Activités de surveillance

Dans le domaine « Stratégie et planification », l’AS-Rens examine des thèmes qui touchent à la planification stratégique à court, moyen et long terme des autorités du renseignement suisses et à leurs objectifs. Durant l’année sous revue, l’AS-Rens s’est attelée à l’inspection ci-après.

[24-1] Intelligence artificielle (IA) au SRC

L’AS-Rens examine, sous l’angle de la légalité, de l’efficacité et de l’adéquation si le SRC acquiert, utilise et contrôle correctement cette technologie. Des travaux préparatoires ont été réalisés pour cette inspection qui sera effectuée en 2025.

Dans le domaine « Organisation et mandat », l’AS-Rens examine la structure des services de renseignement et leurs processus de travail en se posant notamment la question de savoir si ceux-ci permettent aux autorités concernées de remplir leur mandat légal dans le respect du droit, de manière efficace et adéquate. En 2024, l’AS-Rens a mené les inspections ci-après dans ce domaine.

[23-2] Les prestations juridiques du SRC

Le respect du principe de légalité et de la légitimité de l’action revêt une importance primordiale dans les activités de renseignement. Si le SRC ou son personnel n’agit pas conformément à la loi, différents droits fondamentaux peuvent être violés (protection des données, droit à la vie privée, secret des affaires, etc.). D’autre part, si le SRC n’exploite pas pleinement le cadre juridique fixé pour son activité, il en résulte un risque considérable pour la sécurité de la Suisse. Il peut en résulter un préjudice de réputation, ce qui nuit à la confiance de la population suisse dans cette institution. L’AS-Rens examine donc les tâches, les compétences et les responsabilités des prestataires de services juridiques du SRC afin de s’assurer qu’elles soient adéquates et efficaces.

L’AS-Rens a interrogé des personnes travaillant dans différents secteurs et revêtant diverses fonctions, leur a posé cinq questions de contrôle et a consulté des documents. Elle a constaté que le SRC assume le mandat légal de formation, mais qu’après la transformation, une optimisation de l’exécution du concept de formation pour tous les domaines est indiquée. Comme d’autres unités administratives, le SRC a la possibilité d’acquérir l’expertise qui lui fait défaut auprès de prestataires externes. Ces dernières années, il n’a attribué que des mandats ponctuels pour des services juridiques. Ceux-ci étaient justifiés, ce qui ne permet pas de conclure à l’absence de ressources spécialisées au sein du SRC.

« En particulier, les unités organisationnelles Assurance qualité, Compliance et Service juridique du SRC fournissent des services juridiques. Dans ces trois domaines, il est nécessaire d’agir ou, du moins, une attention accrue dans le cadre de la transformation en cours est requise. »

En particulier, les unités organisationnelles Assurance qualité, Compliance et Service juridique du SRC fournissent des services juridiques. Dans ces trois domaines, il est nécessaire d’agir ou, du moins, une attention accrue dans le cadre de la transformation en cours est requise.

Les deux recommandations formulées concernent l’activité de la Compliance et sa traçabilité, ainsi que l’implication active du Service juridique dans certaines affaires et la conception des processus de travail. Les exigences et les souhaits concernant le Service juridique ne correspondent pas à sa structure et à ses compétences décisionnelles actuelles. Pour parvenir à une adéquation entre l’état souhaité et l’état actuel, il ne suffit pas d’actualiser la description de poste de la fonction de direction du Service juridique. Les derniers audits de conformité selon le concept ont été établis par la Compliance en 2021. Au moment de l’inspection, seul le « bureau de communication » était géré activement par la Compliance, mais aucune preuve de cette activité n’est traçable. L’Assurance qualité, quant à elle, a récemment enregistré de nombreux départs de personnes ayant une formation juridique ; elle doit donc les remplacer le plus rapidement possible afin de pouvoir faire face aux tâches en suspens dans la mise à jour de la documentation.

[23-4] IT Service Continuity Management (ITSCM) et Disaster Recovery-IT au SRC

Lors de la présente inspection, l’AS-Rens a examiné si le SRC disposait de processus efficaces et adéquats pour pouvoir garantir le maintien de l’exploitation informatique, et donc de son activité principale, en cas de scénario de crise ou de catastrophe, et pour pouvoir restaurer ses données.

Les événements majeurs imprévus tels que les incendies, les inondations ou les activités criminelles constituent une menace pour toute organisation. De tels événements sont de nature à potentiellement causer des dommages, notamment à l’infrastructure des technologies de l’information, qui peuvent être bien plus graves qu’une simple panne. Il appartient dès lors aux organisations d’assurer une continuité de leur activité (Business continuity management [BCM]). Le BCM se concentre ainsi sur un événement et s’emploie à réduire l’impact d’un risque sur les prestations et les processus opérationnels essentiels.

Une informatique fiable et hautement disponible est essentielle à la survie d’une entreprise, étant donné la grande dépendance de son activité principale envers les technologies de l’information. L’ITSCM, qui découle du BCM, a pour objectif de pouvoir fournir les prestations informatiques critiques identifiées par l’entreprise conformément aux exigences, même en cas d’événement majeur. Pour ce faire, des mesures préventives (renforcement de la résilience) et des mesures préparées en cas de survenue d’un événement (renforcement de la réaction) sont évaluées et mises en œuvre. L’ITSCM doit garantir que les services et l’infrastructure des technologies de l’information et de la communication (TIC) sont disponibles suite à une défaillance ou qu’ils puissent être rétablis dans un délai convenu. Le Disaster Recovery-IT vise quant à lui à remettre les services et l’infrastructure TIC en état suite à une défaillance.

Le thème de l’ITSCM répond ainsi aux risques actuels et concrets. La numérisation continuant ses progrès et le traitement des données étant au cœur de l’activité du SRC, celui-ci est d’autant plus dépendant d’une exploitation continue et fiable de ses infrastructures informatiques, et ce dans un monde où la pénurie d’électricité menace, où les cyber-attaques se multiplient et où la guerre n’est plus étrangère au continent européen. De même, des pertes de données seraient de nature à menacer sa capacité à exécuter sa mission.

Le BCM avait déjà fait l’objet d’un rapport de l’organe de révision interne du DDPS (rapport I 2022-01 du 15 août 2022). Une des recommandations de ce rapport invitait les unités administratives du DDPS à mettre à jour leur documentation relative au BCM. Le SRC travaille pour appliquer cette recommandation. De plus, la direction du SRC a décidé de n’approuver et de mettre en œuvre un nouveau BCM qu’au terme de sa transformation actuellement en cours. L’AS-Rens a donc fait preuve de retenue concernant le BCM.

S’agissant de l’ITSCM, l’AS-Rens a constaté une absence de documentation qui relève d’un défaut de gouvernance TIC au sein du SRC. En effet, des mesures ont été prises par le SRC, mais seulement au niveau technique. L’unité TIC a ainsi adopté de nombreuses mesures pour garantir une continuité de l’activité en cas d’évènement majeur. Ces mesures sont efficaces et adéquates. Elles permettent de limiter les risques de manière conséquente. En particulier, la redondance de l’infrastructure TIC de même que la stratégie de sauvegarde des données sont adéquates et efficaces. Cela étant, il n’existe aucune stratégie de test, de sorte que si les services TIC bénéficient d’une grande stabilité, il n’est pas certain qu’il en soit de même en cas d’événement majeur. De même, l’absence de tests variés et réguliers compromet la mise à jour de l’ITSCM. Des recommandations ont été prononcées en lien avec la documentation de l’ITSCM et l’organisation de tests.

[24-2] Activités de renseignement effectuées par le SPPA

L’AS-Rens examine les recoupements dans la collaboration entre le SRC et le SPPA afin d’identifier les activités de renseignement. Elle a utilisé cette base pour examiner la légalité, l’efficacité et l’adéquation de cette collaboration.

Plusieurs entretiens ont porté en 2024 sur la compétence de l’AS-Rens dans la surveillance du SPPA (cf. ch. 6.4). L’inspection correspondante aura lieu en 2025.

[24-3] Organisation des contacts avec des services partenaires au sein du service ACEM

Aucun service de renseignement ne peut, à lui seul, identifier et contrer tous les dangers. Une collaboration étroite et basée sur la confiance avec les services partenaires est donc indispensable. Cela vaut également pour les services de renseignement de la Suisse et donc aussi pour l’ACEM. Dans le domaine des tâches de l’ACEM en particulier, le fait qu’il s’agit d’un service relativement petit qui n’est en outre pas intégré dans des organes multilatéraux (p. ex. [Signal-Intelligence] SIGINT Seniors Europe) et qui, en raison de la situation géographique de la Suisse, ne peut pas accéder à tous les flux de signaux de la même manière que d’autres pays, constitue une difficulté supplémentaire. Dans ces conditions, les contacts bilatéraux au niveau opérationnel avec des services partenaires sélectionnés semblent d’autant plus importants.

Ces contacts se fondent sur le principe du donnant-donnant. L’ACEM reçoit des informations, mais il doit également fournir des informations qui présentent un intérêt pour le service partenaire.

Bien que cet échange soit, comme nous l’avons vu, indispensable pour l’ACEM, il soulève également certaines questions et comporte des risques. En particulier, le type d’informations échangées pourrait réaliser le risque d’actions illégales de la part du service. Mais le processus et la manière dont les contacts avec des services partenaires sont gérés présentent également des risques en termes d’efficacité et d’adéquation.

C’est pourquoi l’AS-Rens a décidé, sur la base du plan des inspections 2024, de soumettre les contacts avec des services partenaires de l’ACEM à une inspection.

En ce qui concerne les questions juridiques, l’AS-Rens a pu constater que l’ACEM respecte les prescriptions légales et qu’il effectue des contacts avec des services partenaires dans le domaine du renseignement exclusivement sur mandat du SRC. La plupart des contacts avec les services partenaires traitent de questions techniques. Si des informations plus délicates sont échangées, comme par exemple des données, le service juridique du SRC est impliqué au préalable afin d’examiner les bases juridiques de l’échange de données en question.

« …dans les circonstances actuelles, tant les contacts existants avec les services partenaires que l’approche visant à établir de futurs contacts avec des services partenaires dans le domaine thématique des actions cyber et électromagnétiques se déroulent de manière efficace et efficiente. »

Concernant l’efficacité et l’utilité des contacts avec les services partenaires, l’AS-Rens est arrivée à la conclusion que, dans les circonstances actuelles, tant les contacts existants avec les services partenaires que l’approche visant à établir de futurs contacts avec des services partenaires dans le domaine thématique des actions cyber et électromagnétiques se déroulent de manière efficace et efficiente. D’un point de vue purement technique, une participation à des organes internationaux dans le domaine du SIGINT promettrait certes un gain d’efficacité au niveau des contacts avec les services partenaires. Toutefois, au vu de l’importante portée politique d’une telle décision, elle ne pourrait pas être prise au niveau de l’ACEM ou du SRC.

En raison de l’impression générale que l’ACEM s’en tient strictement aux bases légales et tire le meilleur parti possible des contacts avec des services partenaires dans la situation donnée, l’AS-Rens n’a pas formulé des recommandations.

[24-11] Mesures de sécurité selon l’art. 6 al. 7 de la loi fédérale du 25 septembre 2015 sur le renseignement (loi sur le renseignement, LRens, RS 121)

Le SRC est tenu de garantir la protection et la sécurité de son personnel, de ses installations, de ses sources et des données qu’il traite. L’AS-Rens vérifie la manière dont le SRC remplit cette obligation dans différents domaines.

Cette inspection, qui n’a pas été annoncée dans le plan des inspections pour 2024, se terminera en 2025.

Dans le domaine « Collaboration », l’AS-Rens examine la collaboration des services avec des autorités nationales et internationales. Elle examine aussi chaque année la collaboration avec certains services de renseignement cantonaux (SRCant). Les rapports d’inspection « 23-6 SRCant Nidwald » et « 23-7 SRCant Obwald » et la publication des résumés sur le site web ont permis à l’AS-Rens de clore les inspections cantonales. Il lui est donc possible de tirer un bilan de ses inspections dans les 26 cantons.

En 2024, l’AS-Rens a procédé à des actes dans les inspections suivantes.

[23-6] Service de renseignement cantonal Nidwald (SRCant NW)

L’AS-Rens a examiné la collaboration entre le SRC et le SRCant NW sous l’angle de la légalité, de l’adéquation et de l’efficacité. Elle a abouti à la conclusion que le SRC et le SRCant NW collaboraient bien. En règle générale, le SRCant NW a exécuté les mandats du SRC dans les délais et conformément aux attentes. L’AS-Rens a eu l’impression que le SRCant NW ne tenait pas suffisamment compte de la nécessité de séparer l’infrastructure de la police cantonale et du SRCant. Il y a là un risque de fuite d’informations. L’AS-Rens a formulé une recommandation en ce sens.

En outre, l’AS-Rens a examiné si les données enregistrées et celles à caractère personnel répondaient aux exigences légales, en lien avec les tâches, le respect des restrictions du traitement des données ainsi que de l’exactitude et de la pertinence des informations. Elle a constaté à cet égard que les questions en suspens concernant la gestion des données ou les problèmes techniques importants pour la protection des informations n’étaient pas traitées avec le soin et la discipline nécessaires ou que le lien avec les tâches ne pouvait pas toujours être établi en raison de départs du personnel. Il en résulte un risque de traitement illicite des données et de fuite d’informations. L’AS-Rens a formulé une recommandation en ce sens.

[23-7] Service de renseignement cantonal Obwald (SRCant OW)

L’AS-Rens a examiné la collaboration entre le SRC et le SRCant OW sous l’angle de la légalité, de l’adéquation et de l’efficacité. Elle a abouti à la conclusion que le SRC et le SRCant OW collaboraient bien dans les domaines thématiques actuels et que la communication fonctionnait aussi à bas seuil. Le SRCant OW a exécuté les mandats du SRC dans les délais impartis, ménageant les ressources, et le contenu était conforme aux attentes. Sur la base de ses actes d’inspection, l’AS-Rens a constaté que le SRCant OW disposait de bonnes connaissances du domaine du renseignement et des qualités correspondantes, et que les conditions et la motivation pour l’exécution des tâches étaient présentes.En outre, l’AS-Rens a examiné si les données enregistrées et celles à caractère personnel répondaient aux exigences légales, en lien avec les tâches, le respect des restrictions de traitement des données ainsi que de l’exactitude et de la pertinence des informations. Elle n’a constaté aucune anomalie à ce sujet.

Inspections auprès des SRCant ces dernières années

L’AS-Rens a effectué une inspection de chaque SRCant entre 2019 et 2024 en utilisant partout la même méthode. Des questions spécifiques ont été ajoutées lors de chaque inspection.

Aucune anomalie n’a été constatée dans onze cantons. Dans quinze autres, l’AS-Rens a formulé une recommandation en vue d’améliorer la pratique du SRCant, notamment pour le traitement des données, la gestion des ressources et l’engagement de moyens techniques. Toutes les recommandations ont été mises en œuvre sauf une, dont le délai d’exécution n’était pas encore écoulé. Grâce aux mesures prises par le SRC, certains types d’anomalies ont disparu au fil des ans. Une recommandation à un canton peut aussi parfois être utile à d’autres.

« Ces inspections ont apporté à l’AS-Rens des connaissances approfondies des SRCant, de leurs activités et de leurs particularités. »

Ces inspections ont apporté à l’AS-Rens des connaissances approfondies des SRCant, de leurs activités et de leurs particularités. Certaines autorités cantonales de surveillance envoient régulièrement leur rapport d’audit à l’AS-Rens, complétant ainsi les informations dont celle-ci dispose.

Ces prochaines années, l’AS-Rens a décidé de ne plus utiliser de questionnaire standardisé pour effectuer ses inspections auprès des SRCant mais plutôt d’ouvrir des pistes de réflexion pour étudier des risques et des thématiques propres aux cantons (cf. visites de l’AS-Rens aux cantons, ch. 7.1).

[23-10] Collaboration du SRC avec des particuliers

Le SRC collabore avec des particuliers, des organisations et des entreprises. Ces collaborations ont lieu dans le cadre administratif par le biais notamment de relations contractuelles habituelles et dans le domaine opératif, notamment par le biais de collaboration avec des particuliers, nommées « supporters ». Ces derniers collaborent avec le SRC en le soutenant dans l’accomplissement de ses tâches au sens de l’art. 6 LRens.

Dans une première phase, l’AS-Rens a analysé une question ouverte en lien avec une inspection du Contrôle fédéral des finances (CDF) dans le domaine de la collaboration du SRC avec des particuliers dans le cadre administratif. Ainsi, par un contrôle par échantillonnage, eIle a étudié un certain nombre de contrats de prestations en cours entre le SRC et différentes entreprises. La comptabilité du SRC a également été prise en compte et, par échantillonnage, des contrôles ont été effectués. Les paiements légendés, figurant également dans la comptabilité du SRC, ont été analysés. Cela a permis, dans une deuxième phase, d’élargir les recherches de l’AS-Rens au cadre opératif en se penchant sur les supporters du SRC.

L’AS-Rens a ainsi analysé la légalité des mandats attribués aux supporters en se basant sur les critères de la LRens et de l’ordonnance du 16 août 2017 sur le Service de renseignement (Ordonnance sur le renseignement, RS 121.1). EIle a également analysé l’adéquation et l’efficacité de la collaboration entre le SRC et les supporters en étudiant la gestion de portefeuille ainsi que la gestion du cycle de vie des supporters mis en place par le SRC.

Finalement, la gestion des risques a été analysée et différentes hypothèses ont été vérifiées. Le contournement de mesures de recherches soumises à autorisation (MRSA) par un mandat donné à un particulier, le comportement illicite d’un particulier, le paiement à un particulier sans prestations en contrepartie ou la collaboration avec des particuliers dont la réputation pourrait nuire au SRC sont autant d’aspects qui ont été pris en compte dans le cadre de cette inspection.

« …la vue d’ensemble du SRC sur les particuliers avec lesquels il collabore et la documentation de suivi y relative sont pertinentes. »

Selon l’AS-Rens, la vue d’ensemble du SRC sur les particuliers avec lesquels il collabore et la documentation de suivi y relative sont pertinentes. L’inspection menée démontre d’ailleurs une amélioration dans ce domaine. Toutefois, le traitement des failles de sécurité dans le cadre de collaborations avec des particuliers mérite d’être amélioré selon les constatations de l’AS-Rens. La pratique dans Ie domaine opératif en ce qui concerne certaines tâches attribuées à des particuliers peut aussi être précisée. Sans formuler de recommandations pour autant, l’AS-Rens a attiré l’attention du SRC sur ces points en formulant plusieurs invitations.

[24-4] Collaboration du SRC avec le Secrétariat d’État aux migrations (SEM)

L’AS-Rens examine si la collaboration du SRC avec le SEM et les échanges de données y relatifs respectent le cadre légal, sont efficaces et sont adéquats.

La recherche d’informations est une tâche-clé des services de renseignement qui peuvent déployer divers moyens à cet effet. L’AS-Rens accorde une attention particulière aux moyens qui portent le plus atteinte aux droits fondamentaux, par exemple à la vie privée des personnes concernées. Les inspections Opérations (OP) et Human Intelligence (Recherche d’informations par des informateurs, HUMINT), en raison des risques associés à ces activités, ont lieu au moins une fois par an. En 2024, l’AS-Rens s’est attelée aux inspections dans le domaine « Recherche d’informations » ci-après.

[23-11] Opérations, besoins de clarifications opérationnels (OPAB) et mesures de recherche soumises à autorisation (MRSA) du SRC

Les OP de renseignement et les OPAB font partie des tâches principales du SRC. Elles se distinguent par le fait qu’elles sont plus complexes que les affaires courantes et qu’elles nécessitent une conduite opérationnelle. En outre, des MRSA peuvent également être demandées dans les OP. Étant donné que la complexité des OP et des OPAB présente régulièrement des risques en termes d’efficacité et d’opportunité et que les MRSA comportent toujours un risque juridique en raison de l’atteinte à la sphère privée protégée, l’AS-Rens examine régulièrement les activités correspondantes du SRC.

En ce qui concerne l’évolution du portefeuille OP et OPAB, aucun changement significatif n’a été constaté par rapport à l’année précédente. Cela concerne aussi bien la structure quantitative que les thèmes traités. Cette année encore, le SRC s’est efforcé de conclure des OP et OPAB en cours depuis un certain temps. Du point de vue de l’AS-Rens, cette démarche est conforme aux objectifs et devrait être maintenue à l’avenir.

« Sur la base des contrôles effectués, l’AS-Rens ne dispose d’aucun indice lui permettant de conclure que les OP et les OBAP examinés ne sont pas ou n’ont pas été mis en œuvre de manière légale, efficace et adéquate. »

L’AS-Rens a vérifié la légalité, l’adéquation et l’efficacité de cinq OP et de onze OPAB. Sur la base des contrôles effectués, l’AS-Rens ne dispose d’aucun indice lui permettant de conclure que les OP et les OBAP examinés ne sont pas ou n’ont pas été mis en œuvre de manière légale, efficace et adéquate.

L’AS-Rens a également vérifié si huit MRSA approuvées et validées, trois mesures urgentes et une mesure refusée se déroulaient ou non conformément aux décisions correspondantes du Tribunal administratif fédéral (TAF). Sur la base des contrôles effectués, l’AS-Rens ne dispose d’aucun indice lui permettant de conclure que les mesures examinées n’ont pas été mises en œuvre conformément aux décisions prises dans le cadre du processus d’approbation et de validation. Rien n’indique non plus que le SRC ait mis en œuvre certaines mesures de manière illicite malgré une décision d’approbation négative.

En raison de l’impression générale positive, l’AS-Rens a renoncé à formuler des recommandations.

[23-12] Informateurs (HUMINT) du SRC

Le domaine HUMINT fait partie des activités clandestines, en ce sens que le sceau du secret en constitue la pierre angulaire. Ceci engendre des mesures de sécurité et de protection particulièrement élevées par rapport au personnel impliqué (notamment le recours à des identités d’emprunt et/ou à des légendes afin de cacher leur appartenance au SRC), aux lieux de travail (légendés), aux flux financiers légendés nécessaires afin de cacher la provenance des fonds, aux obligations de protection des sources, etc. Les risques dans ces domaines sont variés et évoluent en permanence, justifiant une inspection annuelle de l’AS-Rens.

L’AS-Rens, considérant la transformation et la réorientation stratégique du SRC, avait principalement pour objectif de faire un état des lieux du domaine HUMINT avant la transformation. Dans le cadre de l’inspection 23-12, elle s’est donc particulièrement intéressée à l’évolution du portefeuille des sources, que ce soit sous l’angle stratégique, en ce qui concerne le personnel du domaine HUMINT, les capacités de développement et d’apprentissage ou encore les projets en cours. Cette inspection a également été l’occasion d’établir un instantané du fonctionnement et des difficultés rencontrées par le domaine HUMINT avant la transformation du SRC. À cette fin, l’ensemble du personnel du domaine HUMINT a été interrogé oralement ou par écrit. Même si ces personnes sont globalement contentes de leur travail et sont très motivées, certaines difficultés préexistantes et déjà constatées par l’AS-Rens se retrouvent exacerbées par la transformation du SRC.

« D’une manière générale, le domaine HUMINT dispose des compétences, des idées, des ressources humaines et de la motivation nécessaires pour trouver des solutions aux problèmes actuels. »

L’évolution et la numérisation de la société en général sont aussi des facteurs augmentant la pression sur les domaines clandestins. Des projets en cours, comme une nouvelle formation des officiers traitants ou un nouveau système de gestion de la documentation, devraient permettre d’apporter quelques solutions. D’une manière générale, le domaine HUMINT dispose des compétences, des idées, des ressources humaines et de la motivation nécessaires pour trouver des solutions aux problèmes actuels. Deux recommandations ont été prononcées concernant la gestion du personnel et l’évaluation des renseignements fournis par les sources.

Enfin, l’inspection a permis d’établir que les dossiers sélectionnés et examinés étaient conduits conformément au droit et documentés de manière adéquate.

[23-13] Engagement d’agents virtuels (VirtA) au SRC

La menace a évolué au niveau mondial. La communication se rapportant au terrorisme et à l’extrémisme violent s’est déplacée des plateformes publiques comme Facebook aux services de communication cryptée et aux groupes fermés.

Cette nouvelle situation compromet notamment l’efficacité du monitorage du SRC sur Internet. Cet instrument, qui recourt à des identités d’emprunt virtuelles (VTI) dans le domaine du terrorisme et de l’extrémisme violent, couvre essentiellement le domaine public sans permettre l’accès aux services de communication ni aux groupes fermés. Le SRC doit donc recourir à des VirtA pour pouvoir pénétrer ces services et groupes. Les VirtA prennent contact avec des personnes cibles potentielles et gagnent suffisamment leur confiance pour pouvoir se faire une place sur ces forums fermés.

C’est pourquoi l’AS-Rens a vérifié si le cadre légal pour engager des VirtA était clairement défini et si le personnel concerné le connaissait. Elle a examiné aussi si le développement de cette méthode d’investigation et l’engagement de VirtA par le SRC étaient adéquats.

L’AS-Rens s’est assurée que le SRC disposait des conditions préalables, tant au niveau de la technique que de l’organisation, pour engager efficacement les VirtA afin d’obtenir les renseignements souhaités, autrement dit que le SRC était capable de procéder d’emblée à une évaluation correcte des chances de succès.

[24-5] Opérations, besoins de clarifications opérationnels et mesures de recherche soumises à autorisation du SRC

L’AS-Rens vérifie que les OP respectent la légalité, l’adéquation et l’efficacité au sein de la nouvelle structure d’organisation. Elle examine la légalité, l’adéquation et l’efficacité d’un certain nombre d’OP de renseignement et des OPAB. Enfin, l’AS-Rens a vérifié un certain nombre de mesures de recherche d’informations approuvées et validées en s’assurant que leur mise en œuvre correspondait bien à la décision.

[24-6] Informateurs (HUMINT) du SRC

L’AS-Rens examine deux aspects principaux. Le premier est d’assurer un suivi de l’inspection 23-12 et d’examiner comment certains aspects critiques soulevés par l’AS-Rens à cette occasion ont été intégrés et mis en œuvre par le SRC. Le second est de contrôler si la conduite de sources (informateurs et supporters) est conforme au droit et si les dossiers de conduite de sources sont documentés de manière adéquate.

Dans le domaine « Ressources », l’AS-Rens examine si les services utilisent les ressources de manière adéquate et garantissent ainsi une activité de renseignement efficace. Dans ce domaine, l’AS-Rens s’est attelée en 2024 aux inspections ci-après.

[24-7] Inventaire des technologies de l’information et de la communication (TIC) au SRC

Dans le domaine des TIC, il est important pour diverses raisons qu’une organisation garde une vue d’ensemble du matériel informatique qu’elle utilise. Cette vue d’ensemble aide à gérer les composants informatiques tout au long de leur cycle de vie et à garantir ainsi une utilisation optimale des ressources. De plus, un inventaire systématique empêche toute acquisition ou utilisation au sein de l’organisation par des personnes non autorisées. Le risque de réputation pour le SRC se double d’un risque de traitement non conforme des données en raison de l’absence de mécanismes de contrôle.

C’est pourquoi l’AS-Rens vérifie que le SRC dresse l’inventaire de son matériel informatique, qu’il utilise celui-ci de manière adéquate et efficace, et qu’il soit capable d’identifier et d’empêcher toute acquisition ou utilisation non autorisée de composants informatiques.

L’inspection ne porte pas sur le catalogue TIC complet du SRC, mais uniquement sur le matériel informatique, s’approchant d’un centre de calcul, qui est utilisé dans le contexte de la collecte et du traitement de données en lien avec les activités de renseignement.

[24-8] Gestion des incidents et des risques dans le RM

En raison de leur nature souvent clandestine, les activités de renseignement comportent des risques. Celles-ci peuvent porter en premier lieu sur l’organisation du travail, ce qui peut se traduire par exemple par une fuite involontaire d’informations et par les risques de sécurité et de réputation qui en découlent. Mais le service concerné doit aussi assumer des risques juridiques ou politiques. La gestion des risques joue ici un rôle décisif. Elle permet tout d’abord de savoir si les risques d’une organisation sont identifiés et si des mesures appropriées ont été définies pour, d’une part, réduire les risques et, d’autre part, aider à limiter les dommages qui en résulteraient en cas de réalisation. La question de savoir comment l’organisation gère les incidents qui concernent des risques déjà identifiés ou qui affectent la sécurité générale de l’organisation (gestion des incidents) joue également un rôle ici.

Une gestion des risques inexistante ou incomplète peut avoir pour conséquence qu’un service de renseignement ne puisse accomplir ses tâches de recherche d’informations que de manière limitée et perde en efficacité et en pertinence. Dans le pire des cas, les prestations du RM pour l’armée suisse ne pourraient plus être fournies.

C’est pourquoi l’AS-Rens a décidé d’examiner la gestion des risques et des incidents au sein du RM.

S’agissant de la gestion des risques, l’AS-Rens a pu constater que le RM disposait d’un aperçu complet des principaux risques. Pour être à même de traiter ceux-ci de manière optimale, le RM doit aussi les gérer activement sous la forme d’une procédure structurée. Cela implique notamment de mettre à jour les documents en vigueur et d’échanger régulièrement des informations sur l’évolution des risques et la discussion des mesures. Du point de vue de l’AS-Rens, cela n’est pas encore suffisamment le cas pour le RM, mais un changement est déjà prévu pour 2024 avec un nouveau concept de gestion des risques.

« …l’AS-Rens est arrivée à la conclusion que, lors de la révision du concept de gestion des risques, il faudrait également prévoir des scénarios d’exercice sur la manière de gérer les incidents de sécurité graves. »

En ce qui concerne la gestion des incidents, l’AS-Rens estime que le RM enregistre de manière structurée les incidents liés à la sécurité et susceptibles d’accroître ou de concrétiser les risques découlant des activités de renseignement du RM. Elle constate également que le RM traite ces incidents et en tient compte dans sa gestion des risques. En effet, jusqu’à présent, le RM n’a eu affaire qu’à relativement peu d’incidents, ce qui augmente à nouveau le risque de se laisser bercer par une apparence de sécurité. C’est pourquoi l’AS-Rens est arrivée à la conclusion que, lors de la révision du concept de gestion des risques, il faudrait également prévoir des scénarios d’exercice sur la manière de gérer les incidents de sécurité graves.

Compte tenu de la maturité de la gestion des risques, du nombre relativement faible d’incidents de sécurité mineurs et du fait que les membres du RM font preuve d’une conscience accrue des risques en raison de leur orientation militaire, l’AS-Rens a renoncé à formuler des recommandations.

Dans le domaine « Traitement des données et archivage », l’AS-Rens examine en particulier la légalité du traitement des informations étant donné la sensibilité élevée des informations traitées ainsi que l’étendue et la complexité des prescriptions légales. En 2024, l’AS-Rens s’est attelée dans ce domaine aux inspections ci-après.

[22-15] Open Source Intelligence (OSINT) au SRC

L’OSINT est un domaine de la recherche d’informations qui évolue très rapidement. Étant donné le recoupement d’un nombre illimité de données en libre accès (Open Source Information, OSINF), les possibilités de récolter des informations sont quasi infinies pour les services de renseignement. L’analyse de ces OSINF, dans le but d’en retirer des informations utiles, est désignée par OSINT. L’OSINT est une mesure de recherche non soumise à autorisation selon l’art. 13 LRens qui permet au SRC de rechercher des informations pertinentes pour le renseignement dans une grande quantité de données. L’OSINT ne cesse d’évoluer, posant des questions à la fois juridiques et éthiques au sein de la communauté internationale du renseignement, comme sa délimitation par rapport à HUMINT, notamment en ce qui concerne l’utilisation active d’identités virtuelles dans les relations avec les personnes ciblées ou l’acquisition de banques de données proposées illicitement sur Internet (leaks). Par conséquent, l’AS-Rens a décidé d’examiner le risque lié à la gestion de l’OSINT au sein du SRC.

Selon l’art. 13 LRens, on entend notamment par sources d’informations publiques : les médias accessibles au public, les registres des autorités fédérales et cantonales qui sont accessibles au public, les données personnelles que les particuliers rendent accessibles au public ou les déclarations faites en public. La délimitation entre OSINT et les MRSA n’est pas toujours évidente, et fait également l’objet de discussions avec des services partenaires du SRC et des autorités de surveillance étrangères. S’il n’y a pas de compréhension commune de ces limites, il existe un risque de collecte illicite de données. Les entretiens menés avec le personnel du secteur OSINT du SRC ont montré que les personnes concernées sont conscientes que la situation juridique est complexe. Il n’existe cependant ni critères ni directives structurées sur le cadre juridique de l’OSINT. Les mesures de recherche autorisées par le SRC dans le domaine OSINT ne font pas l’objet de règles claires et uniformes. L’AS-Rens a donc formulé une recommandation visant à ce que le cadre juridique des opérations concrètes menées lors de recherches OSINT du SRC soit défini et des règles uniformes soient fixées pour la gestion de ce domaine.

L’AS-Rens a examiné un certain nombre de recherches OSINT sans trouver la moindre trace de recherche illégale d’informations. Le SRC est légalement tenu de consigner ses propres activités au moyen d’une gestion systématique des affaires. Tous les documents ayant un rapport avec les activités du SRC doivent être enregistrés et classés dans le système de gestion des affaires (Geschäftsverwaltungssystem, GEVER). Dans quelques cas, la documentation des clarifications OSINT était lacunaire et ne correspondait pas aux directives en vigueur au sein de l’administration fédérale, empêchant l’AS-Rens d’apprécier la légalité de ces recherches. L’AS-Rens a formulé une recommandation à cet égard.

Afin de pouvoir générer de manière adéquate et efficace des informations pertinentes pour les services de renseignement à partir de l’énorme quantité de données accessibles dans le domaine public sur Internet, on recourt à ce que l’on appelle des outils OSINT. Le SRC utilise à la fois des produits commerciaux standards et des produits développés par lui-même. Grâce à ces outils, le SRC effectue un monitorage permanent et des recherches ciblées, notamment avec des VTI. Ces VTI présentent des particularités en raison de leur utilisation pour le renseignement et pourraient donc être considérées comme des cibles potentielles par d’autres services, au point de se retrouver dans la ligne de mire de services partenaires étrangers par exemple. Afin de contrer ce risque, l’AS-Rens a invité le SRC et les SRCant à s’informer mutuellement sur les VTI qu’ils utilisent.

Pour la recherche d’informations OSINT anonymisée, le SRC recourt à une infrastructure informatique spéciale qui présente des lacunes de sécurité et devrait être remplacée ou désactivée dans un avenir proche. L’AS-Rens a formulé une recommandation en conséquence.

Il n’est pas toujours facile de vérifier les résultats des recherches OSINT, en particulier lorsqu’il s’agit d’informations générées par le Darknet. Selon le SRC, entretenir une saine méfiance à l’égard des informations fait partie du travail des services de renseignement. Quand une information ne peut pas être vérifiée et que sa véracité ne peut être démontrée, cela est mentionné dans les rapports OSINT. La problématique de la vérification des sources joue, par exemple, un rôle important dans l’identification et la divulgation de fake news. Elle touche en particulier l’utilisation d’outils OSINT commerciaux complexes et fait aussi l’objet de discussions régulières au sein de la communauté du renseignement.

Outre le SRC, les SRCant effectuent aussi des clarifications OSINT. L’AS-Rens a examiné de possibles chevauchements et inefficiences. Elle est arrivée à la conclusion que les deux entités étaient sensibilisées à ces risques et veillaient à avoir des échanges réguliers sur la thématique OSINT, notamment à travers un nouveau cadre.

Le système d’information du portail ROSO (renseignements de source ouverte) permet au SRC de mettre à disposition en interne des données issues de sources accessibles au public. Pour l’AS-Rens, les actes d’inspection ont confirmé l’adéquation et l’efficacité de la gestion des données dans le portail OSINT. Il n’y avait pas de risque de prolongation illicite du délai de conservation en raison de données générées par d’autres capteurs et marquées à tort comme OSINT car les données OSINT ont un délai de conservation plus court.

[22-18] Recherche d’informations par le domaine Cyber du SRC

Les actes d’inspection sur les questions encore en suspens concernant la recherche illégale d’informations par le domaine Cyber du SRC ont pu être bouclés après avoir requis un investissement considérable en temps. Compte tenu de la difficulté à rédiger ce rapport, seul le processus de consultation à son sujet a pu être lancé avant la clôture de la rédaction du rapport d’activités. Les faits et les résultats de l’inspection n’ont donc pas encore été finalisés. L’AS-Rens prévoit de publier le résumé de cette inspection en 2025 sur son site web et d’en rapporter plus en détails dans le prochain rapport d’activités.

[23-16] Systèmes d’information, systèmes de stockage et stockage des données en dehors du cadre de l’art. 47 LRens

Depuis sa création, l’AS-Rens contrôle chaque année les systèmes d’information du SRC. Le traitement des données est la base de l’activité du service de renseignement. Si le traitement des données n’est pas correct et les données ne sont pas mises à la disposition des personnes chargées d’analyser et d’évaluer la situation en matière de politique de sécurité, l’accomplissement des tâches du SRC peut en être affecté. Avec la création de la LRens, les systèmes d’information qui servent au SRC pour ses activités de renseignement ont été pour la première fois règlementés en un seul endroit, à savoir l’art. 47 LRens.

Au cours de son activité de contrôle, l’AS-Rens a constaté qu’il existait d’autres systèmes d’information que ceux énumérés à l’art. 47 LRens. L’exhaustivité de cette liste au sens de l’art. 47 LRens a déjà fait débat lors de la création de la LRens. L’AS-Rens a voulu clarifier cette question juridique et est arrivée à la conclusion que l’exhaustivité existe en ce qui concerne les données relatives aux activités de renseignement au sens strict. Celles-ci doivent en effet être stockées dans l’un des systèmes d’information prévus à l’art. 47 LRens.

L’AS-Rens a alors cherché à savoir quels autres systèmes étaient utilisés et pour quelles raisons, et si les bases légales étaient suffisantes. Elle arrive à la conclusion que les bases légales pertinentes autorisaient l’utilisation des autres systèmes et banques de données inventoriés.

« Cette inspection a permis de constater que la vue d’ensemble sur les systèmes exploités en dehors de l’art. 47 LRens doit être actualisée et entretenue correctement, et qu’elle doit également être partagée entre la direction, le contrôle qualité et les équipes techniques afin de garantir la faisabilité des contrôles et la gestion adéquate de la conservation des données. »

Toutefois, étant donné l’abondance de systèmes exploités par le SRC, il est nécessaire d’assurer une gestion complète et correcte de chacun d’entre eux. Il convient en particulier d’en avoir une vue d’ensemble correcte et actuelle afin d’assurer à tout moment que le traitement de données respecte les dispositions légales. Cette inspection a permis de constater que la vue d’ensemble sur les systèmes exploités en dehors de l’art. 47 LRens doit être actualisée et entretenue correctement, et qu’elle doit également être partagée entre la direction, le contrôle qualité et les équipes techniques afin de garantir la faisabilité des contrôles et la gestion adéquate de la conservation des données. À ce sujet, l’AS-Rens a formulé une recommandation.

[24-9] Échantillonnage dans le système d’information et d’analyse intégrale de l’application Allsource Control (IASA-ICC)

L’AS-Rens utilise des échantillons et des interviews pour contrôler la légalité, l’adéquation et l’efficacité des données contenues dans le système IASA-ICC.

[24-10] Consultations de systèmes d’information de tiers par le SRC

L’AS-Rens examine la légalité et l’adéquation des accès à certains systèmes d’information de tiers et des demandes de renseignement correspondantes par le SRC.