparé pour ce qui est du BCM de l’informatique et du dispositif de Disaster Recoveries-IT.

« Outre une inspection sur place, qui englobe un entretien spécialisé avec le personnel compétent du SRCant et une visite des locaux, elle procède à un échantillonnage dans les différents systèmes d’information. »

Dans le domaine « Collaboration », l’AS-Rens examine la collaboration des services avec des autorités nationales et internationales. Dans ce contexte, l’AS-Rens contrôle chaque année la collaboration avec une sélection de services de renseignement cantonaux (SRCant). En 2022, il s’agissait des services suivants :

• 22-3 Service de renseignement cantonal du Valais (SRCant / SRC)
• 22-4 Service de renseignement cantonal de Glaris (SRCant / SRC)
• 22-5 Service de renseignement cantonal de Thurgovie (SRCant / SRC)
• 22-6 Service de renseignement cantonal de Zoug (SRCant / SRC)
• 22-7 Service de renseignement cantonal de Schwyz (SRCant / SRC)

[22-3 à 22-7] inspections des services de renseignement cantonaux du Valais, de Glaris, de Thurgovie, de Zoug et de Schwyz (SRCant / SRC)

En 2022, l’AS-Rens a contrôlé les activités de renseignement des SRCant du Valais, de Glaris, de Thurgovie, de Zoug et de Schwyz. Depuis le début de ses activités de surveillance, elle a donc contrôlé au total 22 SRCant. L’inspection des quatre SRCant restants³ est prévue pour la période d’inspection 2023.

Afin de garantir la comparabilité, l’AS-Rens examine tous les SRCant de la même manière. Outre une inspection sur place, qui englobe un entretien spécialisé avec le personnel compétent du SRCant et une visite des locaux, elle procède à un échantillonnage dans les différents systèmes d’information.

Il ressort de toutes les inspections menées en 2022 auprès des SRCant que le SRC et ces derniers collaborent en principe bien, voire très bien, dans tous les champs thématiques du renseignement. Les connaissances des SRCant en matière de renseignement sont bonnes à très bonnes et ces derniers sont motivés à remplir leur mission de renseignement. En moyenne, l’AS-Rens a examiné à chaque fois cinq mandats confiés par le SRC au SRCant concerné durant les années 2020 à 2022, sous l’angle de l’objectif de recherche, des actions entreprises et du respect des délais fixés par le SRC. Les résultats de cet échantillonnage et le retour du SRC sous la forme d’une évaluation de la prestation ont permis à l’AS-Rens de conclure que les SRCant inspectés ont accompli les tâches qui leur ont été confiées par le SRC dans le respect du droit et des délais, tout en assurant une qualité satisfaisante aux yeux du SRC.

En raison de ressources et de possibilités techniques restreintes pour le traitement des données, le SRCant de Zoug a conservé, sans les traiter, des fichiers audios sur un disque dur externe pendant une longue période. L’AS-Rens a recommandé au SRC de veiller à ce que les prescriptions en vigueur portant sur la durée de conservation de données hors du réseau du SRC soient respectées par les SRCant. Le service d’assurance qualité du SRC doit à l’avenir inclure dans ses contrôles périodiques la vérification des supports de données externes mis à disposition.

Les différences de fonctionnement des divers SRCant s’observent particulièrement dans les SRCant de petite taille, où les ressources en personnel sont modestes. Dans l’un des SRCant, le chef ne menait aucune activité relevant du renseignement et ne disposait d’aucun accès aux systèmes d’information du SRC. Dans un autre SRCant, le suppléant ne faisait que pallier les absences de son chef, sans toutefois être impliqué dans les affaires courantes. Dans les deux cas, ces formes d’organisation individuelles n’ont toutefois eu aucun impact négatif identifiable sur l’exécution de la mission.

L’adaptation prévue de la clé de répartition des indemnités versées par le SRC aux SRCant, qui était en vigueur jusqu’à fin 2022, a suscité le mécontentement, surtout chez les petits SRCant touchés par une éventuelle réduction. Le SRC et la Conférence des commandantes et des commandants des polices cantonales de Suisse (CCPCS) ont donc mis en place un groupe de travail chargé de définir ensemble, début 2023, les critères à respecter pour la prochaine clé de répartition. La durée de validité de la clé de répartition actuelle a été prolongée à cet effet jusqu’à fin 2023.

« Le SRC doit choisir la mesure de recherche d’informations qui porte le moins atteinte aux droits fondamentaux des personnes concernées. »

La recherche d’informations est une tâche clé des services de renseignement. Divers moyens peuvent être déployés à cet effet par les services. L’AS-Rens accorde une attention particulière à ceux qui portent le plus atteinte à la vie privée des personnes concernées.

Chaque année a notamment lieu une inspection dans le domaine HUMINT. L’inspection « 21-15 HUMINT » prévue en 2021 n’a pas pu être entièrement réalisée l’année même et n’a été achevé qu’en 2022. C’est pourquoi l’inspection « 22-9 Sources humaines (HUMINT) » prévue pour 2022 a été annulée. Le domaine HUMINT a en outre été contrôlé en 2022 par un autre audit dans le domaine des ressources « 22-13 Flux financiers dissimulés »⁴.

Dans le domaine « Recherche », l’AS-Rens a mené les inspections suivantes :

• 21-15 HUMINT
• 22-8 Opérations, enquêtes opérationnelles et mesures de recherche soumises à autorisation (SRC)
• 22-10 Recherche d’informations au moyen de mesures non soumises à autorisation (SRC)
• 22-11 Gestion de la recherche d’informations (SRC)
• 22-12 Pilotage et choix des senseurs par le Renseignement militaire (RM)

⁴  Voir ch.5.2.5 ci-dessous

[22-10] Recherche d’informations au moyen de mesures non soumises à autorisation (SRC)

Pour accomplir ses tâches, le SRC recherche des informations à partir de sources accessibles au public et de sources non accessibles au public⁵. Il doit à chaque fois choisir la mesure de recherche qui porte le moins atteinte aux droits fondamentaux des personnes concernées. Le SRC peut déployer certaines mesures permettant de rechercher des informations de manière autonome et sans autorisation extérieure particulière, car l’atteinte qu’elles portent aux droits fondamentaux est relativement faible. Font partie de ces mesures les sources d’information publiques, les observations effectuées dans les des lieux publics et librement accessibles, le recours à des informateurs et aux signalements pour la recherche de personnes et d’objets. L’AS-Rens s’est principalement occupée des observations (p. ex. par des enregistrements audio et vidéo) dans les lieux publics et librement accessibles (p. ex. dans les aéroports, dans la rue ou dans les gares) et de l’utilisation du système de recherches informatisées de police (RIPOL), partie nationale du Système d’information Schengen (N-SIS) incluse.

Chaque observation dans des lieux publics et librement accessibles exige une analyse très minutieuse des circonstances sur place, puisque la question de savoir si une autorisation est nécessaire ou non pour la recherche d’informations peut par exemple dépendre de l’angle de prise de vue d’une caméra. L’enregistrement des conversations peut également s’avérer délicat, notamment parce que la définition pénale de ce qui constitue ou non une discussion dans la sphère privée rend difficile la mise en œuvre de telles mesures dans la vie réelle. L’AS-Rens a par conséquent examiné les processus nécessaires à la mise en œuvre de ces mesures et les moyens techniques utilisés pour la recherche et le traitement de telles informations.

Le RIPOL est utilisé par les autorités de police de la Confédération et des cantons pour signaler des personnes et des objets à des fins de recherches en Suisse. Le SRC peut également faire inscrire des signalements de personnes et de véhicules dans le RIPOL lorsqu’il existe des indices sérieux selon lesquels la personne concernée représente une menace concrète pour la sécurité intérieure et extérieure de la Suisse, qu’un véhicule est utilisé dans le cadre d’une telle menace ou qu’il est nécessaire de constater le lieu de séjour d’une personne ou l’emplacement d’un véhicule dans le but de sauvegarder les intérêts nationaux importants. Le N-SIS sert à traiter les mêmes signalements, mais à l’échelle internationale dans l’espace Schengen. S’agissant de l’utilisation du RIPOL et du N-SIS, l’AS-Rens a examiné les processus de signalement. Elle a aussi analysé les autorisations d’accès ainsi que l’administration et le contrôle des consultations de données dans les deux systèmes. Dans ce cadre, l’AS-Rens a procédé à des activités d’inspection auprès du SRC et à des clarifications auprès de l’Office fédéral de la police (fedpol).

Le rapport d’inspection n’était pas encore terminé au moment de la rédaction du présent rapport d’activités, de sorte qu’il n’a pas encore été possible de procéder à une évaluation.

⁵ Art. 5 al. 1 de la loi fédérale du 25 septembre 2015 sur le renseignement (LRens ; RS 121)

[22-11] Gestion de la recherche (SRC)

L’unité organisationnelle Gestion de la recherche (Beschaffungsmanagement, ci-après : BM) est rattachée au domaine de direction Recherche du SRC. Elle assume l’une des tâches clés de la recherche d’informations, en coordonnant les mandats de recherche du renseignement. Elle établit en outre régulièrement une vue d’ensemble des activités de recherche au sein du SRC. Globalement, cette unité organisationnelle constitue la pierre angulaire de la compétence clé du SRC qu’est la recherche d’informations.

Dans les inspections qu’elle a menées jusqu’à ce jour, l’AS-Rens a souvent touché à des questions en lien avec la Gestion de la recherche, mais elle n’a encore jamais examiné en détail ses activités. C’est pourquoi l’AS-Rens a notamment vérifié, dans le cadre de cette inspection,

• si les tâches, compétences et responsabilités au sein de BM étaient suffisamment adéquates et efficaces pour permettre au SRC de remplir ses tâches selon l’art. 6 LRens ;
• si l’unité organisationnelle BM était adéquatement intégrée dans la structure du SRC ;
• si la collaboration avec d’autres services du SRC et des tiers était adéquate et efficace.

Dans le cadre de cette inspection, l’AS-Rens a examiné toute l’unité organisationnelle BM. Celle-ci se compose de la Gestion de la recherche proprement dite, aussi appelée Collection Management, et de deux autres domaines.

Pour cette inspection, l’AS-Rens a passé en revue la vaste documentation décrivant les tâches, les compétences et les responsabilités de la Gestion de la recherche et des domaines qu’elle englobe, notamment les manuels, les processus, les notes de dossier et les processus de gestion des affaires.

L’AS-Rens a ensuite comparé les procédures décrites dans la documentation avec leur mise en œuvre effective. Pour obtenir des informations à ce sujet, elle a mené des entretiens avec les collaboratrices et collaborateurs de BM et procédé à un échantillonnage des cas traités dans le système de gestion des affaires de ces collaboratrices et collaborateurs.

Afin d’examiner la collaboration avec d’autres services du SRC et des tiers, l’AS-Rens s’est entretenue avec d’autres membres du personnel du SRC, notamment du domaine Analyse, dont le quotidien est directement concerné par les tâches de la Gestion de la recherche. Les analystes établissent des mandats de recherche, qui sont ensuite vérifiés par la Gestion de la recherche et éventuellement renvoyés à l’expéditeur pour complément ou correction. Des questions écrites ont de plus été posées à des services externes concernant la collaboration au quotidien avec BM. Le COE et le Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) ont notamment fait partie de ces services externes.

Les activités d’inspection et la rédaction du rapport étaient terminées au 31 décembre 2022. L’AS-Rens a constaté qu’il n’était pas possible de clairement identifier les responsabilités liées aux mandats de recherche, raison pour laquelle elle a recommandé d’optimiser certains processus. À la clôture de la rédaction du présent rapport d’activités, les échanges sur la mise en œuvre des recommandations n’étaient pas encore terminés. Le DDPS a transmis au SRC les deux recommandations formulées pour leur mise en œuvre.

[22-12] Pilotage et choix des senseurs par le Renseignement militaire (RM)

Lors de cette inspection, il s’agissait principalement de répondre à la question de savoir si le pilotage et le choix des senseurs par le RM étaient conformes au droit, adéquats et efficaces lors d’engagements de l’armée. Par courrier du 26 novembre 2021 portant sur le projet du plan des inspections 2022, la Délégation des Commissions de gestion (DélCdG) a par exemple informé l’AS-Rens que tant l’attribution de missions à l’exploration radio que la planification des contacts du RM avec des services partenaires étaient axées sur le long terme et qu’elles ne pouvaient donc pas s’articuler à brève échéance autour de nouveaux objectifs de recherche. Il semblait donc peu opportun d’analyser le pilotage des senseurs à partir des processus administratifs du RM et plus judicieux de l’examiner lors d’engagements concrets de l’armée. L’AS-Rens a tenu compte de cette remarque dans la conception de l’inspection et s’est focalisée sur une sélection d’engagements concrets de l’armée en Suisse et à l’étranger.

« L’AS-Rens a constaté que le pilotage des senseurs était conforme au droit, adéquat et efficace. »

L’AS-Rens a constaté dans ce cadre que le pilotage et le choix des senseurs par le RM étaient conformes au droit, adéquats et efficaces s’agissant des services d’appui en Suisse (concrètement lors du Forum économique mondial 2022 et de la Ukraine Recovery Conference 2022 ). Outre les activités d’inspection habituelles telles que la consultation de documents, le constat posé est le fruit d’autres indicateurs tels qu’une inspection dans la salle des opérations du RM et d’entretiens menés au sein de l’entité soumise à la surveillance. Le bilan positif de l’engagement du RM, qui a été tiré par toutes les parties prenantes aux conférences précitées, a aussi été pris en compte par l’AS-Rens dans son appréciation.

Les activités d’inspection effectuées par l’AS-Rens ont par ailleurs démontré que le RM recherchait et évaluait des informations importantes sur l’étranger pour le compte de l’armée. Dans ce cas, le pilotage et le choix des senseurs par le RM étaient conformes au droit, adéquats et efficaces. En revanche, le RM ne participe pas directement à des missions de promotion de la paix ni à des services d’appui à l’étranger. L’AS-Rens n’a ainsi pas pu examiner dans ces cas-là le pilotage et le choix des senseurs par le RM l’inspection étant dénuée d’objet à ce sujet.

Dans le domaine « Ressources », l’AS-Rens examine si les services utilisent les ressources de manière adéquate et garantissent ainsi une activité de renseignement efficace.

Dans le domaine « Ressources », l’AS-Rens a mené en 2022 les inspections suivantes :

• 22-13 Flux financiers dissimulés (SRC)
• 22-14 Processus de recrutement, d’encadrement et de départ (SRC)

[22-13] Flux financiers dissimulés (SRC)

Le SRC mène ses activités de recherche en grande partie de manière secrète. Un tel mode de faire est nécessaire, car sinon la recherche d’informations par les États concernés et d’autres acteurs pourrait s’en trouver entravée. Cela permet également de protéger le personnel, les locaux et les sources d’information du SRC. Les informateurs sont de possibles sources d’information. Il s’agit de personnes qui ont un accès exclusif à des informations et sont disposées à les communiquer au SRC. Les informateurs exigent souvent de l’argent pour leurs informations. Le SRC peut indemniser de manière appropriée les informateurs pour leurs activités⁶. La rémunération de sources humaines par le SRC – et donc la preuve de leur travail pour le SRC – peut, si elle est rendue publique, représenter un risque important, tant dans le pays d’origine de la source que dans son entourage personnel. Un soupçon de revenus provenant de liens et d’activités ressortissant au renseignement peut être dommageable pour une source humaine sur le plan professionnel, détruire sa réputation et, selon le pays et le contexte, la mettre en danger de mort. C’est pourquoi le SRC doit disposer de moyens de transfert d’argent qui ne permettent pas de l’identifier comme expéditeur initial, pour des raisons d’autoprotection et de protection de ses sources.

« Des paiements effectués sans précaution peuvent permettre à des tiers de tirer des conclusions indésirables sur des collaborateurs et des installations du SRC ainsi que sur des sources, et ainsi les mettre en danger. »

Depuis 2018, l’AS-Rens mène chaque année une inspection de l’unité organisationnelle HUMINT en vérifiant à l’aide d’échantillonnages la gestion proprement dite des sources humaines quant à sa légalité, à son adéquation et à son efficacité. Elle vérifie également si le montant versé aux informateurs correspond aux prestations fournies. En revanche, la présente inspection s’est exclusivement penchée sur le cheminement de l’argent et a examiné les flux financiers dissimulés pour tout le SRC.

Des paiements effectués sans précaution peuvent enfin permettre à des tiers de tirer des conclusions indésirables sur des collaborateurs et les locaux du SRC et sur les sources, les mettant ainsi en danger. La survenue de ces risques aurait non seulement des conséquences opérationnelles – comme celles d’entraver, voire d’empêcher, la recherche d’informations – mais aussi des effets inévitables sur la réputation et la crédibilité du SRC.

Afin d’examiner la légalité, l’adéquation et l’efficacité des méthodes utilisées par le SRC pour le traitement des flux financiers dissimulés, l’AS-Rens a vérifié le financement de deux locaux, six infrastructures financières servant à indemniser les sources humaines, ainsi qu’une gestion commune de sources et une opération commune du SRC avec des services partenaires étrangers.

Les activités d’inspection ont été achevées à la fin de l’année 2022 et le rapport d’inspection est en cours de finalisation au moment de la clôture de la rédaction de ce rapport d’activité. Sans préjuger des résultats du rapport d’inspection définitif et malgré ces recommandations ponctuelles, l’AS-Rens constate que le SRC dispose de méthodes qui sont conformes au droit, adéquates et efficaces pour faire parvenir à un destinataire de l’argent de manière dissimulée. Néanmoins, l’AS-Rens a l’intention d’émettre une recommandation concernant l’exhaustivité des rapports adressés au DDPS⁷.

⁶ Art. 15, al. 2, LRens
⁷ Selon l’art. 19 ORens

[22-14] Processus de recrutement, d’encadrement et de départ (SRC)

Les services de renseignement peuvent être confrontés à des risques importants pour leur sécurité, tels que la trahison, le vol de données ou l’espionnage, de la part de leur propre personnel. C’est la raison pour laquelle l’AS-Rens a effectué l’inspection 22-14 auprès du SRC en posant les mêmes questions que celles posées au RM et COE en 2019⁸.

En 2019, l’AS-Rens avait constaté que des pratiques de classification différentes avaient été établies pour les trois services SRC, RM et COE en ce qui concerne le contrôle de sécurité relatif aux personnes (CSP). Conformément aux prescriptions légales, il y a trois degrés différents de CSP : un contrôle de sécurité de base, nécessaire lorsque des collaboratrices et des collaborateurs ont accès à des informations classifiées CONFIDENTIEL, un contrôle de sécurité élargi, lorsque la personne concernée a accès à des informations classifiées SECRET, et un CSP élargi avec audition pour les personnes ayant régulièrement accès à des informations secrètes sur la sécurité intérieure et extérieure⁹.

Lors de leur prise de fonction, toutes les collaboratrices et tous les collaborateurs des trois services doivent faire l’objet d’un tel contrôle, qui est répété à intervalles réguliers. Aux yeux de l’AS-Rens, les différents degrés de contrôle n’étaient pas compréhensibles d’un point de vue factuel et logique. Elle a dès lors recommandé à la cheffe du DDPS de faire examiner les pratiques de classification des trois services et si possible de les uniformiser. La nouvelle loi sur la sécurité de l’information et ses dispositions d’application ne prévoient plus que deux niveaux différents de contrôle de sécurité relatifs aux personnes, au lieu de trois auparavant. Il n’est pour l’heure pas encore possible d’évaluer dans quelle mesure la pratique de classification sera uniformisée après l’entrée en vigueur des nouvelles dispositions légales.

Par rapport aux deux inspections mentionnées, l’AS-Rens s’est davantage concentrée, lors de l’inspection 22-14, sur le recrutement et l’encadrement du personnel du SRC. Les mauvais résultats du dernier sondage du personnel au sein de l’administration fédérale et la fluctuation élevée, combinés à des changements fréquents à la tête du service, justifiaient cette approche. Les questions de l’inspection relatives à la désactivation des accès aux bâtiments et aux systèmes d’information après le départ des collaborateurs et au processus de répétition périodique des CSP ont fait l’objet d’une attention moindre, car l’AS-Rens vérifie déjà les processus d’accès dans ses inspections régulières des systèmes d’information. Le SRC a de plus la pratique la plus stricte des trois services pour ce qui est des degrés des contrôles de sécurité relatifs aux personnes et a établi des processus documentés les concernant.

L’AS-Rens souhaitait effectuer un échantillonnage représentatif sous la forme d’entretiens avec le personnel. Pour ce faire, elle a réalisé une prestation logistiquement exigeante en menant plus de trente entretiens tout en tenant compte du sexe, de l’âge, de l’appartenance linguistique, de la représentation des groupes de travail constitués par le SRC et des échelons hiérarchiques des collaborateurs sondés. Plusieurs collaboratrices et collaborateurs du SRC se sont mis à disposition spontanément pour un entretien, d’autres ont souhaité pouvoir faire des déclarations additionnelles en lien avec les entretiens ayant déjà eu lieu. L’AS-Rens n’a pas communiqué à la direction du SRC tous les noms des personnes ayant été interrogées, ce qui leur a permis de s’exprimer librement. Au cours de l’inspection, l’AS-Rens a analysé plus de 350 pages d’entretiens qu’elle a menés et a effectué des contrôles aléatoires dans les dossiers du personnel.

Tenir compte du projet de transformation lancé par le directeur du SRC, qui vise à réorganiser le service, a constitué un autre défi. L’AS-Rens va prendre en considération ces circonstances dans son appréciation. Il n’est pas possible de communiquer de manière définitive les résultats de cette inspection dans le présent rapport d’activités. L’AS-Rens prévoit de terminer l’inspection avec son rapport définitif au début du deuxième trimestre 2023.

⁸ Cf. le rapport d’activités 2019 de l’AS-Rens, p. 21 ss.
⁹ Art. 10 à 12 de l’ordonnance du 4 mars 2011 sur les contrôles de sécurité relatifs aux personnes (OCSP ; RS 120.4)

Dans le domaine « Traitement des données / archivage », l’AS-Rens vérifie en particulier la légalité du traitement des informations, étant donné que la sensibilité des informations traitées par les services est élevée et que les prescriptions légales en la matière sont aussi vastes que complexes.

L’AS-Rens a mené en 2022 les inspections ci-après dans ce domaine :

• 21-16 Services de télécommunication (SRC)
• 22-15 Open Source Intelligence (OSINT) (SRC)
• 22-16 Connexions du SRC et du COE avec des opérateurs de télécommunications suisses (SRC)
• 22-17 Follow-up 20-19 : les archives du SRC (SRC)
• 22-18 Recherche d’informations par l’unité Cyber du SRC (SRC)

Les activités d’inspection pour l’inspection « 22-15 Open Source Intelligence (OSINT) » n’ont commencé qu’au quatrième trimestre 2022. Les activités de l’inspection « 21-16 Services de télécommunication » se sont terminées en 2022. Cependant, le rapport ad hoc n’était pas encore disponible lors de la clôture de la rédaction du rapport d’activités 2022. Pour ce qui est de l’inspection « 22-17 Follow-up 20-19 : les archives du SRC », l’AS-Rens va examiner les mesures du SRC à la suite de l’inspection « 20-19 Les archives du SRC avec focus sur les archives secrètes ». Les premières activités d’inspection ont déjà eu lieu.

[21-16] Services de télécommunication (SRC)

De plus en plus de personnes utilisent des services de communication comme WhatsApp ou Telegram pour échanger des informations avec leurs amis et connaissances. Le contenu de la communication est sécurisé par les fournisseurs à l’aide d’un chiffrement de bout en bout. Le SRC traite des requêtes s’accès à des informations concernant de telles applications de chiffrement de bout en bout exploitées par des fournisseurs suisses de télécommunications. Ces requêtes ne se concentrent toutefois pas sur le contenu de la communication, mais uniquement sur les données secondaires¹⁰ pouvant conduire à l’identification des interlocuteurs et interlocutrices.

Par le passé, le SRC a constaté une hausse de telles demandes. C’est la raison pour laquelle il a centralisé le traitement des demandes au sein du SRC. L’inspection avait pour objectif de contrôler si le processus de traitement avait été amélioré par la centralisation.

« Une question d’inspection était : Veille-t-on lors de l’implication de fournisseurs de télécommunications à ce qu’aucune information soumise à autorisation ne soit collectée ? »

L’AS-Rens a examiné les questions suivantes :

• Existe-t-il des bases légales valables pour l’implication directe de fournisseurs de télécommunications par le SRC et l’utilisation des informations ainsi obtenues ?
• Veille-t-on lors de l’implication de fournisseurs de télécommunications à ce qu’aucune information soumise à autorisation ne soit collectée ?
• Est-il garanti que le SRC ne reçoit et ne traite que des informations liées à sa mission ?
• Le processus pour le traitement des telles demandes est-il adéquat ?

Outre des entretiens, les activités d’inspection se sont concentrées sur un nombre significatif d’échantillonnages de demandes traitées entre 2020 et 2022. Les activités d’inspection venaient d’être terminées au moment de la rédaction du présent rapport d’activités. Les résultats de l’inspection ne peuvent pas encore faire l’objet d’un rapport définitif dans le présent rapport d’activité. L’AS-Rens prévoit d’achever l’inspection au début du deuxième trimestre 2023 avec un rapport définitif. Ainsi, les réponses aux questions posées seront bientôt publiées sur Internet sous forme de résumé, comme d’habitude.

¹⁰ Les données secondaires contiennent des informations sur l’utilisation des infrastructures électroniques. Elles documentent par exemple quelle ligne téléphonique, quel expéditeur de courriel ou quelle adresse IP a communiqué quand, combien de temps et avec qui.

[22-18] Recherche d’informations par l’unité Cyber du SRC (SRC)

De 2015 à 2020, le SRC a aussi recueilli des informations soumises au secret des télécommunications, dans le cadre du traitement d’éventuelles cyberattaques. Conformément à la LRens, ces mesures de recherche sont soumises à autorisation et ne peuvent être mises en œuvre qu’avec l’autorisation du Tribunal administratif fédéral. Le SRC avait omis d’obtenir cette autorisation. En outre, il a enregistré, également sans autorisation du tribunal, le trafic réseau de serveurs utilisés par des cyberattaquants.

En mai 2021, l’AS-Rens a été informée par l’ancien directeur du SRC d’éventuelles irrégularités et du lancement d’une enquête interne sur les processus au sein de l’unité organisationnelle Cyber du SRC. En plus de l’enquête interne, le SRC a également commandé une évaluation externe sous la forme d’un avis de droit. Dans deux lettres anonymes, l’AS-Rens a reçu de plus amples informations sur les faits.

L’AS-Rens a étroitement accompagné l’enquête interne du SRC. L’AS-Rens a insisté pour que des rapports et des documents lui soient fournis en cas de non-respect des délais convenus avec le SRC. Durant cette phase, rien n’indiquait que les collectes litigieuses de données au sein du secteur Cyber du SRC s’étaient poursuivies pendant l’enquête et en violation de l’arrêt des collectes ordonné par le directeur suppléant du SRC. Le mandat d’enquête interne au SRC contenait les bonnes questions. Le rapport final a été rédigé de manière tout à fait critique et a formulé des recommandations, comme par exemple la formation du personnel du domaine Cyber sur les bases juridiques de l’exécution des tâches ou la réévaluation de l’implantation organisationnelle du domaine Cyber. Cette dernière a eu pour conséquence que le ressort Cyber a entre-temps été rattaché au domaine de l’évaluation.

Dans le même contexte, le DDPS a ouvert en janvier 2022 une enquête administrative qui aurait dû clarifier les questions en suspens soulevées par l’enquête interne. Il s’agissait également d’examiner d’éventuelles mesures supplémentaires, comme le dépôt d’une plainte pénale.

« L’analyse des rapports finaux de l’enquête interne du SRC et de l’enquête administrative a permis à l’AS-Rens de conclure qu’il n’était pas encore possible de répondre à toutes les questions importantes. »

L’analyse des rapports finaux de l’enquête interne du SRC et de l’enquête administrative a permis à l’AS-Rens de conclure qu’il n’avait pas encore été possible de répondre à toutes les questions importantes. Celles-ci concernaient en particulier certains aspects, comme les flux financiers dissimulés, l’utilisation de matériel informatique développé et mis à disposition par le SRC pour la recherche de données, ainsi qu’une éventuelle transmission de données à un organisme externe.

D’autres informations internes provenant du SRC ont par ailleurs été portées à la connaissance de l’AS-Rens. C’est pourquoi elle a mené ses propres activités d’inspection, notamment des entretiens avec les membres du personnel et les cadres concernés. L’AS-Rens a intégré la documentation établie dans l’inspection 22-18. Cette inspection doit permettre de répondre aux questions suivantes :

• Tous les faits pertinents pour l’évaluation des processus au sein de Cyber SRC ont-ils été entièrement saisis ?
• Comment le SRC veille-t-il à ce que la légalité soit garantie à l’avenir dans l’analyse du trafic de données des fournisseurs ?
• Les mesures organisationnelles prises par le SRC et les contrôles ad hoc mis en place sont-ils adéquats et efficaces pour éviter que de tels incidents se produisent à l’avenir ?

Les activités d’inspection n’étant pas terminées au moment de la rédaction du présent rapport d’activités, l’AS-Rens ne peut pas encore se prononcer sur d’éventuelles observations et sur une éventuelle nécessité d’agir. En décembre 2022, l’AS-Rens a toutefois déjà informé le directeur du SRC et la cheffe du DDPS d’un constat intermédiaire concernant l’absence de mise en œuvre d’une mesure urgente formulée par le SRC, dans le rapport d’audit interne lui-même et pour laquelle une action s’imposait avant même la fin de l’inspection.