Les formulaires dévoilés, mercredi, par l'organe de protection des données Société numérique, donnent un aperçu saisissant des pratiques de surveillance en Suisse. Ils décrivent les ordres de contrôle que les services de renseignement, la police et les ministères publics peuvent passer à l'autorité de surveillance, le Service surveillance de la correspondance par poste et télécommunication (SCPT): écouter les conversations téléphoniques, lire les e-mails, intercepter le courrier, jusqu'à la «recherche d'antennes». Il s'agit d'identifier tous les smartphones connectés à telle ou telle antenne de téléphonie mobile pendant une certaine période.
Les défenseurs des données de Société numérique critiquent, en particulier, la «recherche d'antennes». Ce type de démarche, bien connu, figure au catalogue, autrement dit dans lesdits formulaires. Erik Schönenberger, directeur de Société numérique, explique:
En fait, les lois sur la surveillance sont conçues de manière à ce que les personnes déjà suspectes puissent être surveillées. Dans le cas de la recherche d'antennes, en revanche, «on cherche des suspects dans un grand bassin de données», reproche Erik Schönenberger. Cette recherche par quadrillage a été ordonnée plus de 6000 fois dans toute la Suisse au cours des trois dernières années. Et ce, bien qu'il manque «une base légale formelle dans la loi sur la surveillance (LSCPT) pour cette mesure empreinte d'une certaine gravité», écrivent les défenseurs des données.
Grâce aux formulaires désormais disponibles, les enquêteurs peuvent également demander rétroactivement aux fournisseurs d'accès des renseignements permettant d'identifier les utilisateurs d'Internet et de téléphonie mobile. Pour satisfaire à cette obligation de renseignement, les fournisseurs d'accès enregistrent les serveurs web visités. Ce qui permet au passage de tirer des conclusions sur les comportements de navigation.
Le Préposé fédéral à la protection des données (PFPD) s'est toujours prononcé contre l'enregistrement du comportement de navigation lors de la procédure de consultation relative à la révision de la loi sur la surveillance (LSCPT), mais il n'a pas obtenu gain de cause.
Cette manière de conserver des données n'est pas prévue par la loi, dénonce Société numérique, qui milite pour les droits fondamentaux sur Internet. Elle fustige:
Erik Schönenberger n'est cependant pas surpris. «Les formulaires reflètent un état de surveillance développé et bien huilé», dit-il.
Les formulaires visés par Société numérique sont bien entendu des formulaires vides, tels que ceux mis à disposition des différentes autorités de sécurité par le SCPT. Mais cela suffit pour se faire une idée précise des rouages de la surveillance étatique.
Société Numérique a obtenu la publication des formulaires par voie juridique. Le «Service de surveillance de la correspondance par poste et télécommunication» (Service SCPT) voulait garder sous clé les formulaires vierges utilisés pour ordonner des mesures de surveillance, mais il a été désavoué par la justice fin mars.
Le Tribunal administratif fédéral a, en effet, donné raison aux activistes du net et a estimé que la transparence devait être établie. Il a ordonné au Service SCPT de transmettre les formulaires vierges demandés.
En avril 2020, Société numérique avait déjà demandé à pouvoir consulter les formulaires vierges en se basant sur la loi fédérale sur la transparence de l'administration. Le Service SCPT avait rejeté la demande, craignant des abus. Jean-Louis Biberstein, chef adjoint de ce service, expliquait:
Les formulaires qui viennent d'être remis sont toujours remplis de manière isolée par les autorités de poursuite pénale sous forme numérique en format PDF. Ils ne jouent, toutefois, plus guère de rôle dans le quotidien des autorités de poursuite pénale. Jean-Louis Biberstein explique:
Les expéditeurs des mandats de surveillance via le système électronique sont exclusivement des collaborateurs des autorités de poursuite pénale ou du Service de renseignement de la Confédération (SRC). Ces collaborateurs seraient enregistrés auprès du Service SCPT et disposeraient d'un accès au système de gestion des mandats. Contrairement aux formulaires PDF, l'accès est doublement sécurisé et réservé aux personnes autorisées.
Mais comme tous les collaborateurs des autorités de poursuite pénale ou du SRC ne disposent pas d'un tel accès, «il arrive de temps à autre que des ordres soient donnés au moyen des formulaires mentionnés», poursuit Jean-Louis Biberstein. Les expéditeurs de ces formulaires, contrairement aux utilisateurs du système électronique, «ne sont pas directement et clairement identifiables».
Pour Société numérique, un risque d'abus dû à la publication des formulaires est «incompréhensible», d'autant plus que les formulaires PDF «ne sont disponibles qu'imprimés et sont publiés sous forme scannée».
Le tribunal a également conclu que le SCPT n'avait pas réussi à démontrer un risque concret d'abus qui justifierait de s'opposer à la remise des formulaires. Ceux-ci ne contenaient pas d'éléments critiques. Certes, les formulaires pourraient donner lieu à des demandes de surveillance de la part de personnes non autorisées, mais le SCPT examine d'ores et déjà, selon ses propres indications, les demandes qui lui parviennent.
Le SCPT maintient que la mise en œuvre opérationnelle des mandats de surveillance et donc les formulaires ne devraient pas être publics «pour des raisons de sécurité».