Contenu

TF : pas de protection juridique efficace contre la surveillance de masse de la LRens ?

Merci la CEDH et la CourEDH.

Le Tribunal fédéral a rendu un arrêt (TF, 1C_377/2019) le 1er décembre 2020 suite à un recours déposé contre un arrêt du Tribunal administratif fédéral (TAF, A-6143/2017). Cet arrêt sera publié aux ATF et est essentiel concernant les droits fondamentaux, la protection des données et l’exploration radio et du réseau câblé (ci-après : l’exploration) mise en œuvre par le Service de Renseignement de la Confédération (SRC).

Faits (résumé)

En 2017, l’association Digitale Gesellschaft et des personnes privées ont demandé au SRC

  • qu’il cesse l’exploration (cf. art. 38 ss LRens),
  • qu’il les informe si leurs communications ont fait l’objet d’une telle exploration, et de quelle manière.

Ils ont indiqué que cette exploration viole

  • leurs droits fondamentaux (not. le droit à la vie privée ; art. 13 Cst et art. 8 CEDH),
  • pour les journalistes, le droit à la liberté des médias et à la protection des sources (art. 17 Cst et art. 10 CEDH), et
  • pour les avocats, le secret professionnel.

Le SRC a répondu qu’il ne pouvait pas cesser l’exploration, car ce sont des tâches qu’il doit réaliser en vertu de la LRens, loi adoptée par le Parlement et approuvée par le peuple suisse en votation populaire.

Ils ont fait recours au TAF en demandant à ce que le SRC statue sur leurs demandes ou transmette l’affaire à une autorité compétente pour statuer au fond.

Le SRC a indiqué au TAF qu’aucun des recourants ne figurait dans ses bases de données relatives à l’exploration, et que les restrictions des droits fondamentaux invoquées par les recourants étaient légales et conformes aux exigences de l’art. 36 Cst.

Le TAF a rejeté le recours en 2019, les recourants ont alors déposé un recours de droit public contre la décision du TAF, en demandant au TF d’annuler la décision du TAF et d’ordonner au SRC qu’il statue sur leurs demandes ou transmette l’affaire à une autorité compétente pour statuer au fond.

Décision du TF

Fonctionnement de l’exploration

Le TF commence par rappeler que la LRens distingue les opérations soumises à autorisation (art. 13 ss LRens) et celles qui en nécessitent une (art. 26 ss LRens) lorsqu’elles ont lieu sur le territoire suisse. Les règles relatives aux opérations à l’étranger sont soumises à des règles différentes (art. 38 ss LRens), en ce sens qu’elles sont mises en œuvre sans qu’une autorisation ne soit nécessaire et sous la responsabilité propre du SRC, à l’exception de l’exploration du réseau câblé.

Conformément à l'art. 38 LRens, pour l’exploration radio, la Confédération peut se doter d’un service d’enregistrement des ondes électromagnétiques émanant de systèmes de télécommunication qui se trouvent à l’étranger (en particulier les satellites de télécommunication et les émetteurs à ondes courtes). Cette exploration permet de rechercher des informations importantes en matière de politique de sécurité sur des évènements se produisant à l’étranger. Le Centre des opérations électroniques (COE) de l’armée suisse est compétent pour l’exploration radio (art. 1 de l'Ordonnance sur la guerre électronique et l’exploration radio, OGE). En vertu de l’art. 3 OGE, le SRC et le Service de renseignement de l’armée peuvent donner des mandats d’exploration radio au COE ; ceux-ci ne sont soumis à aucune autorisation ni à aucun délai légal, contrairement aux mandats d’exploration du réseau câblé.

Toujours selon l’art. 38 LRens, le COE transmet au SRC les informations sur les évènements à l’étranger qui sont importants pour la politique de sécurité. Les informations sur les évènements en Suisse doivent être transmises si elles indiquent une menace concrète pour la sécurité intérieure. Dans le cas contraire, les données relatives aux personnes et aux évènements en Suisse qui ont été identifiées comme telles doivent être immédiatement détruites (art. 5 OGE). Toutefois, les informations sur les personnes en Suisse peuvent être transmises de manière anonyme si elles sont nécessaires à la compréhension d’un évènement à l’étranger.

L’exploration du réseau câblé consiste à enregistrer les signaux transmis par réseau filaire qui traversent la frontière suisse, afin de rechercher des informations sur des évènements importants en matière de politique de sécurité se produisant à l’étranger ou de sauvegarder d’autres intérêts nationaux importants (art. 39 LRens). Elle concerne donc principalement le trafic Internet transmis par des câbles de télécommunications internationaux. Le SRC doit obtenir une autorisation du TAF et du chef du DDPS pour la mettre en œuvre (art. 40 LRens) ; cette autorisation est valable six mois, prolongeable une fois de trois mois (art. 41 LRens).

Les exploitants de réseaux câblés et les opérateurs de télécommunications ont l’obligation de fournir au SRC et au service chargé de l’exploration (le COE, art. 26 ORens) les indications techniques nécessaires à la mise en œuvre de l’exploration du réseau câblé, de fournir les signaux au service chargé de l’exploration dès que le chef du DDPS a donné son aval à l’exécution du mandat de recherche ; ils doivent en outre supprimer les chiffrements qu’ils ont opérés et maintenir secret le mandat de recherche (art. 43 LRens).

Le COE n’a pas le droit d’utiliser des indications relatives à des ressortissants ou à des personnes morales suisses comme mots-clés de recherche ; en outre, si tant l’émetteur que le récepteur se trouvent en Suisse, il est interdit d’utiliser les signaux enregistrés (art. 39 LRens). Il ne transmet au SRC que les données qui contiennent des informations correspondant aux mots-clés de recherche définis dans le mandat. Il ne lui transmet des informations relatives à des personnes qui se trouvent en Suisse que si elles sont nécessaires à la compréhension d’un évènement se produisant à l’étranger et qu’elles ont été anonymisées, ou lorsque les données contiennent des informations sur des évènements se produisant en Suisse ou à l’étranger qui peuvent constituer une menace concrète pour la sureté intérieure, auquel cas les données ne sont pas anonymisées (art. 42 LRens).

Le SRC doit vérifier la pertinence et l’exactitude des données personnelles qui lui sont transmises avant de les enregistrer dans ses bases de données (art. 45 LRens). Il doit respecter les principes applicables à la recherche d’informations (art. 5 LRens) ; notamment, il ne recherche ni ne traite aucune information relative aux activités politiques ou à l’exercice de la liberté d’opinion, d’association ou de réunion en Suisse, sauf lorsqu’il dispose d’indices concrets laissant présumer qu’elle utilise ses droits pour préparer ou exécuter des activités terroristes, des activités d’espionnage ou des activités relevant de l’extrémisme violent (cf. art. 72 LRens).

Les informations qui ne sont pas nécessaires au mandat sont détruites dès que possible par le COE, mais au plus tard au terme du mandat d’exploration du réseau câblé concerné ; les communications et les données de liaison sont effacées au plus tard 18 mois, respectivement 5 ans, après leur enregistrement (art. 38 LRens, art. 28 ORens, art. 4 OGE).

À la fin d’une opération de surveillance impliquant des mesures de recherche soumises à autorisation (i.e. l’exploration du réseau câblé, mais pas l’exploration radio), le SRC informe la personne surveillée dans un délai d’un mois des motifs, du type et de la durée de la surveillance à laquelle elle a été soumise (art. 33 LRens).

Selon l'art. 79 LRens, une autorité de contrôle indépendante, interne à l’administration, vérifie la légalité de l’exploration radio et surveille l’exécution des missions d’exploration du réseau câblé autorisées et avalisées. Elle accomplit ses tâches sans être liée par des instructions. Le SRC est soumis à la surveillance d’une autorité de surveillance indépendante (art. 76 LRens), ainsi qu’aux Délégations des Commissions de gestion et des finances du Parlement fédéral.

Premier grief

Les recourants souhaitaient que le traitement de leurs demandes au fond soit effectué par le SRC ou une autre autorité compétente. Le TAF avait refusé, car selon lui le recours n’était pas dirigé contre des mesures spécifiques de surveillance, mais contre la LRens elle-même ; les recourants cherchaient donc un examen abstrait de la LRens. Le TAF n’a pas non plus retenu un intérêt digne de protection selon l'art. 25a PA.

Le TF valide ce raisonnement, indiquant au surplus que la LPD et les art. 63 ss LRens prévoient une procédure pour accéder aux données personnelles détenues par le SRC, procédure dans laquelle les recourants pourraient invoquer des violations de leurs droits fondamentaux.

Deuxième grief

Allégations des recourants

Les recourants affirment que l’existence même de l’exploration affecte leurs droits fondamentaux. Il s’agit selon eux d’une surveillance massive et indifférenciée des flux de données transfrontaliers, qui affecte potentiellement aussi leur trafic de données. Cette surveillance restreint leur comportement de communication et leur liberté de mouvement. En effet, ceux qui doivent s’attendre à être constamment surveillés auront tendance à moins utiliser la possibilité de communiquer et de s’informer par des canaux électroniques (“chilling effect”). Les journalistes et avocats doivent pouvoir effectuer des recherches et contacter d’autres personnes sans être surveillés, dans le respect de la protection des sources et du secret professionnel.

Ils ajoutent que les dispositions de la LRens sur la non-utilisation des communications nationales et sur l’anonymisation des informations sur les personnes en Suisse n’offrent pas une protection efficace. Les communications électroniques entre des personnes en Suisse par l’intermédiaire d’un fournisseur situé à l’étranger seraient couvertes par la surveillance.

Enfin, les personnes concernées n’apprennent donc - si tant est qu’elles apprennent - qu’avec un retard considérable que leurs données ont été enregistrées, traitées et stockées, ce qui limite l’efficacité de la protection juridique contre l’exploration. Il est certes possible de demander un contrôle au Préposé fédéral à la protection des données et à la transparence (PFPDT), mais il répond toujours de la même manière, à savoir qu’aucune donnée personnelle n’est traitée illégalement, ou qu’il a constaté une erreur relative au traitement des données ou relative au report de la réponse et qu’il a adressé au SRC la recommandation d’y remédier (cf. art. 64 al. 2 LRens). La personne concernée n’est pas informée de la recommandation du PFPDT et de sa justification, et ne peut pas consulter le dossier. Elle ne peut donc pas agir efficacement devant le TAF.

Base juridique pertinente

Selon l’art. 25 PA, toute personne qui a un intérêt digne de protection peut exiger que l’autorité compétente pour des actes matériels fondés sur le droit public fédéral et touchant à des droits ou des obligations (a) s’abstienne d’actes illicites, cesse de les accomplir ou les révoque, (b) élimine les conséquences d’actes illicites, ou (c) constate l’illicéité de tels actes. Selon le TF, le droit à l’obtention d’une décision selon l’art. 25a PA n’existe pas si la législation a explicitement exclu la protection juridique contre l’acte en question ou si une protection juridique suffisante est possible par d’autres moyens (ATF 146 V 38).

Le TF indique que cette protection juridique peut être trouvée du côté de l'art. 25 LPD. Il constate que le traitement des données est généralement un acte matériel, et que l’art. 25 LPD et l’art. 25a PA ont un but et une formulation semblable. Tous deux exigent un intérêt digne de protection, qui découle ici du traitement de données personnelles par une autorité et qui affecte le droit à l’autodétermination informationnelle, selon lequel toute personne a le droit de déterminer si et dans quel but des informations la concernant sont traitées et conservées (ATF 144 I 126).

Les deux normes donnent droit à différents remèdes ; toutefois, les conséquences juridiques de l’art. 25 LPD sont adaptées aux spécificités de la protection des données, raison pour laquelle il doit donc être appliqué en l’espèce.

Art. 25 LPD

Analysant les conditions pour introduire un recours selon l’art. 25 LPD, le TF rappelle que l’intérêt digne de protection peut faire défaut s’il est déjà certain que les données personnelles en question ne seront pas ou plus traitées par l’autorité. Cependant, les demandes des recourants ne sont pas dirigées contre des mesures spécifiques les concernant, mais contre l’ensemble du système d’exploration. Le TF se demande si de telles demandes sont admissibles ou si elles équivalent à un contrôle abstrait (inadmissible en droit suisse) de la loi.

Le TF relève que les recourants sont potentiellement affectés par l’exploration. Cependant, ils ne sont pas spécifiquement ou plus intensément touchés par cette mesure, mais sont touchés de la même manière que tous les autres utilisateurs d’Internet. En revanche, les journalistes et avocats sont plus particulièrement touchés. Dans le cas d’une surveillance de masse (mise en œuvre sans soupçon), il existe un risque que les communications de journalistes et avocats, qui sont particulièrement confidentielles, soient également enregistrées et analysées, du moins si aucun ordre, procédure et contrôle spécial n’est prévu pour leur protection. Il peut en résulter un “chilling effect”, car les journalistes et les avocats ne font plus confiance à la confidentialité de leurs communications électroniques avec leurs sources ou leurs clients (cf. CourEDH, affaire Big Brother Watch c. Royaume-Uni). À cet égard, il existe un besoin particulier de protection qui est distinct de l’intérêt du grand public.

Pour le TF, les questions soulevées peuvent être laissées ouvertes si tous les recourants (indépendamment de l’existence d’un secret professionnel) peuvent tirer de l’art. 13 CEDH un droit au traitement de leur demande sur le fond.

Art. 8, 13 et 34 CEDH

En ce qui concerne les mesures de surveillance secrète, le droit à une protection juridique effective peut être limité ou reporté si et aussi longtemps que des intérêts supérieurs en matière de secret le justifient et que le système de surveillance dans son ensemble est compatible avec l’art. 8 CEDH. Il convient d’examiner si la loi prévoit des garanties adéquates et efficaces contre les abus, en tenant compte non seulement des garanties matérielles (portée, durée et nature des mesures de surveillance, conditions pour les ordonner, etc.), mais aussi des possibilités de contrôle et de recours disponibles au niveau national et de leur efficacité (ATF 138 I 6).

En vertu de l’art. 34 CEDH, toute personne qui allègue raisonnablement qu’un droit reconnu par la CEDH a été violé est habilitée à introduire une requête individuelle auprès de la Cour européenne des droits de l’homme. En principe, il faut que la personne soit directement concernée par un acte d’exécution, l’art. 34 CEDH ne permettant généralement pas de former un recours contre une loi in abstracto au motif qu’elle viole la CEDH. Toutefois, des exceptions à ce principe sont autorisées, notamment dans le cas de mesures de surveillance secrètes. L’objectif est de donner aux plaignants la possibilité de saisir la CourEDH s’ils ne sont pas en mesure de préciser une mesure concrète qui les concerne personnellement en raison du caractère secret des mesures contestées. Pour la CourEDH, s’il n’existe pas de moyen de recours effectif au niveau national, toute personne entrant dans le champ d’application de la loi a la possibilité de faire appel à la CourEDH sans même avoir à alléguer qu’elle a été la victime spécifique de mesures de surveillance. Si, en revanche, il existe un recours efficace, les plaignants doivent démontrer qu’il existe une probabilité suffisante d’être exposé au risque d’une telle surveillance.

Appliquant ces principes au cas d’espèce, le TF déduit que les recourants invoquent à juste titre une violation de leurs droits fondamentaux protégés par la CEDH et par la Constitution fédérale. Étant donné que des ondes radio et de larges flux données sont enregistrés avec l’exploration, il existe un risque que les données des recourants soient également traitées. Le fait que des “résultats” soient obtenus lors de la recherche de ces données et que les informations soient transmises au SRC et stockées dépend des termes de recherche utilisés et ne peut être exclu dès le départ. Même si ce n’est pas le cas, c’est-à-dire que les données ne sont que temporairement stockées ou même immédiatement effacées par le COE, l’enregistrement et la recherche de données constituent déjà une ingérence pertinente pour les droits fondamentaux, qui atteint l’intensité minimale requise par les articles 13 et 8 CEDH.

Ainsi, il existe une probabilité probabilité raisonnable que les données des recourants soient affectées par l’exploration, raison pour laquelle il faut en principe affirmer leur “qualité de victime” au sens des art. 13 et 34 CEDH.

Contestation des mesures de surveillance

Le TF rappelle qu’il doit appliquer les lois fédérales et le droit international (art. 190 LF) ; il doit donc appliquer les lois qui ne peuvent être interprétées conformément à la Constitution et ne peut qu’inviter le législateur à modifier la disposition en question. Toutefois, en cas de conflit entre le droit fédéral et le droit international, l’obligation de la Suisse en vertu du droit international l’emporte généralement et la législation fédérale qui est régulièrement en conflit avec le droit international reste inapplicable.

Dans son arrêt, le TAF a évoqué la possibilité pour les recourants d’introduire une demande en vertu de l’art. 8 LPD et d’obtenir ensuite la protection juridique de l’art. 25 en lien avec l’art. 33 LPD. Le TF n’est pas convaincu par ce raisonnement, car les mesures liées à l’exploration sont secrètes et ne sont pas non plus divulguées par la suite aux personnes concernées.

Conformément à l’art. 63 LRens, l’accès aux données est différé s’il existe des intérêts prépondérants pour le maintien de la confidentialité, au maximum jusqu’à la fin de la période de conservation des données. Cela peut prendre plusieurs décennies (le Tf cite l’exemple de l'art. 21 OSIS-SRC qui prévoit une durée de conservation allant jusqu’à 45 ans).

En outre, même après que l’intérêt de l’autorité pour le secret a expiré, une demande d’information au SRC ne peut essentiellement être utilisée que pour savoir si le SRC stocke les données d’une personne dans ses systèmes d’information. Il n’est pas certain que l’origine des données stockées (provenant de l’exploration) soit également divulguée - ce qui serait toutefois une condition préalable à l’exercice de droits ultérieurs en raison d’un traitement illicite de données dans le cadre de ladite exploration. Selon l’art. 8 LPD, les informations à fournir comprennent les “informations disponibles” sur l’origine des données. Il faudrait pour cela que toutes les informations provenant de l’exploration soient marquées comme telles lorsqu’elles sont saisies dans les systèmes d’information du SRC.

En tout état de cause, les données stockées dans les systèmes d’information du SRC ne représentent vraisemblablement qu’une fraction des données collectées dans le cadre de l’exploration et recherchées, filtrées et traitées d’une autre manière par le COE. D’ailleurs, adresser la demande d’information au COE (ou au SRC sur les données enregistrées au COE) ne serait d’aucune utilité, car les données qui y sont traitées (si elles sont encore disponibles) ne sont généralement pas encore ventilées par personne et ne peuvent donc pas être retrouvées.

Le TF est de l’avis que le droit indirect à l’information en vertu de l’article 64 LRens ne garantit pas en soi une possibilité de recours effective au titre de l’art. 13 CEDH, mais qu’il représente un mécanisme de contrôle objectif qui peut compenser partiellement le report du droit de recours. Toutefois, il ne semble pas garanti que le contrôle du PFPDT et du TAF s’étende au traitement des données dans le cadre de l’exploration.

Conclusions du TF

Dans ces circonstances, il n’est pas possible pour les recourants de contester les mesures spécifiques d’exploration qui les concernent.

Contrairement à l’avis du TAF, le TF considère qu’il ne s’agit pas d’un contrôle abstrait de la loi. L’objet de l’examen n’est pas la loi en tant que telle, mais la collecte présumée de données des recourants dans le cadre de l’exploration. La question n’est donc pas de savoir si les dispositions de la LRens sur l’exploration pourraient être conformes à la Constitution fédérale et la CEDH, mais si le traitement (présumé) des données des recourants lors de l’exploration viole leurs droits fondamentaux. À cet égard, il convient de tenir compte non seulement de la base juridique, mais aussi de toute directive ou ligne directrice interne, de la pratique effective de mise en œuvre du SRC et du COE, et de la pratique de contrôle effective des autorités de contrôle.

Le TF rappelle qu’il revient aux tribunaux nationaux d’examiner minutieusement les systèmes de surveillance de masse. Sans un tel examen qui tient compte également des documents confidentiels relatifs à la pratique et à l’exécution de la surveillance, il est impossible pour la CourEDH de contrôler la conformité de ces systèmes avec la CEDH. Les tribunaux nationaux doivent aussi entreprendre la difficile mise en balance des intérêts en jeu avant qu’ils ne soient examinés par la CourEDH.

Le TF donne raison aux recourants, qui ont donc droit à une évaluation au fond de leur demande d’arrêt de l’exploration (en tant que seul moyen efficace d’assurer une protection efficace de leurs droits fondamentaux). Cette évaluation incombera au TAF.

Commentaire

Cet arrêt ne révolutionne rien, mais il reste fondamental. Notre plus haute juridiction fait siennes, dans le cadre de la nouvelle LRens, des dernières décisions de la CourEDH en matière de surveillance de masse, et les applique à l’ordre juridique suisse. Il en découle une décision de principe qui donnera un travail considérable au TAF pour analyser l’intégralité du système de surveillance lié à l’exploration, et mettre en balance l’intérêt à la sécurité et le droit à la vie privée.

Il ne fait aucun doute qu’une fois la nouvelle décision du TAF rendue, celle-ci fera l’objet d’un recours au TF puis à la CourEDH.