La Délégation des Commissions de gestion s’est entretenue pour la deuxième fois avec le chef du Département fédéral de la défense, de la protection de la population et des sports au sujet du vol de données dont le Service de renseignement de la Confédération a été victime en mai dernier. L’audition visait principalement à évaluer les faits et leurs conséquences, ainsi qu’à vérifier si les leçons de cette affaire ont bien été tirées.

La Délégation des Commissions de gestion (DélCdG) est chargée, de par la loi, de la surveillance parlementaire sur tous les aspects des services de renseignement suisses. La Constitution fédérale dispose qu’aucun secret de fonction ne peut lui être opposé.

La DélCdG considère que l’informatique du SRC est l’un des défis majeurs que doit relever la direction du service. Déjà durant les premiers mois ayant suivi la création du SRC, en 2010, la délégation avait attiré l’attention du chef du DDPS sur divers risques informatiques au sein du nouveau service. Ainsi, la planification future des systèmes informatiques avait été négligée lors de la conception du service, et certains projets informatiques manquaient de la transparence nécessaire.

Après que son chef a été informé du vol de données dont le Service de renseignement de la Confédération (SRC) a été victime en mai 2012, le Département de la défense, de la protection de la population et des sports (DDPS) a signalé les faits à la DélCdG. En juin, le Ministère public de la Confédération (MPC) a présenté à la DélCdG l’état d’avancement de l’enquête en cours. A sa séance de la mi-août, la DélCdG a auditionné le directeur du SRC, à qui elle avait auparavant demandé divers documents. Par ailleurs, le MPC l’a informée des derniers développements de la procédure.

Sur la base des informations ainsi recueillies, la DélCdG a considéré que la suite de la procédure au sein du DDPS devait faire l’objet d’un suivi étroit. Elle estimait essentiel que le chef du DDPS ne s’en tienne pas uniquement à prendre acte des rapports du SRC, mais qu’il accomplisse activement et pleinement sa mission de surveillance.

La DélCdG a relevé la nécessité de prendre des mesures urgemment dans plusieurs domaines ; elle a fait part de ses conclusions, par la voix de son président, directement au chef du DDPS. Ce dernier a ensuite demandé au service chargé de la surveillance SR de se pencher sur les mesures prises par le SRC, l’idée étant que la DélCdG et le chef du DDPS examinent les résultats de cet examen lors de leur prochaine rencontre.

Lorsqu’il est apparu, à la fin du mois de septembre, que les médias allaient diffuser des informations relatives au vol de données, la DélCdG a organisé, le 26 septembre 2012, une rencontre avec le chef du DDPS afin que celui-ci l’informe des derniers développements.

Le 26 septembre 2012, la DélCdG savait déjà que la préparation et l’exécution du vol avaient eu lieu au cours des trois premières semaines de mai (entre le 4 et le 18 mai). Elle savait également que le SRC avait été rendu attentif au vol suite à une indication donnée par un tiers. Par ailleurs, il était avéré que les données en question relevaient des domaines les plus sensibles.

Lors de la rencontre du 26 septembre, la DélCdG a  constaté que, quatre mois après avoir été alerté, le SRC n’avait toujours pas analysé de manière approfondie les dommages potentiels provoqués par ce vol. Par ailleurs, le SRC n’avait pris aucune disposition afin de neutraliser le risque que toutes les données volées n’aient pas pu être récupérées (ce qui ne pouvait être totalement exclu).

Dès le mois d’août, la DélCdG avait rappelé au DDPS la nécessité de faire preuve de professionnalisme et d’exactitude dans le cadre de la communication. Or, la DélCdG a dû constater que le DDPS n’était pas suffisamment préparé à informer le public.

Le 16 octobre, la DélCdG s’est à nouveau entretenue avec le chef du DDPS ainsi qu’avec le directeur du SRC. La Délégation a demandé des informations concernant les mesures prises pour sécuriser l’informatique du SRC à court, mais aussi à long terme. La DélCdG s’est en outre renseignée sur la manière dont le DDPS a exercé et exerce encore la surveillance directe sur le SRC, et sur le rôle que joue la surveillance SR interne dans ce contexte. De plus, la DélCdG voulait savoir comment  le directeur du SRC exerce lui-même la surveillance de son service, et comment le SRC s’est organisé en termes de management des risques.

Ainsi que le Conseil fédéral en a été dûment informé, la DélCdG a décidé de transformer ses investigations en une inspection formelle, qu’elle compte clôturer au printemps 2013 par un rapport au Conseil fédéral. Elle ne décidera qu’à l’issue de l’inspection si ses conclusions seront communiquées au public et, dans l’affirmative, de quelle manière. 

 

Berne, le 16 octobre 2012   Services du Parlement