François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Quelques points noirs de la LRens

15/09/2016 6 Min. lecture Opinions François Charlet

Après mon (très) long article sur le caractère pernicieux de l’aphorisme “je n’ai rien à cacher”, je vous propose aujourd’hui de prendre quelques articles de la Loi fédérale sur le renseignement (LRens). Les Suisses voteront le 25 septembre 2016 pour accepter ou refuser cette loi.

À l’instar des votations sur les minarets et sur l’immigration de masse, les défenseurs de la LRens se servent de la peur de la population, le terrorisme étant leur argument principal. Très peu d’entre vous vont lire ce que contient la LRens. Je vous propose donc de faire un court passage en revue de ce qui pose problème, à mon avis.

Enregistrement des signaux transfrontaliers

L’article 39 LRens prévoit que le Service de renseignement de la Confédération (SRC) pourra charger un service d’enregistrer les signaux transmis par le réseau filaire qui traversent la frontière suisse.

Vous vous dites donc que lorsque vous enverrez un email à votre collègue de bureau, à votre femme, à un client zurichois, l’email passera de votre ordinateur à celui du destinataire sans quitter la Suisse. C’est faux. Même en utilisant des services de messagerie suisses, vous ne contrôlez pas le flux de données et votre email peut tout à fait faire trois fois le tour de la Terre avant d’arriver à sa destination si les routeurs et autres infrastructures réseau l’aiguillent de la sorte. (Plus d’infos sur le routage)

L’article 39 précise que si l’émetteur et le destinataire se trouvent en Suisse, le signal ne pourra être utilisé. Mais il sera quand même enregistré, puisque le SRC part à la pêche.

L’article 42 décrit brièvement la mise en œuvre de la procédure. D’abord il enregistre, ensuite il fait un premier tri sur la base mots-clés, et enfin il fouille dans les données. Autrement dit, on tire d’abord, on vise ensuite, et on réfléchit après.

Protection des sources et du secret professionnel

Vu ce qu’il vient d’être dit ci-dessus, il ne fait aucun doute que des communications soumises au secret professionnel ou ayant lieu entre un représentant des médias et une source seront enregistrées par le SRC. Heureusement, si j’ose dire, les articles 21 et 35 garantissent le secret professionnel et la protection des sources.

Si les avocats, médecins, notaires, psychologues, etc. communiquent avec leurs clients/patients par email, il est plus que temps de se servir d’une messagerie sécurisée, ou de renoncer à ces emails si leurs clients/patients n’utilisent pas une méthode de chiffrement de bout en bout. Il en va de même pour les journalistes (mais ils sont en principe mieux informés que les premiers mentionnés).

Sans chiffrement des communications, il ne peut y avoir de secret professionnel et de protection des sources.

Peu de transparence

Alors que le Bundesnachrichtendienst (BND, l’équivalent allemand du SRC) avait entamé diverses actions visant à instaurer plus de transparence au BND et à l’astreindre à plus de contrôle parlementaire, la Suisse fait l’inverse avec sa nouvelle loi.

L’article 67 LRens prévoit que la Loi fédérale sur la transparence ne s’appliquera pas à l’accès aux documents officiels portant sur la recherche d’informations. Ce secret sur les documents touchant la recherche d’informations me rappelle l’affaire des fiches.

Grâce à cette disposition, on tient le public et les médias à l’écart.

Communication à des tiers et à l’étranger

Les données personnelles (on ne sait pas de qui, par qui ni comment elles ont été obtenues) pourront être communiquées à des tiers selon l’article 62. Mais on ne sait pas qui sont ces tiers. Cette disposition précise d’ailleurs qu’il faut respecter certaines conditions pour communiquer ces données personnelles à un tiers. L’une de ces conditions est le consentement de la personne concernée. Si je suis surveillé à mon insu, comment puis-je consentir à une communication de mes données personnelles ?

De manière similaire, le SRC sera en mesure de communiquer des données personnelles à l’étranger, en particulier à des autorités étrangères (article 61), même si ces autorités n’offrent pas un niveau de protection adéquat.

Problème d’impartialité

Lorsque le SRC veut mettre en œuvre une certaine mesure, il devra en principe demander son autorisation au Tribunal administratif fédéral (TAF ; article 29 LRens).

C’est aussi le TAF qui statuera sur les divergences d’opinions entre le SRC et une entité n’appartenant pas à l’administration fédérale (article 22).

Le TAF pourra autoriser le report de l’information à la personne qui a fait l’objet d’une mesure ou la dérogation à l’obligation d’informer cette personne (article 33).

C’est encore le TAF qui autorisera la recherche et l’exploration du réseau câblé (article 41).

Il s’était chargé, le cas échéant et après l’examen du préposé fédéral à la protection des données, de vérifier que les données personnelles sont traitées conformément à la loi (article 65).

Enfin, c’est au TAF qu’il reviendra de connaître des recours contre les décisions rendues par une autorité fédérale sur la base de la LRens. Ses décisions pourront ensuite être portées devant le Tribunal fédéral (article 83).

Le TAF est partout. Les défendeurs de la LRens brandissent la protection octroyée aux citoyens sous la forme d’un contrôle judiciaire renforcé. C’est louable. Il reste toutefois à déterminer s’il sera indépendant, impartial et courageux. Le TAF osera-t-il refuser une autorisation au SRC ? Qu’en est-il de son impartialité lorsqu’il devra trancher sur recours une décision qui fait suite à une mesure qu’il a lui-même autorisée ?

Autorité indépendante de surveillance

L’article 76 prévoit la création d’une autorité indépendante de surveillance du SRC, dont le chef sera nommé par le Conseil fédéral pour six ans, reconductibles tacitement. Selon l’article 77, cette autorité se constitue elle-même, autrement dit il reviendra au chef de choisir son personnel. Là aussi, l’indépendance de cette autorité peut être mise en doute.

Accès à distance aux données

En vertu de l’article 78, l’autorité susmentionnée pourra accéder à tous les systèmes d’information et à tous les fichiers des entités soumises à sa surveillance. Elle pourra aussi accéder en ligne aux données sensibles.

Si je comprends bien cette disposition, les serveurs du SRC seront donc connectés à Internet, y compris ceux où des données sensibles seront stockées, afin que l’autorité de surveillance puisse y accéder. D’abord, je ne vois pas en quoi un accès à distance est nécessaire, et ensuite cela constitue à mon avis un risque sécuritaire très important. J’espère que nos autorités en sont conscientes…

Ordonnances du Conseil fédéral

Enfin, là où le bât blesse, c’est la latitude offerte au Conseil fédéral pour édicter quantité d’ordonnances d’application, ordonnance qui ne seront pas soumises au vote du peuple, ni même du Parlement fédéral.

Conclusion

Pour ces quelques raisons seulement, il faut refuser cette LRens et envoyer un message au Parlement fédéral et au Conseil fédéral afin qu’ils comprennent que, si la sécurité est importante, elle doit être mise en œuvre dans des limites acceptables que cette LRens ne respecte pas. Nos autorités nous demandent de leur faire confiance, mais les exemples ne manquent pas pour montrer que les abus sont systématiques en matière de renseignement. Malgré le climat international actuel, la LRens ne convainc pas, menace l’équilibre entre “sécurité” et liberté et pose des problèmes avec plusieurs principes fondamentaux de l’état de droit.

La LRens, et la surveillance en général, n’ont pas grand-chose à voir avec la prévention du terrorisme (le peut-on ?) et la sécurité de l’État. Elles concernent le pouvoir et le contrôle. Il est donc important de réfléchir longuement à qui on les confie.