Activités de surveillance

Dans le domaine « Stratégie et planification », l’AS-Rens examine des thèmes qui touchent à la planification stratégique à court, moyen et long terme des autorités du renseignement suisses et à leurs objectifs. Durant l’année sous revue, l’AS-Rens s’est attelée à l’inspection ci-après.

[22-1] Détection précoce et d’anticipation

«Les évolutions sociales et techniques ainsi que les menaces hybrides actuelles de dimension mondiale rendent nécessaire l’identification de ces menaces par le SRC et sa capacité à y réagir rapidement et efficacement.»

Cet examen s’est concentré sur la question de savoir comment le SRC peut remplir son mandat légal primaire de détection précoce et d’anticipation. La recherche et le traitement des informations du SRC servent à identifier et à prévenir à temps les menaces contre la sécurité intérieure et extérieure. Pour ce faire, il doit disposer de capacités lui permettant d’identifier et d’évaluer à temps une situation et ses menaces. Les impondérables concernant l’évolution future des menaces ont fortement augmenté en raison de la complexité croissante du système géopolitique international. Les évolutions sociales et techniques ainsi que les menaces hybrides actuelles de dimension mondiale rendent nécessaire l’identification de ces menaces par le SRC et sa capacité à y réagir rapidement et efficacement. L’anticipation précoce des menaces pertinentes et des développements et opportunités stratégiques revêt donc une importance capitale. Le SRC joue à cet égard un rôle important pour ses clients dans la détection précoce des menaces et des crises.

L’AS-Rens a constaté que la détection précoce et l’anticipation sont un objectif stratégique du DDPS, que le SRC poursuit depuis longtemps déjà et qu’il a pris des mesures opérationnelles correspondantes, dont certaines sont déjà bien avancées et d’autres doivent encore être intensifiées. Pour l’AS-Rens, le thème est donc largement soutenu au niveau stratégique avec l’importance nécessaire. Si l’on se réfère à l’inscription de la détection précoce et de l’anticipation dans les stratégies respectives du DDPS et du SRC ainsi qu’aux déclarations des collaborateurs concernés, tous les participants s’accordent sur l’importance considérable de ce thème.

Mais elle a également constaté que les réflexions (théoriques) du SRC ne se répercutent que très lentement dans les domaines d’évaluation du service. Le lien entre les instruments à disposition et les produits ne fonctionnait pas encore de manière optimale. Le SRC ne parvient donc pas encore à transférer suffisamment et de manière profitable les efforts conceptuels dans les produits. L’AS-Rens recommande donc au SRC de poursuivre systématiquement les différentes mesures de mise en œuvre dans la détection précoce et l’anticipation de la stratégie 2020-2025 du SRC et de vérifier au moins une fois par an l’état de la mise en œuvre.

L’AS-Rens part du principe que le SRC utilise sa transformation actuelle comme base pour devenir un futur service agile, innovant et capable de s’adapter. Il convient de noter que ce travail ne s’achève pas avec une réorganisation. Maintenir le service à jour en ce qui concerne la structure, les nouvelles méthodes de travail et les nouvelles technologies, afin de pouvoir réagir en temps utile et de manière adéquate à l’évolution des menaces, est une tâche de gestion permanente, en particulier pour la direction du SRC.

Dans le domaine « Organisation », l’AS-Rens examine la structure des services de renseignement et leurs processus de travail, en se posant notamment la question de savoir si ceux-ci permettent aux autorités concernées de remplir leur mandat légal dans le respect du droit, de manière efficace et adéquate. En 2023, l’AS-Rens a mené les inspections ci-après dans ce domaine.

[23-2] Les prestations juridiques du SRC

Le respect de la loi revêt une grande importance dans les activités du renseignement. Si le SRC ne se conformait pas à la loi, c’est-à-dire s’il ne s’en tenait pas à sa mission légale, il nuirait à sa réputation et il minerait la confiance du public. Il peut en résulter des violations des droits de la personnalité conformément aux directives sur la protection des données, du droit à la vie privée ou des secrets d’affaires. En contrepartie, si le SRC, faute de certitude, n’exploitait pas pleinement ses possibilités légales, il ne remplirait pas sa mission, et il en résulterait aussi un risque marqué pour la sécurité de la Suisse.

Sur cette base, l’AS-Rens a donc examiné les tâches, les compétences et les responsabilités des fournisseurs de prestations juridiques au SRC du point de vue de l’adéquation et de l’efficacité. Dans le cadre de cette inspection, il faut entendre par prestations juridiques des activités du SRC pouvant par exemple englober la réponse à une question concrète, les clarifications générales en lien avec le contexte juridique, des projets de loi et des décisions de justice, l’exercice de droits litigieux ou non ainsi que la participation à des projets et à la conclusion de contrats. L’AS-Rens n’a en revanche pas examiné le contenu des prestations juridiques fournies du point de vue de leur qualité (légalité).

L’AS-Rens a mené huit entretiens, en particulier avec des cadres. Elle a également interrogé 30 collaborateurs/collaboratrices à l’aide d’un questionnaire, pour connaître leur appréciation sur les prestations fournies. Elle a aussi pris connaissance dans le système de gestion des affaires du SRC de différents documents se rapportant aux tâches et responsabilités, et des prestations juridiques fournies, qu’elle a ensuite analysés et appréciés.

Cette inspection, lancée en 2023, n’était pas terminée à la clôture de la rédaction du présent rapport d’activités, raison pour laquelle ses résultats ne sont pas commentés ici. L’AS-Rens prévoit de publier le résumé de cette inspection sur son site web en 2024.

[23-4] IT Service continuity management (ITSCM) et Disaster Recovery-IT au SRC

Lors de la présente inspection, l’AS-Rens a examiné si le SRC disposait de processus efficaces et appropriés pour pouvoir garantir le maintien de l’exploitation informatique et donc de son activité principale, en cas de scénario de crise ou de catastrophe, et pour pouvoir restaurer ses données.

Les événements majeurs imprévus tels que les incendies, les inondations ou les activités criminelles constituent une menace pour toute organisation. De tels événements sont de nature à potentiellement causer des dommages, notamment à l’infrastructure des technologies de l’information, qui peuvent être bien plus graves qu’une simple panne. Il appartient dès lors aux organisations d’assurer une continuité de leur activité (Business continuity management [BCM]). Le BCM se concentre ainsi sur un événement et s’emploie à réduire l’impact d’un risque sur les prestations et processus opérationnels essentiels.

Une informatique fiable et hautement disponible est essentielle à la survie d’une entreprise, étant donné la grande dépendance de son activité principale envers les technologies de l’information. L’IT Service continuity management (ITSCM), qui découle du BCM, a pour objectif de pouvoir fournir les prestations informatiques critiques identifiées par l’entreprise conformément aux exigences, même en cas d’événement majeur. Pour ce faire, des mesures préventives (renforcement de la résilience) et des mesures préparées en cas de survenue d’un événement (renforcement de la réaction) sont évaluées et mises en œuvre. L’ITSCM doit garantir que les services et l’infrastructure des technologies de l’information et de la communication (TIC) sont disponibles suite à une défaillance ou qu’ils puissent être rétablis dans un délai convenu. Le Disaster Recovery-IT vise quant à lui à remettre les services et l’infrastructure TIC en état suite à une défaillance.

«La numérisation continuant ses progrès et le traitement des données étant au cœur de l’activité du SRC, celui-ci est d’autant plus dépendant d’une exploitation continue et fiable de ses infrastructures informatiques, et ce dans un monde où la pénurie d’électricité menace, où les cyber-attaques se multiplient et où la guerre n’est plus étrangère au continent européen.»

Le thème de l’ITSCM répond ainsi à des risques très actuels et concrets. La numérisation continuant ses progrès et le traitement des données étant au cœur de l’activité du SRC, celui-ci est d’autant plus dépendant d’une exploitation continue et fiable de ses infrastructures informatiques, et ce dans un monde où la pénurie d’électricité menace, où les cyber-attaques se multiplient et où la guerre n’est plus étrangère au continent européen. De même, des pertes de données seraient de nature à menacer sa capacité à exécuter sa mission.

La partie BCM avait déjà fait l’objet d’un rapport de l’organe de révision interne du DDPS (rapport I 2022-01 du 15 août 2022). Une des recommandations de ce rapport invitait les unités administratives du DDPS à mettre à jour leur documentation relative au BCM. Le SRC travaille pour appliquer cette recommandation. De plus, la direction du SRC a décidé de n’approuver et de mettre en œuvre un nouveau BCM qu’au terme de sa transformation actuellement en cours. L’AS-Rens a donc fait preuve de retenue quant à ce qui avait trait au BCM.

S’agissant de l’ITSCM, l’AS-Rens a constaté l’absence de documentation. Cette absence de documentation relève d’un défaut de gouvernance TIC au sein du SRC. En effet, les mesures existent, mais ont été prises au niveau technique uniquement. L’unité TIC a ainsi adopté de nombreuses mesures pour garantir une continuité de l’activé en cas d’évènement majeur. Ces mesures sont efficaces et adéquates. Elles permettent de limiter les risques de manière conséquente. En particulier, la redondance de l’infrastructure TIC de même que la stratégie de sauvegarde des données sont adéquates et efficaces. Cela étant, il n’existe aucune stratégie de test, de sorte que si les services TIC bénéficient d’une grande stabilité, il n’est pas certain qu’il en soit de même en cas d’événement majeur. De même, l’absence de tests variés et réguliers ne permet pas de mettre à jour l’ITSCM. Des recommandations ont été prononcées en lien avec la documentation de l’ITSCM et l’organisation de tests.

Dans le domaine « Collaboration », l’AS-Rens examine la collaboration des services avec des autorités nationales et internationales. Dans ce contexte, l’AS-Rens contrôle chaque année la collaboration avec un certain nombre d’organes d’exécution cantonaux (SRCant). En 2023, l’AS-Rens a mené des activités dans les inspections ci-après. La réunion de lancement des audits « 23-6 KND NW » et « 23-7 KND OW » a encore eu lieu en 2023 et les autres actes d’inspection ont été menées en 2024. L’AS-Rens publiera les résumés des inspections sur son site web dès qu’ils seront terminés.

En 2023, l’AS-Rens a réalisé des actes dans les audits suivants :

[23-5] Service de renseignement cantonal Lucerne

L’AS-Rens a examiné la collaboration entre le SRC et le SRCant Lucerne sous l’angle de la légalité, de l’adéquation et de l’efficacité. Elle a abouti à la conclusion que le SRC et le SRCant Lucerne collaboraient étroitement et de bien à très bien dans beaucoup de domaines thématiques. Le SRCant Lucerne exécute les mandats du SRC dans les délais impartis et le contenu est conforme aux attentes. Sur la base de ses activités d’inspection l’AS-Rens a constaté que le SRCant Lucerne disposait d’un très bon réseau, de bonnes connaissances du domaine du renseignement et que les conditions et la motivation pour l’exécution des tâches de renseignement étaient pleinement réunies.

L’AS-Rens a en particulier examiné si l’enregistrement des données personnelles répondait aux exigences légales, en lien avec les tâches, le respect des restrictions de traitement des données ainsi que l’exactitude et la pertinence des informations. Elle n’a constaté aucune anomalie grave à ce sujet, mais a néanmoins suggéré de procéder à un examen systématique dans tous les systèmes d’information.

[23-8] SRCant Uri

L’AS-Rens a examiné la collaboration entre le SRC et le SRCant UR sous l’angle de la légalité, de l’adéquation et de l’efficacité. Elle a abouti à la conclusion que le SRC et le SRCant Uri collaboraient étroitement et bien dans beaucoup de domaines thématiques. Le SRCant Uri exécute les mandats du SRC dans les délais impartis et le contenu est conforme aux attentes. L’AS-Rens a eu l’impression que le SRCant Uri disposait de bonnes connaissances du domaine du renseignement et des qualités inhérentes, et que les conditions et la motivation pour l’exécution des tâches étaient présentes.

En outre, l’AS-Rens a examiné si les données enregistrées et les données relatives aux personnes correspondaient aux exigences légales, en lien avec le mandat et en matière de respect des restrictions de traitement des données ainsi que de l’exactitude et de la pertinence des informations. Aucune anomalie n’a été constatée à ce sujet.

[23-9] Traitement des mandats de capteurs techniques au Centre des opérations électroniques (COE ; dès le 01.01.2024 : « service Actions dans le cyberespace et dans l’espace électromagnétique (ACEM) »)

«Dans l’ensemble, l’AS-Rens n’a pas trouvé d’indices selon lesquels le Service ACEM violerait les bases légales lors de l’utilisation des capteurs techniques pour le traitement des mandats des services ou qu’il ne les utiliserait pas de manière efficace et appropriée.»

Les capteurs techniques sont une source importante d’informations pour les services de renseignement. Comme la technique sous-jacente à cette acquisition évolue constamment et que l’efficacité de cette activité de renseignement peut potentiellement s’améliorer avec le développement technique, les services d’exécution sont contraints de réfléchir en permanence à l’évolution de leurs possibilités d’acquisition d’informations pertinentes pour les services de renseignement. Un risque pourrait survenir que le cadre juridique ne soit pas pris en compte dans ces réflexions.

L’Autorité de surveillance indépendante des activités de renseignement (AS-Rens) a donc examiné le traitement des mandats au sein du Service ACEM au profit des services de renseignement de la confédération dans le domaine des capteurs techniques. Elle a constaté qu’un mandat détaillé et écrit de la part des services était toujours nécessaire. La saisie de ces mandats dans un système central de gestion administrative des mandats permet de garantir à tout moment la traçabilité, le respect des délais légaux et l’attribution des résultats aux mandats.

En ce qui concerne les activités opérationnelles, le Service ACEM cherche des moyens d’utiliser des outils intelligents afin, d’une part, de décharger les ressources humaines limitées des activités de routine et, d’autre part, de mieux utiliser les données obtenues par la reconnaissance radio et radar, notamment en ce qui concerne les futures cybermenaces.

En ce qui concerne le respect des bases légales dans les activités opérationnelles, l’AS-Rens a pu constater que les collaborateurs du Service ACEM sont régulièrement sensibilisés à la pertinence des bases légales pour leurs activités quotidiennes, mais qu’il existe également des mesures organisationnelles, comme par exemple des peer reviews internes des résultats ou des directives par les responsables du Service ACEM.

Dans l’ensemble, l’AS-Rens n’a pas trouvé d’indices selon lesquels le Service ACEM violerait les bases légales lors de l’utilisation des capteurs techniques pour le traitement des mandats des services ou qu’il ne les utiliserait pas de manière efficace et appropriée.

[23-10] La collaboration du SRC avec des particuliers

Le SRC mène une partie de ses activités de recherche sous couverture, évitant que les États concernés ou d’autres acteurs n’identifient et n’empêchent ses recherches d’informations. Ainsi, tant le personnel que les infrastructures et les sources d’information du SRC sont protégés.

Pour dissimuler l’appartenance d’une personne au SRC ou son activité pour le compte de ce dernier, il faut créer et maintenir des couvertures efficaces. Pour ce faire, le SRC a notamment besoin de l’aide de particuliers. Dans le cadre de cette inspection, le terme de « particulier » a été utilisé pour désigner tout ce qui n’est pas considéré comme un service officiel suisse ou étranger.

Selon la LRens, le SRC peut collaborer avec des particuliers, des entreprises ou des organisations. Ceux-ci peuvent fournir des prestations au SRC servant à l’accomplissement de ses tâches conformément à la LRens et le soutenir dans sa recherche d’informations. Le SRC peut par ailleurs confier des mandats de recherche à des particuliers, lorsque c’est nécessaire pour des raisons techniques ou d’accès au renseignement. Des questions se posent à cet égard quant à la légitimité du mandat et de l’organisation. Les éléments à considérer sont par exemple le contournement de mesures de recherche soumises à autorisation, le comportement illégal des particuliers, des paiements sans contre-prestations ou la collaboration avec des personnes à la réputation douteuse. Il est important de garder une vue d’ensemble des particuliers engagés en lien avec leur recrutement, les contrôles de sécurité, l’indemnisation, la documentation de suivi, etc.

Des activités menées sans précaution – notamment par des particuliers – peuvent permettre à des tiers de tirer des conclusions indésirables sur des personnes ou des infrastructures du SRC ou sur ses sources et ainsi les mettre en péril. Les particuliers engagés par le SRC peuvent aussi, consciemment ou non, se comporter de manière illégale en fournissant des prestations au SRC. Outre des effets opérationnels – par exemple entrave, voire même empêchement, à la recherche d’informations – l’exposition à ces risques aurait immanquablement des conséquences aussi sur la réputation et la crédibilité du SRC.

L’AS-Rens a dès lors examiné si la collaboration du SRC avec des particuliers et le fait de leur confier des mandats sont conformes au droit. Elle a également vérifié que les mandats confiés à des particuliers par le SRC fassent l’objet d’une analyse systématique du rapport bénéfice/risques. Enfin, elle a veillé à ce que la collaboration avec des particuliers et leur engagement soient organisés et coordonnés de manière efficace et adéquate tout en veillant à les documenter de manière compréhensible et probante.

Cette inspection, lancée en septembre 2023 n’était pas terminée à la clôture de la rédaction du présent rapport d’activités. C’est la raison pour laquelle ses résultats ne sont pas commentés ici. L’AS-Rens prévoit de publier le résumé de cette inspection sur son site web dans le courant de l’année 2024.

La recherche d’informations est une tâche-clé des services de renseignement, qui peuvent déployer divers moyens à cet effet. L’AS-Rens accorde une attention particulière aux moyens qui portent le plus atteinte à la vie privée des personnes concernées. En 2023, l’AS-Rens s’est attelée aux inspections ci-après.

[22-10] Mesures de recherche non soumises à autorisation

Le SRC peut recourir de manière autonome et sans autorisation externe particulière à des mesures de recherche non soumises à autorisation pour collecter des informations, car l’intensité de l’atteinte aux droits fondamentaux occasionnée par ces mesures est relativement faible. Si ces mesures de recherche ne suffisent pas à obtenir des informations élémentaires pour le maintien de la sécurité de la Suisse, le SRC peut porter atteinte plus gravement aux droits fondamentaux des personnes concernées au moyen de mesures de recherche soumises à autorisation. Plus l’atteinte aux droits fondamentaux est grave, plus le besoin de contrôle est élevé. C’est pourquoi les mesures de recherche soumises à autorisation doivent être approuvées par le Tribunal administratif fédéral (TAF) et validées par le chef ou la cheffe du DDPS, après consultation préalable de la Délégation du Conseil fédéral pour la sécurité, avant que le SRC ne puisse les exécuter. Il n’existe toutefois pas de contrôle externe pour les mesures de recherche non soumises à autorisation. Un risque subsiste en conséquence que de telles mesures de recherche – lorsqu’elles portent par exemple sur des activités et des installations qui relèvent de la sphère privée protégée – soient mises en œuvre de manière illicite.

L’AS-Rens a donc examiné si le SRC recourt aux mesures de recherche non soumises à autorisation conformément à la loi. Elle a constaté que le SRC dispose en principe des moyens opérationnels praticables ainsi que des capacités correspondantes pour mettre en œuvre toutes les mesures de recherche non soumises à autorisation selon les art. 14 et 16 LRens de manière adaptée et proportionnée à la situation.

Elle a en outre constaté que le processus défini par le SRC pour engager une mesure de recherche non soumise à autorisation selon les art. 14 et 16 LRens créait les conditions nécessaires à l’exécution légale de ces mesures. En principe, les mesures de recherche sans autorisation sont mises en œuvre par le SRC conformément à la loi.

«Les informations collectées dans le cadre de toutes les mesures de recherche sont inutiles si elles ne peuvent pas être exploitées en temps utile et de manière systématique (de manière efficace et appropriée).»

Les informations collectées dans le cadre de toutes les mesures de recherche sont inutiles si elles ne peuvent pas être exploitées en temps utile et de manière systématique (de manière efficace et appropriée). Pour l’évaluation de vidéos par exemple, le SRC mise sur un soutien électronique en utilisant un logiciel d’analyse. Dans ce cas concret, l’AS-Rens conclut que l’utilisation d’un tel logiciel d’analyse pour soutenir l’activité d’évaluation est conforme au droit.

En ce qui concerne l’utilisation du système de recherches informatisées de police (RIPOL) et de la partie nationale du Système d’information Schengen (N-SIS), l’AS-Rens a examiné les processus de signalement ainsi que les autorisations d’accès et les consultations de données effectuées dans ces deux systèmes. L’AS-Rens a constaté que le processus de signalement dans le RIPOL et le N-SIS est en principe conforme à la loi. En revanche, l’AS-Rens a constaté que toutes les consultations du RIPOL et du N-SIS effectuées par le SRC n’étaient pas documentées de manière à permettre de voir si elles étaient justifiées par des raisons de service. L’AS-Rens recommande donc au SRC de soumettre les consultations RIPOL et N-SIS effectuées par ses collaborateurs à un contrôle régulier et de documenter les contrôles effectués.

Le SRC dispose de possibilités de recherche (par exemple des appareils techniques particuliers pour la surveillance des télécommunications, des appareils de localisation, des techniques de fermeture ou d’ouverture, etc.) qui, selon l’art. 26 LRens, nécessitent dans tous les cas une autorisation du TAF ainsi qu’un aval selon l’art. 30 LRens. Bien que de telles mesures nécessitent une autorisation et un aval, elles pourraient être utilisées par le SRC à l’insu et sans l’autorisation correspondante des autorités prévues par la LRens. Dans le cadre de ses opérations de contrôle, l’AS-Rens n’a pas trouvé d’indices montrant que le SRC utilise ses possibilités de recherche selon l’art. 26 LRens sans les autorisations et avals correspondants.

[23-11] Les opérations, les besoins de clarifications opérationnels et les mesures de recherche soumises à autorisation du SRC

Les opérations de renseignement (OP) et les enquêtes opérationnelles (OPAB) font partie des missions de base du SRC. Elles se caractérisent par leur complexité par rapport aux affaires courantes et la nécessité d’une conduite opérationnelle. Des mesures de recherche soumises à autorisation (MRSA) peuvent par ailleurs être requises au titre d’opérations de renseignement. La complexité des OP et des OPAB et les besoins de clarifications opérationnels induisent régulièrement des risques en termes d’efficacité et d’adéquation. Quant aux MRSA, elles entraînent toujours un risque juridique pour la protection de la vie privée, raison pour laquelle l’AS-Rens examine régulièrement les activités du SRC dans ce domaine.

Dans le cadre de son inspection annuelle récurrente, l’AS-Rens a analysé la légalité, l’adéquation et l’efficacité de cinq OP et de treize OPAB. Elle a vérifié par ailleurs que la mise en œuvre de douze mesures de recherche validées et autorisées correspondait aux décisions du TAF. Les activités d’inspection ont englobé l’étude de documents et des entretiens avec les spécialistes compétents.
Cette inspection a été lancée en 2023 et s’est achevée en février 2024 avec le rapport. L’AS-Rens a publié le résumé de cette inspection sur son site web au début de l’année 2024.

[23-12] Les informateurs (HUMINT) du SRC

Pour accomplir ses tâches, le SRC recherche des informations à partir de sources en libre accès et de sources non accessibles au public. Pour ce faire, il recourt à des mesures de recherche, soumises ou non à autorisation. La recherche d’informations par des informateurs est une mesure de recherche non soumise à autorisation. Les informateurs sont des personnes qui communiquent au SRC des informations ou des renseignements, qui fournissent des prestations au SRC servant à l’accomplissement des tâches définies par la LRens ou qui soutiennent le SRC dans sa recherche d’informations. Le renseignement d’origine humaine entraîne souvent des risques personnels élevés, que ce soit pour le personnel du SRC ou les sources elles-mêmes. Il en résulte une responsabilité et un engagement particuliers pour le SRC, qu’il doit prendre au sérieux et qui confèrent plus de poids à la surveillance exercée par l’AS-Rens.

«L’AS-Rens a examiné comment le SRC gère concrètement et développe son portefeuille de sources.»

L’AS-Rens a examiné comment le SRC gère concrètement et développe son portefeuille de sources. Elle a effectué des échantillonnages dans la gestion des sources humaines et en a vérifié la légalité, l’adéquation et l’efficacité. En raison de la protection des sources et des personnes, il est particulièrement nécessaire de maintenir le secret dans ce domaine. C’est la raison pour laquelle les inspections HUMINT de l’AS-Rens sont classifiées SECRET.

Cette inspection, lancée en août 2023, n’était pas terminée à la clôture de la rédaction du présent rapport d’activités. C’est la raison pour laquelle ses résultats ne sont pas commentés ici. L’AS-Rens prévoit de publier le résumé de cette inspection sur son site web dans le courant de l’année 2024.

Dans le domaine « Ressources », l’AS-Rens examine si les services utilisent les ressources de manière adéquate et garantissent ainsi une activité de renseignement efficace. L’inspection « 23-14 La mise en œuvre des recommandations de l’AS-Rens » a été supprimée. Dans le domaine « Ressources », l’AS-Rens s’est attelée en 2023 aux inspections ci-après.

[22-13] Financements légendés

L’AS-Rens a examiné si le SRC disposait de méthodes légales, adéquates et efficaces pour exécuter des flux financiers de manière à ce que le SRC ne soit pas identifié comme étant l’expéditeur. Elle a en outre vérifié si les moyens financiers ainsi transférés étaient utilisés exclusivement pour l’accomplissement des tâches visées à l’art. 6 LRens.

L’AS-Rens a constaté que le SRC disposait de différentes méthodes éprouvées et opérationnelles pour faire parvenir des fonds à des destinataires de manière à ce que le SRC n’apparaisse pas comme l’expéditeur.

Le SRC qualifie de supporters les personnes privées qui l’aident à transférer des fonds de manière dissimulée et les compte parmi les « informateurs ». La LRens qualifie les « informateurs » également les personnes qui soutiennent le SRC dans ses activités et qui lui fournissent des prestations servant à l’accomplissement de sa mission. L’AS-Rens partage cet avis et recommande donc au SRC de rapprocher la gestion des supporters de la gestion des « sources humaines au sens strict » et de la réglementer de manière contraignante. Une telle réglementation comprend notamment une analyse systématique et fondée des risques, de l’utilité, du potentiel et des coûts par supporter. En outre, les supporters doivent être mentionnés sommairement en tant que « sources humaines » dans le rapport annuel selon l’art. 19 de l’ordonnance du 16 août 2017 sur le service de renseignement (ordonnance sur le renseignement, RS 121.1).

Pour l’exécution de la LRens, le SRC peut collaborer avec des services de renseignement étrangers dans le cadre d’activités communes de collecte et d’analyse d’informations ainsi que d’évaluation de la menace. L’AS-Rens a constaté que le SRC a certes mené des réflexions sur la légalité, le risque (de réputation) encouru et le bénéfice attendu de deux activités communes concrètes avec des services partenaires étrangers, mais qu’il n’a pas suffisamment documenté ces réflexions. L’AS-Rens invite donc le SRC à accorder à l’avenir plus d’attention à une documentation minutieuse et détaillée de ces réflexions et des décisions prises en conséquence.

[22-14] Processus de recrutement, d’encadrement et de départ

Le SRC peut être confronté à des risques internes pour sa sécurité, tels que la trahison, le vol de données ou l’espionnage. Des membres du personnel mécontents sont susceptibles de démissionner, ce qui peut mener à des fluctuations délicates sur le plan des ressources humaines (RH). Un savoir-faire précieux peut se perdre et le recrutement rendu ainsi nécessaire mobilise des ressources.

L’AS-Rens estime que ces risques se sont accrus ces dernières années. L’augmentation flagrante des indices et informations relatifs au mécontentement dans les rangs du SRC, les changements à la tête du service, les résultats de la dernière enquête auprès du personnel et les importantes fluctuations au sein du SRC en général confortent cette analyse.

L’AS-Rens a mené de nombreux entretiens et échantillonné des dossiers personnels entre juillet et mi-novembre 2022. Ce contrôle a eu lieu alors que le SRC préparait puis réalisait une phase de transformation, pendant laquelle il a été décidé de réviser des documents et des processus importants dans les domaines du recrutement, de l’encadrement et du départ des membres du personnel. L’AS-Rens a tenu compte de cet état particulier du développement de l’organisation dans son rapport et a constaté, en définitive, que le SRC avait formulé des objectifs pertinents dans sa stratégie RH. Ceux-ci se sont également reflétés dans les objectifs de la transformation.

«L’AS-Rens a relevé quelques carences graves dans l’administration et l’encadrement des membres du SRC.»

L’AS-Rens a relevé quelques carences graves dans l’administration et l’encadrement des membres du SRC. Celles-ci doivent être éliminées de toute urgence. Elles concernent la documentation dans les dossiers personnels, le déroulement des entretiens et des évaluations, ainsi que la définition du déroulement des enquêtes relatives à des personnes en situations particulièrement délicates. L’AS-Rens émet différentes recommandations à cet égard. Les ressources des services d’appui du SRC, tels que les RH, doivent notamment être réévaluées pour que les tâches liées aux processus de recrutement, d’encadrement et de départ puissent être réalisées correctement. Cette réévaluation des ressources est essentielle pour que le SRC puisse tout bonnement mener à bien sa transformation.

Dans le domaine « Traitement des données et archivage », l’AS-Rens vérifie en particulier la légalité du traitement des informations, étant donné la sensibilité élevée des informations traitées ainsi que l’étendue et la complexité des prescriptions légales. En 2023, l’AS-Rens s’est attelée dans ce domaine aux inspections ci-après.

[21-16] Services de télécommunication

L’AS-Rens a examiné si les informations du SRC concernant les prestations d’opérateurs de télécommunications choisis étaient fournies de manière légale et adéquate.

Le SRC reçoit des demandes d’accès à des informations de fournisseurs de services de communication dérivés (FSCD), notamment à des données secondaires d’applications de chiffrement de bout en bout d’opérateurs suisses. Par le passé, il a constaté une augmentation de ce type de requêtes.

Comme les plateformes des FSCD faisant l’objet de l’examen sont exploitées en Suisse, elles sont soumises aux dispositions de la loi fédérale du 30 avril 1997 sur les télécommunications (LTC, RS 784.1). Se fondant sur la LRens¹, le SRC peut obtenir des données en vertu de la loi fédérale du 18 mars 2016 sur la surveillance de la correspondance par poste et télécommunication (LSCPT, RS 780.1). Pour que les tâches puissent être accomplies conformément à la LRens, le service Surveillance de la correspondance par poste et télécommunication (service SCPT), rattaché au Département fédéral de justice et police, transmet au SRC, sur demande, des renseignements relatifs aux données².

S’agissant des applications de chiffrement de bout en bout, la loi permet au SRC d’obtenir des informations non soumises à autorisation auprès du service SCPT et d’effectuer des surveillances soumises à autorisation.

Le contrôle a montré que le SRC n’a traité que des demandes liées à sa mission de base. L’AS-Rens a jugé approprié le processus de traitement centralisé des demandes. Les demandes examinées par l’AS-Rens n’étaient pas toujours entièrement documentées par le SRC. En outre, dans un cas s’inscrivant dans le cadre d’une recherche d’informations conforme à la loi, le SRC a traité, sans y être invité, des informations supplémentaires qui lui avaient été communiquées sans base légale. L’AS-Rens a formulé des recommandations concernant ces deux points.

¹ Art. 25 al. 2 LRens
² Art. 21 et 22 LSCPT

[22-15] Open Source Intelligence (OSINT)

Le renseignement en source ouverte ou open source intelligence (OSINT) est un domaine de la recherche d’informations qui évolue très rapidement. Étant donné le recoupement d’un nombre illimité de données en libre accès (Open Source Information, OSINF), les possibilités de récolter des informations sont quasi infinies pour les services de renseignement. L’analyse de ces OSINF, dans le but d’en retirer des informations utiles, est désignée comme OSINT. L’OSINT au sens de mesures de recherche non soumises à autorisation selon l’art. 13 LRens, qui permet au SRC de rechercher des informations pertinentes pour le renseignement dans une grande quantité de données. L’OSINT ne cesse d’évoluer, posant des questions à la fois juridiques et éthiques au sein de la communauté internationale du renseignement, comme par exemple sa délimitation par rapport aux informateurs ou Human Intelligence (HUMINT), notamment en ce qui concerne l’utilisation active d’identités virtuelles dans les relations avec les personnes ciblées ou l’acquisition de banques de données illicite proposée sur internet (leaks). C’est la raison pour laquelle l’AS-Rens a décidé d’examiner le risque lié à la gestion de l’OSINT au sein du SRC.

Selon l’art. 13 LRens, on entend notamment par sources d’informations publiques : les médias accessibles au public, les registres des autorités fédérales et cantonales qui sont accessibles au public, les données personnelles que les particuliers rendent accessibles au public et les déclarations faites en public. La délimitation entre OSINT et les mesures de recherche soumises à autorisation (MRSA) n’est pas toujours évidente, et fait également l’objet de discussions avec des services partenaires du SRC et des autorités de surveillance étrangères. S’il n’y a pas de compréhension commune de ces limites, il existe un risque de collecte illicite de données. Les entretiens menés avec le personnel du secteur OSINT du SRC ont montré que les personnes concernées sont conscientes que la situation juridique est complexe. Il n’existe cependant ni critères ni directives structurées sur le cadre juridique de l’OSINT. Les mesures de recherche autorisées par le SRC dans le domaine OSINT ne font pas l’objet de règles claires et uniformes. L’AS-Rens a donc formulé une recommandation visant à ce que le cadre juridique des opérations concrètes menées lors de recherches OSINT du SRC soit défini et des règles uniformes soient fixées pour la gestion de ce domaine.

«L’AS-Rens a examiné un certain nombre de recherches OSINT sans trouver la moindre trace de recherche illégale d’information.»

L’AS-Rens a examiné un certain nombre de recherches OSINT sans trouver la moindre trace de recherche illégale d’information. Selon l’art. 22 al. 1 de l’ordonnance sur l’organisation du gouvernement et de l’administration (OLOGA), en lien avec l’art. 52 LRens, le SRC est tenu de consigner ses propres activités au moyen d’une gestion systématique des affaires. La directive du 7 juillet 2022 relative au classement et à l’archivage de documents au SRC définit par ailleurs en son chapitre 2, sur la base de l’ordonnance sur la gestion électronique des affaires dans l’administration fédérale (ordonnance GEVER), que tous les documents ayant un rapport avec les activités du SRC doivent être enregistrés et classés. Dans quelques cas, la documentation des clarifications OSINT était lacunaire et ne correspondait pas aux directives en vigueur au sein de l’administration fédérale, empêchant l’AS-Rens d’apprécier la légalité de ces recherches, ce qui l’a incitée à formuler une recommandation à cet égard.

Afin de pouvoir générer des informations pertinentes pour les services de renseignement à partir de l’énorme quantité de données accessible dans le domaine public sur Internet de manière adéquate et efficace, on recourt à ce que l’on appelle des outils OSINT. Le SRC utilise à la fois des produits commerciaux standards et des produits développés par lui-même. Grâce à ces outils, le SRC effectue un monitorage permanent et des recherches ciblées, notamment avec des identités d’emprunt virtuelles (VTI). Ces VTI présentent des particularités en raison de leur utilisation pour le renseignement et pourraient donc être considérés comme des cibles potentielles par d’autres services, au point de se retrouver dans la ligne de mire de services partenaires étrangers par exemple. Afin de contrer ce risque, l’AS-Rens a invité de transférer ces identités du SRC dans la banque de données internationale déjà existante et de veiller à ce que le SRC et les Services de renseignement cantonaux (SRCant) s’informent mutuellement sur les identités d’emprunt virtuelles qu’ils utilisent.

Pour la recherche d’information OSINT anonymisée, le SRC recourt à une infrastructure informatique spéciale, qui présente des lacunes de sécurité et devrait être remplacée dans un avenir proche. L’AS-Rens a formulé une recommandation en conséquence.

Il n’est pas toujours facile de vérifier les résultats des recherches OSINT, en particulier lorsqu’il s’agit d’informations générées par le Darknet. Selon le SRC, entretenir une saine méfiance à l’égard des informations fait partie du travail des services de renseignement. Quand une information ne peut pas être vérifiée et que sa véracité ne peut être démontrée, il le mentionne dans les rapports OSINT. La problématique de la vérification des sources joue par exemple un rôle important dans l’identification et la divulgation de fake news. Elle touche en particulier l’utilisation d’outils OSINT commerciaux complexes et fait aussi l’objet de discussions régulières au sein de la communauté du renseignement.

Outre le SRC, les SRCant effectuent aussi des clarifications OSINT. L’AS-Rens a examiné de possibles chevauchements et inefficiences. Elle est arrivée à la conclusion que les deux entités étaient sensibilisées à ces risques et veillaient à avoir des échanges réguliers sur la thématique OSINT, notamment à travers un nouveau cadre.

Le contenu du système d’information du portail ROSO (résultats de recherches et matériel brut issu de sources ouvertes) respecte l’art. 54 al. 2 LRens, et les art. 46ss de l’ordonnance sur les systèmes d’information et les systèmes de stockage de données du SRC (OSIS-SRC, RS 121.2). Le système d’information permet au SRC de mettre à disposition à l’interne des données issues de sources accessibles au public. Les actes d’inspection, notamment les contrôles par échantillonnage, ont confirmé l’adéquation et l’efficacité de la gestion des données dans le portail OSINT. Il n’y avait pas de risque de prolongation illicite du délai de conservation en raison d’une donnée générée par d’autres capteurs et marquée à tort comme OSINT, car les données OSINT ont un délai de conservation plus court.

[22-17] Follow-up 20-19 : les archives du SRC

L’inspection 22-17 a donné suite à l’inspection 20-19 « Archives SRC avec focus sur les archives secrètes ». Cette dernière avait été organisée après que des médias ont rapporté, dans le cadre de l’affaire Crypto AG, que le SRC avait des « archives secrètes ». L’inspection 20-19 avait notamment constaté que des documents analogiques classifiés SECRET étaient conservés dans un emplacement également classifié SECRET. A cette période, le SRC et les Archives fédérales suisses (AFS) étaient en pourparlers pour livrer des documents, dont certains mentionnés par les médias, aux AFS à des fins d’archivage. Ces documents portaient essentiellement sur les organisations précédentes le SRC, soit des documents antérieurs à 2010. L’AS-Rens avait en conséquence renoncé à émettre des recommandations et avait annoncé qu’une inspection de suivi aurait lieu.

Outre des risques réputationnels, l’inspection 22-17 a examiné des risques en termes de légalité, d’adéquation et d’efficacité de l’archivage et de la conservation des documents. En matière d’archivage, il s’agissait d’éclaircir si les documents ont été proposés et livrés conformément à la loi et à la convention et de contrôler si des documents ont été soustraits ou détruits, ceci respectivement avant ou après avoir été proposés aux AFS ou après qu’une valeur archivistique leur soit reconnue. Concernant la conservation des documents, l’inspection devait vérifier si des documents conservés auraient dû être archivés et si les normes régissant la conservation étaient respectées.

Au cours de l’inspection 22-17, l’AS-Rens a organisé des visions locales des emplacements dans lesquels des documents sont encore conservés et a procédé à des échantillonnages. Elle a pu constater que les travaux d’archivage des documents analogiques (principalement des documents papier et des microfiches) ont notablement avancé dans les différents emplacements dans lesquels le SRC conserve ses documents. D’une manière générale, l’AS-Rens constate que la situation a concrètement et positivement évolué et que les engagements pris lors de l’inspection 20-19 (principalement la mise en œuvre de la convention avec les AFS) ont été tenus. Ces travaux sont conformes à la convention conclue entre le SRC et les AFS. Les délais de livraison n’ont pas pu être respectés pour des raisons compréhensibles et plausibles et pas nécessairement imputables au SRC. Plusieurs milliers de documents (près de 200 mètres-linéaires) et des millions de microfiches concernant principalement les organisations précédentes le SRC ont ainsi été inventoriés et livrés aux AFS. Les documents livrés couvrent une période allant de 1938 à 2021.

«Etant donné que les documents des organisations précédentes n’étaient pas inventoriés, l’AS-Rens n’a pas été en mesure d’examiner les risques identifiés.»

Etant donné que les documents des organisations précédentes n’étaient pas inventoriés, l’AS-Rens n’a pas été en mesure d’examiner les risques identifiés, à savoir si tous les documents ont bien été proposés et livrés aux AFS, ou si des documents auraient été – accidentellement ou intentionnellement – détruits. Sur ce dernier point, l’AS-Rens n’a trouvé aucun indice indiquant que ces risques se seraient réalisés.

Les travaux de tri et d’archivage des documents sont toujours en cours. A cet égard, la convention n’a pas encore été pleinement mise en œuvre et le SRC a été invité à y remédier. L’AS-Rens, constatant que les documents conservés ne sont pas inventoriés, a émis une recommandation au sens de la laquelle le SRC devra dresser un inventaire des documents qui ne seront pas livrés au AFS et conservés par le SRC.

[22-18] Recherche d’informations par l’unité Cyber du SRC

La recherche illégale d’informations par l’unité Cyber du SRC, thématisée dans différents médias, a été traitée par le SRC lui-même à travers une enquête interne et une enquête administrative externe. Du point de vue de l’AS-Rens, les deux rapports d’enquête laissaient des questions ouvertes, raison pour laquelle l’AS-Rens a initié sa propre inspection afin de clarifier les zones d’ombre restantes. L’analyse des vastes fichiers de données, qui n’ont été ni examinées ni évaluées jusqu’à présent par le SRC lui-même ou dans le cadre de l’enquête administrative, s’est révélée complexe et requiert un investissement considérable en temps, raison pour laquelle l’inspection n’était pas achevée à la clôture de la rédaction du présent rapport d’activités et ses résultats ne sont pas commentés ici. L’AS-Rens prévoit de publier le résumé de cette inspection sur son site web dans le courant de l’année 2024.

[23-16] Les systèmes d’information, les systèmes de stockage et stockage des données en dehors du cadre de l’art. 47 de la loi fédérale sur le renseignement

La LRens comporte des règles en matière de traitement des données dont l’article 47 LRens qui livre une liste de systèmes d’information exploité par le SRC. L’exhaustivité de cette liste a déjà fait débat lors de la création de la nouvelle loi sur le renseignement. L’AS-Rens a voulu clarifier cette question juridique et également évaluer quels autres systèmes sont utilisés et pour quelles raisons. Les bases légales y relatives ont également été analysées.

Cette inspection, lancée en août 2023, n’était pas achevée à la date de clôture du présent rapport d’activités. C’est pourquoi il n’est pas encore possible de faire d’autres déclarations sur les résultats de l’audit à ce stade. L’AS-Rens prévoit de publier le résumé de cette inspection sur son site web dans le courant de l’année 2024.

Clarification de la cyberattaque visant l’entreprise Xplain AG

En raison de la cyberattaque ayant visé l’entreprise Xplain AG, l’AS-Rens a procédé à une clarification en dehors de sa planification annuelle des inspections. L’accent a été mis sur la question de savoir si et dans quelle mesure l’attaque concernait aussi des données du SRC et comment celui-ci a traité ce cyberincident dans le cadre de sa mission de base. Les observations tirées de cette clarification ont été intégrées en partie à l’inspection « 23-10 La collaboration du SRC avec des particuliers ».