Économie

Le SRC n'a pas enfreint la loi, conclut une enquête

12.12.2022 11h00

Le SRC n'a pas enfreint la loi, conclut une enquête

Les mesures de surveillance concernant des pirates informatiques ne sont autorisées qu'avec l'approbation du Tribunal administratif fédéral (image d'illustration).

Photo: KEYSTONE/STR

L'enquête administrative ouverte en début d'année contre le Service de renseignements de la Confédération (SRC) est close. Ce dernier n'a pas enfreint la loi de manière fautive, mais a mal interprété la situation juridique, a annoncé lundi devant la presse le DDPS.

L'enquête a porté sur l'acquisition d'informations sans autorisation formelle par le SRC de 2015 à 2020. Le domaine cyber du SRC avait obtenu des informations soumises au secret des télécommunications à propos d'éventuelles cyberattaques. Les mesures de surveillance concernaient des pirates informatiques qui ciblaient la Suisse, des intérêts suisses ou des installations étrangères à partir de la Suisse.

Or de telles mesures sont soumises à autorisation en vertu de la loi sur le renseignement et ne sont autorisées qu'avec l'approbation du Tribunal administratif fédéral. Une telle autorisation n'a pas été demandée.

Au sein du SRC, le domaine cyber a pour mission d'identifier et d'empêcher à un stade précoce les cyberattaques contre les systèmes informatiques.

La direction du SRC avait suspendu les acquisitions après avoir reçu les premières informations sur d'éventuelles irrégularités. Fin avril 2021, il avait lancé des investigations approfondies. En janvier 2022, le DDPS a informé le Conseil fédéral et les autorités de surveillance.

Omission

L'enquête mandatée par le Département fédéral de la défense (DDPS) et menée par l'ancien juge fédéral Niklaus Oberholzer montre que le SRC n'a pas enfreint de manière fautive les dispositions de la loi fédérale sur le renseignement (LRens). Il a en revanche mal interprété la situation sur le plan juridique, en omettant de tenir compte de certaines dispositions légales relatives aux télécommunications lors de l'acquisition et du traitement des données.

Il a manqué aussi bien l'autorisation d'un juge que le feu vert politique, ce qui a conduit à la collecte illégale de données, explique Niklaus Oberholzer à Keystone-ATS.

D'un côté, il y avait le chef du domaine cyber, 'techniquement compétent, performant et innovant' et qui a pratiquement monté lui-même l'affaire. De l'autre côté, il y avait les supérieurs et la direction qui n'ont pas regardé de plus près. C'est cette combinaison qui a rendu possible les fautes, poursuit M. Oberholzer.

Le rapport d'enquête propose diverses recommandations quant à la suite de la procédure. La cheffe du DDPS Viola Amherd a chargé le SRC de les examiner et de les mettre en œuvre.

Afin de remédier aux problèmes de gestion également mis en évidence, des mesures seront prises ces prochains mois dans le cadre de la transformation du SRC.

Secret

Le rapport final est classé secret, car il contient des informations provenant de sources classées comme telles. Il décrit aussi les besoins spécifiques en matière d'information ainsi que les méthodes d'acquisition et de traitement du SRC pour la défense contre les cyberattaques.

Pour ces raisons, le DDPS publie un condensé des résultats essentiels et un extrait des recommandations et de l'appréciation juridique. Le rapport final a été remis aux autorités de surveillance que sont la délégation des commissions de gestion et l'Autorité de surveillance indépendante des activités de renseignement.

/ATS