Fin septembre 2016, la nouvelle loi sur le renseignement (LRens) a été largement acceptée. Le projet a été soutenu par tous les cantons et 65% du peuple. Or, peu de personnes peuvent se targuer de connaître le contenu de cette loi qui vise à accroître massivement les possibilités de surveillance du Service de renseignement de la Confédération (SRC). Avant la votation, des voix critiques s’étaient élevées pour dénoncer le risque généré par l’exploration du réseau câblé, soit la surveillance à grande échelle du trafic de données. Une pratique prévue à l’art. 39 LRens qui ouvre la voie à une surveillance électronique sans infraction préalable.
Près de huit ans plus tard, ces craintes se sont concrétisées: les services secrets interceptent et analysent un grand nombre de données issues du trafic national de données. C’est ce qui ressort d’un reportage publié en janvier par le magazine numérique Republik basé sur des documents et des prises de position du service de renseignement dans le cadre d’une procédure judiciaire devant le Tribunal administratif fédéral. En 2017, l’association Société numérique, un groupe de journalistes et un avocat ont déposé une plainte contre le SRC.
Avec un objectif clair: amener les juges saint-gallois à conclure à l’illégalité de l’exploration du réseau câblé. Le 4 juin 2019, le tribunal a rejeté le recours. Mais le Tribunal fédéral a finalement reconnu leur droit à l’examen matériel de leur recours découlant de l’art. 13 CEDH. Les juges de Mon-Repos ont ainsi confirmé que les intéressés pouvaient être potentiellement concernés par l’exploration radio et réseau câblé et étaient en droit d’être informés sur les données traitées (TF 1C_377/2019).
Ces prises de position des tribunaux donnent de précieuses indications sur les agissements des services secrets dans le cadre de l’exploration du réseau câblé.
Accès illimité aux serveurs
Le trafic de données internet est presque exclusivement supporté par le réseau de fibre optique. Dans le cadre de l’exploration du réseau câblé, le service Actions dans le cyberespace et dans l’espace électromagnétique (ACEM) peut siphonner les données transitant sur le réseau conformément à l’ordonnance sur le renseignement. Les fournisseurs d’accès internet, dont Swisscom, Salt ou Sunrise doivent ainsi assurer l’accès à leurs installations conformément à l’art. 29 de l’ordonnance: «Les exploitants de réseaux filaires et les fournisseurs de services de télécommunications […] garantissent à l’ACEM l’accès à leurs locaux en vue de l’exploration du réseau câblé afin qu’il puisse installer les composants techniques nécessaires à l’exécution des mandats d’exploration du réseau câblé.»
Fredy Künzler, ingénieur réseau et directeur d’Init7, un fournisseur d’accès à internet sis à Winterthour, nous a fourni des informations sur le mode de fonctionnement de l’ACEM. L’ingénieur a reçu un questionnaire fin 2023 demandant aux fournisseurs d’accès à internet si les paquets de données pouvaient être copiés en temps réel sur leurs routeurs. Interrogés par plädoyer sur la localisation du siphonnage de données, ni le Service de renseignement de la Confédération, ni l’ACEM n’ont souhaité répondre.
Selon Erik Schönenberger, informaticien et directeur de l’association Société numérique, l’ACEM installe des appareillages dans les locaux des entreprises de télécommunication afin de copier les données transitant sur les lignes transfrontalières. Après un premier filtrage, ces données seraient redirigées vers Zimmerwald, au siège des services secrets.
Conformément à la loi sur le renseignement, les entreprises de télécommunication doivent fournir aux services secrets des informations techniques à des fins d’analyse des données internet. Elles doivent assurer l’accès à leurs locaux et tolérer l’installation d’appareils de surveillance sur leurs installations. La loi interdit auxdites entreprises de parler des mandats de surveillance. Mais elle limite aussi la possibilité laissée à l’ACEM de procéder à une surveillance de masse des données aux communications transfrontalières, indépendamment de tout soupçon. Aussi les données ne pourront pas être utilisées si l’expéditeur et le destinataire se trouvent en Suisse.
L’ingénieur réseau Fredy Künzler apporte une intéressante précision: «La destination des transports de données ne peut pas être déterminée à l’avance. De ce fait, les services secrets copient l’ensemble du trafic de données à la file». Erik Schönenberger ajoute que, ensuite, les analystes de l’ACEM examinent en détail les flux de données et transforment les signaux en données de communication lisibles. Par exemple, les conversations sont automatiquement retranscrites ou les contenus traduits en allemand. Puis la communication est recherchée et classée par mots-clés.
Collecte de métadonnées et de… contenus L’avocat zurichois en charge du recours contre le SRC, Viktor Györffy, estime que la surveillance commence déjà avec l’évaluation par le service secret.
«En principe, toute forme de communication électronique peut faire l’objet d’une exploration du réseau câblé». Aussi l’exploration du réseau câblé concernerait les données provenant de l’utilisation de sites internet, de courriels, de plateformes de communication, voire de la téléphonie et du fax.
Selon Viktor Györffy, «tant les contenus que les métadonnées peuvent être collectés. Les métadonnées peuvent donner des indications sur la localisation des participants, les canaux utilisés ou le moment de la communication». Par le biais de cette méthode de surveillance, les services secrets acceptent sciemment de «surveiller des personnes parfaitement intègres». Et le Tribunal fédéral n’a pas manqué de confirmer dans un arrêt publié en 2020 (ATF 147 I 280) qu’il s’agirait là d’une surveillance de masse injustifiée.
Viktor Györffy dénonce la violation du droit à la protection des secrets professionnels, dès lors vidé de sa substance. «Les services secrets, par le biais de l’exploration du réseau radio et câblé, analysent toute communication contenue dans les flux de données saisis, et donc inévitablement les éventuelles communications entre le détenteur d’un secret professionnel et les personnes le consultant». Malheureusement, la découverte ultérieure par les services de renseignement de données portant sur des éléments couverts par le secret professionnel dont la séparation des autres contenus et la cessation de l’utilisation sont exigées n’a aucun effet réparateur sur la violation du secret professionnel.
Viktor Györffy ajoute qu’«il n’existe aucune protection efficace contre l’utilisation ultérieure de ces données». Cette situation inquiète aussi le président de la Fédération suisse des avocats, Matthias Miescher: «Il est alarmant, du point de vue de l’État de droit, que la sphère privée d’honnêtes citoyens soit systématiquement violée. Et cette surveillance systématique est d’autant plus inquiétante lorsqu’elle vise des informations pourtant protégées par la loi contre la surveillance».
Prisca Fischer, la présidente de l’Autorité indépendante de surveillance des activités de renseignement, estime que les voyants devraient être passés au rouge depuis l’arrêt du Tribunal fédéral. La juriste relève qu’il est techniquement impossible de filtrer directement les flux de données auprès des fournisseurs d’accès. «On ne peut pas fouiller directement dans ce flux de signaux, il faut l’intercepter sans connaissance préalable de son contenu.» Selon elle, le point central porte sur le fait que l’exploration du réseau câblé soit réalisée par l’ACEM et non pas par le SRC. «Ce sont deux services différents».
L’ACEM n’effectue pas d’analyses relevant des activités de renseignement. Cette entité n’a «aucun intérêt à mal appliquer la loi, puisqu’elle ne peut pas utiliser les informations obtenues pour ses propres besoins». Selon Prisca Fischer, l’ACEM respecte la loi. L’exploration du réseau câblé serait uniquement utilisée pour obtenir des informations conformément à l’art. 39 al. 1 de la LRens sur des événements à l’étranger.
Naïveté de l’autorité de surveillance
Le professeur de droit émérite Rainer J. Schweizer a pu observer le travail du Service de renseignement de la Confédération pendant une dizaine d’années en tant que président de la désormais dissoute Commission de la protection des données. Selon lui, le point de vue de Prisca Fischer est indéfendable. «L’ACEM est fonctionnellement et juridiquement rattachée aux organes de renseignement de la Confédération. Il ne s’agit pas d’un service neutre, mais d’une entité exécutant les mandats transmis par le service de renseignement». Prétendre que l’on se trouve face à deux entités différentes est «incroyablement naïf». Rainer J. Schweizer décrit par ailleurs le rapport d’activité de l’autorité de surveillance comme «une coquille vide».
«Bien que nous sachions que le Service de renseignement de la Confédération a des avocats et des organisations politiques suisses dans le viseur, le rapport d’activité n’en parle pas du tout (plädoyer 4/2022). Ce qui dessert la crédibilité de l’autorité de surveillance.»
Selon Rainer J. Schweizer, l’ACEM viole systématiquement les droits fondamentaux de tous les résidents suisses lorsqu’il traite des données. «La violation des droits fondamentaux du point de vue des droits de l’homme commence déjà lors de l’exploitation des flux de données». Le Tribunal fédéral confirme par ailleurs clairement que la collecte des données est un moment décisif dans son ATF 147 I 280.
Ce qui est expressément mentionné au considérant 6.1 de l’arrêt précité: «Selon l’art. 3 litera e de la loi sur la protection des données, toute opération relative à des données personnelles relève du traitement de données, quels que soient les moyens et les procédés utilisés. Tel est notamment le cas de la collecte de données. Dans la présente affaire, la transmission de données au SRC et l’analyse et l’enregistrement de données ne sont pas les seuls éléments pertinents. Ainsi, la saisie électronique, le filtrage et la recherche de données par le Centre des opérations électroniques de l’armée (CEO) constituent déjà un traitement de données relevant du point de vue du respect des droits fondamentaux».
La loi sur le renseignement fixe deux jalons essentiels, selon Rainer J. Schweizer. Ces éléments ont par ailleurs été avancés à maintes reprises par les autorités et le Conseil fédéral lors de la campagne de votation de 2016: l’art. 5 al. 5 de la LRens interdit au service de renseignement de collecter et de traiter des informations sur l’activité politique et sur l’exercice de la liberté d’opinion, de réunion ou d’association en Suisse.
«La réglementation mentionne expressément ‹en Suisse›, et cela englobe bien entendu aussi tous les étrangers». Le critère déterminant est donc la résidence en Suisse. Le professeur émérite souligne toutefois que la garantie de l’art. 5 al. 5 de la LRens «n’est plus assurée» dans le cadre de l’exploration câblée, «car elle vise toutes les personnes en Suisse. Et celles-ci communiquent désormais entre elles».
Conformément à l’art. 39 al. 3 LRens, l’ACEM ne peut transmettre au SRC que les données issues de signaux enregistrés dont «le contenu correspond aux mots-clés du mandat de recherche». Ces mots-clés doivent être définis «de manière à minimiser les atteintes à la vie privée». Et d’ajouter: «Il est interdit d’utiliser des indications relatives à des ressortissants ou à des personnes morales suisses comme mots-clés de recherche». Cette disposition ne protège concrètement que les citoyens suisses. Ce qui est problématique pour les droits de l’homme, selon Rainer J. Schweizer: «La sphère privée des étrangers résidant en Suisse et des citoyens suisses doit être protégée de la même manière».
La distinction opérée à l’art. 5 al. 5 LRens et, a fortiori, à la troisième phrase de l’art. 39 al. 3 est «indéfendable en matière de droits de l’homme». «Tous les traités internationaux relatifs aux droits de l’homme comme les pactes de l’ONU ou la CEDH exigent un traitement égal entre les nationaux et les étrangers. Cette réglementation est donc contraire à la CEDH et viole les pactes de l’ONU relatifs aux droits de l’homme.»
Activité judiciaire secrète discutable
Le mandat d’exploration du réseau câblé transmis par le SRC à l’ACEM est soumis à l’autorisation préalable du Tribunal administratif fédéral. Cette autorisation d’une durée de validité limitée à six mois peut être prolongée de trois mois au plus.
Rainer J. Schweizer est particulièrement critique par rapport au silence du Tribunal administratif fédéral sur les critères appliqués par le juge Jérôme Candrian (PLR) lors de l’approbation d’un mandat d’exploration du réseau câblé. «C’est inadmissible. Il s’agit d’abord de la seule activité judiciaire secrète en Suisse. Ce qui est tout à fait grotesque du point de vue du droit constitutionnel». Le juriste martèle que l’autorité de contrôle devrait publier ses critères à des fins de vérification: «Le Service de renseignement de la Confédération est une autorité étatique qui doit obtenir une autorisation d’une autre autorité étatique, le Tribunal administratif fédéral.
Or, ce procédé est dépourvu de toute consultation ou de contrôle de la part des autorités ou du public. À plus ou moins long terme, ce mode de fonctionnement conduit inévitablement à des arrangements personnels voire à du copinage. Les critères d’approbation ne sont même pas connus des autres juges du Tribunal administratif fédéral.
L’attaché de presse du Tribunal administratif fédéral, Rocco Maglio, se retranche derrière la loi: «Le tribunal examine principalement l’existence d’une menace concrète ainsi que la proportionnalité et la pertinence de la mesure». En effet, l’existence d’une menace concrète pour la sécurité intérieure et extérieure de la Suisse ainsi qu’un risque d’atteinte à un bien juridique important, comme l’intégrité physique ou la vie, est requise. Ce qui peut être le cas lors d’activités extrémistes violentes.
Un arrêt resté lettre morte
Rainer J. Schweizer conteste ce modus operandi. La loi mentionne que le service de renseignement peut ordonner une mesure de recherche soumise à autorisation si «la gravité de la menace la justifie et que les investigations du service de renseignement se sont avérées infructueuses dès lors qu’elles n’auraient aucune chance d’aboutir dans un avenir proche ou exigeraient des efforts disproportionnés». Des critères spécifiques sont ainsi indispensables pour évaluer de telles mesures. «Le Tribunal administratif fédéral doit appliquer des critères correspondant à ces exigences afin d’éviter les décisions arbitraires ou la complaisance lors de la délivrance d’autorisation de mesures de surveillance.»
L’exécution de l’arrêt du Tribunal fédéral de 2020 est toujours pendante. Cela fait donc trois ans que les recourants attendent que le Tribunal administratif fédéral analyse si l’exploration du réseau câblé viole leurs droits fondamentaux. Selon Rainer J. Schweizer, cette latence prouve «que le Service de renseignement de la Confédération refuse tout contrôle public sur l’exploration du réseau câblé et souhaite éviter tout débat démocratique sur ses pratiques en matière de collecte de données.»
Des demandes largement acceptées
Une délégation de la Commission de gestion du Parlement contrôle les activités des services secrets dans le domaine du renseignement civil, notamment. À cette fin, la délégation publie annuellement des indications, dont les statistiques du Tribunal administratif en matière de délivrance d’autorisation de mesures de surveillance. En 2022, le Tribunal administratif fédéral a ainsi traité 32 demandes du SRC. Le tribunal a approuvé 27 demandes, soit 85% des requêtes introduites.
