La Suisse a adopté une loi sur le renseignement qui est plus large que la loi française existante. Le 25 septembre 2016, le peuple suisse a accepté la nouvelle loi fédérale sur le renseignement (LRens) lors d’un référendum à 65.5% des votants (1).
Historique sur la loi sur le renseignement
Le 25 septembre 2015, le Conseil national avait adopté la loi renseignement (LRens) (2).
Un premier référendum avait été lancé par une alliance de représentants de la Jeunesse socialiste, des Verts et du PS, ainsi que des organisations comme droitsfondamentaux.ch ou encore « Digitale Gesellschaft ».
Objectif de la LRens
La LRens a pour objectif de renforcer la protection contre des menaces actuelles, telles que :
- le terrorisme ;
- l’espionnage ;
- la prolifération ou les attaques contre les infrastructures critiques.
Elle vise aussi à préserver les intérêts essentiels du pays en donnant des pouvoirs plus étendus aux services de renseignement. Ces nouveaux pouvoirs permettent de surveiller des moyens de communication utilisés également par des particuliers.
La loi sur le renseignement permet désormais d’étayer ou d’écarter des soupçons de menace contre la Suisse. Auparavant, la surveillance de la sphère privé était interdite. Le droit de collecter des informations était donné sur le seul domaine public.
Entrée en vigueur de la loi
La loi entrera en vigueur le 1 er septembre 2017.
Trois ordonnances seront soumises à la consultation. Ces consultation portent sur :
- le service de renseignement ;
- les systèmes d’information et de stockage électronique du Service de renseignement de la Confédération (SRC) ;
- l’autorité de surveillance indépendante.
Nouveaux moyens de surveillance
La nouvelle loi sur le renseignement met à disposition du Service de renseignement de la Confédération de nouveaux moyens de surveillance.
Les nouvelles mesures du SRC portent sur :
- la surveillance de la correspondance par poste et par télécommunication ;
- l’utilisation des appareils de localisation et de surveillance également hors de la sphère publique ;
- l’introduction dans des systèmes et réseaux informatiques ;
- la fouille de véhicules ou de conteneurs ;
- l’exploration du réseau câblé.
Un zoom est accordé sur l’une des mesures les plus discutées : l’exploration du réseau câblé.
Cette mesure consiste à surveiller les signaux transfrontaliers transmis par le biais de réseaux câblés.
Les télécommunications à l’échelle internationale sont majoritairement transmises via des câbles de fibre optique et de moins en moins via des liaisons satellite.
Les exploitants suisses de réseaux câblés, ainsi que les fournisseurs suisses de prestations de télécommunications, seront impliqués dans l’exécution de cette mesure de surveillance.
Ils devront fournir des renseignements sur les itinéraires des flux de données et pourront sur ordre détourner les flux de données en question.
L’exploration du réseau câblé sera exécutée par le Centre des opérations électroniques, déjà compétent pour l’exploration radio.
Les résultats sont exclusivement transmis au SRC.
Les informations présentant potentiellement un intérêt du point de vue du renseignement sont séparées des informations non pertinentes grâce à l’utilisation de mots-clés.
Le moins d’interventions possible dans la sphère privée des personnes est privilégié.
Les indications sur des personnes physiques et juridiques suisses ne peuvent pas être utilisées comme mots-clés.
Seules les informations pertinentes sont examinées manuellement par des analystes du Centre pour les opérations électroniques.
Ceux-ci ne transmettent au SRC que les informations se rapportant à des opérations à l’étranger significatives sur le plan de la politique de sécurité.
Conditions de recours aux mesures de surveillance
Des conditions pour recourir aux nouvelles mesures de surveillance et de recherche d’informations sont posées par la loi sur le renseignement.
Tout d’abord ces mesures ne pourront être utilisées par le SRC que lors de :
- menaces concrètes pour la sécurité intérieure ou extérieure ;
- menaces en rapport avec des activités terroristes ;
- propagation des armes de destruction massive ;
- attaque visant les infrastructures critiques ;
- sauvegarde des intérêts essentiels du pays.
Un processus de graduation de la mesure est également appliqué. La menace doit s’avérer suffisamment grave pour employer l’une de ces mesures.
D’autres moyens de renseignement auront dû être auparavant utilisés et être restés sans résultat ou sans chance d’aboutir.
Obligation d’autorisation préalable
Chaque mesure de recherche doit être approuvée par le Tribunal administratif fédéral (TAF) et avalisée par le chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) après consultation de ses homologues du Département des affaires étrangères (DFAE) et du Département fédéral de justice et police (DFJP).
Le Conseil fédéral estime à une dizaine par an le nombre de cas susceptibles de faire l’objet de mesures de recherche d’informations soumises à autorisation.
Plus précisément, lors de l’introduction dans les ordinateurs, cette ingérence doit être autorisée par le TAF et avalisée par le chef du DDPS après consultation du DFAE et du DFJP.
Pour s’introduire dans des ordinateurs à l’étranger, le SRC a également besoin de l’aval du chef du DDPS, qui doit avoir consulté au préalable le DFAE et le DFJP.
Concernant l’exploration du réseau câblé, cette mesure nécessite l’autorisation du TAF, ainsi que l’aval du chef du DDPS, lequel aura préalablement consulté le DFAE et le DFJP.
La réalisation des missions d’exploration du réseau câblé qui ont été avalisées est en outre vérifiée par l’Autorité de contrôle indépendante (ACI). L’ACI est un organe de contrôle indépendant pour l’exploration radio et l’exploration du réseau câblé.
Autorité indépendante chargée de la surveillance du SRC
La loi sur le renseignement prévoit une nouvelle autorité indépendante chargée de la surveillance du SRC.
Cette autorité aura le pouvoir de contrôler la légalité, l’adéquation et l’efficacité des activités de renseignement du SRC et des organes cantonaux d’exécution.
Elle pourra émettre des recommandations et publier un rapport annuel de ses activités.
Risque d’une surveillance de masse disproportionnée
Les nouvelles mesures de surveillance mises à disposition du SRC pourraient donner naissance à un risque de surveillance de masse.
Il est nécessaire de rappeler que la Suisse avait déjà adopté la révision de la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT) (3).
Cette loi permet à la police et aux autorités de poursuite d’accéder aux métadonnées stockées pendant six mois par les opérateurs téléphoniques en cas de soupçon d’infraction.
Le SRC, aurait, lui aussi, accès à ces données, même si aucun soupçon fondé d’infraction ne pèse sur l’individu.
Il faut ajouter que l’exploration du réseau câblé permettrait également au SRC d’enregistrer tous les flux de données et de les analyser au moyen de mots-clés.
Ces services auraient ainsi accès à une quantité importante de données et au contenu de communications électroniques telles que les mels, la téléphonie ou les recherches via internet.
Toutes les personnes se trouvant sur le territoire Suisse seraient alors touchées par ces mesures de surveillance.
Vision française du renseignement
L’acceptation de la loi sur le renseignement en Suisse est à mettre en parallèle de la décision du Conseil constitutionnel du 21 octobre 2016 (4).
Le Conseil constitutionnel avait retenu que l’article L811-5 du Code de la sécurité intérieure donnait l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.
Le Conseil Constitutionnel avait alors reconnu que, faute de garanties, l’article L811-5 du Code de la sécurité intérieure portait une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.
L’article L811-5 du Code de la sécurité intérieure avait donc été déclaré contraire à la Constitution par le Conseil constitutionnel.
Il est également intéressant de rappeler l’entrée en vigueur, au 1er octobre 2016, de l’arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du Code pénal (5).
En effet, un projet d’arrêté avait été notifié auprès de la Commission européenne le 26 février 2016. (6). Ce projet d’arrêté a été repris entièrement dans l’arrêté du 11 août 2016. Il concerne les opérateurs du secteur des communications électroniques et leurs équipementiers.
Dans un premier temps, l’arrêté modifie en conséquence les termes de l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal.
L’article 1, 1° de l’arrêté remplace les mots « conçus pour réaliser » par « de nature à permettre ».
Seront donc soumis à une autorisation du Premier ministre, après avis de la Commission, non plus les appareils « conçus pour réaliser » des atteintes à la vie privée ou au secret des correspondances, mais désormais tous ceux « de nature à permettre » de telles atteintes.
Dans un second temps, l’arrêté complète l’arrêté du 4 juillet 2012 en soumettant désormais à contrôle certains appareils d’accès aux réseaux mobiles.
L’article 2, 2° de l’arrêté précise que :
« Les appareils qui permettent aux opérateurs de communications électroniques de connecter les équipements de leurs clients au cœur de leur réseau radioélectriques mobile ouvert au public, dès lors que ces appareils disposent de fonctionnalités, pouvant être configurées et activées à distance, permettant de dupliquer les correspondances des clients, à l’exclusions des appareils installés chez ceux-ci. »
Les produits concernés sont certains appareils d’accès aux réseaux de radiocommunications mobiles de 3e et 4e générations mis en œuvre par les opérateurs de communications électroniques. Il s’agit de stations de base, appelées aussi « antennes relais », dont les versions récentes ou à venir sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.
L’arrêté vise à soumettre à contrôle certains appareils d’accès aux réseaux de radiocommunications mobiles, dès lors qu’ils intègrent des fonctionnalités de duplication des flux configurables à distance, afin de protéger le secret des correspondances, la vie privée et la sécurité nationale.
Sur ce dernier point, l’arrêté prévoit une entrée en vigueur différée de cinq ans, pour tenir compte des investissements déjà réalisés par les opérateurs de communications électroniques et leur permettre de se mettre progressivement en conformité avec les nouvelles dispositions.
Des mesures de surveillance plus intrusives mais encadrées ont été acceptées en Suisse. En effet, la France tant à encadrer les mesures de surveillance qui portent atteinte à la vie privée. Cet encadrement n’est cependant pas un frein au panel large que les mesures de surveillance peuvent prendre.
Didier Gazagne
Audrey Jouhanet
Lexing Droit Sécurité & Défense
(1) Résultats du référendum du 25 septembre 2016 sur la loi sur le renseignement en Suisse
(2) Loi fédérale sur le renseignement (LRens)
(3) Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT)
(4) Décision 2016-590 QPC du Conseil constitutionnel du 21 octobre 2016
(5) Arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal