Depuis août 2021, la Délégation des Commissions de gestion (DélCdG) se penche sur le « modèle de gestion » – problématique sur le plan juridique – du domaine Cyber du Service de renseignement de la Confédération (SRC). Compte tenu des rapports que le SRC lui a fait parvenir en décembre 2021, la délégation considère que la situation juridique et les faits sont dans une large mesure clarifiés. Dans le cadre de sa haute surveillance concomitante, elle entend suivre de près la façon dont le Département fédéral de la défense, de la protection de la population et des sports (DDPS) organisera et gérera les tâches de lutte contre les cyberrisques à l’avenir et à la manière dont il tiendra compte des aspects pénaux des incidents survenus. À sa séance du 26 janvier 2022, la DélCdG n’a par conséquent pas jugé nécessaire de transformer ses investigations en cours en une inspection formelle. Partant, la question de savoir si elle autorise le DDPS à lancer une enquête administrative ne se pose pas actuellement.

Depuis août 2021, la Délégation des Commissions de gestion (DélCdG) se penche sur les évènements survenus au sein du domaine Cyber du Service de renseignement de la Confédération (SRC), comme l’indique notamment le rapport annuel 2021 de la DélCdG (cf. ch. 5.14). Son intérêt porte en particulier sur l’acquisition par le SRC de données de tiers, qui ont été enregistrées auprès de fournisseurs privés ou communiquées par l’intermédiaire de tels fournisseurs. Ces informations ont été obtenues sans l’accord des personnes concernées, dont les serveurs avaient été piratés par des cyberattaquants.

La DélCdG a jugé que cette pratique était extrêmement problématique sous l’angle juridique. Elle a considéré qu’il fallait d’urgence clarifier si ces activités avaient été menées sans base légale ou si la procédure prévue par la loi avait été contournée. À cet effet, la DélCdG s’est renseignée sur le « modèle de gestion » du domaine Cyber, et en particulier sur la collaboration avec des fournisseurs privés, des entreprises de sécurité et des services partenaires.

Le 28 octobre 2021, la DélCdG s’est entretenue avec la cheffe du Département fédéral de la défense, de la protection de la population et des sports (DDPS) au sujet des évènements survenus au sein du domaine Cyber. Le 20 décembre 2021, la délégation a reçu le rapport final d’une enquête interne du SRC ainsi qu’un avis de droit établi par un cabinet d’avocats sur mandat du SRC. Du point de vue de la DélCdG, ces documents ont permis de clarifier en grande partie la situation juridique et les faits concernés. C’est pourquoi la délégation a demandé à la cheffe du DDPS, par lettre du 21 décembre 2021, de lui fournir des informations sur les mesures concrètes que son département, compétent en la matière, comptait prendre sur la base de ces rapports. Elle a en outre prié le DDPS d’examiner rapidement la question de déposer une plainte pénale contre les personnes ou les entreprises impliquées.

Parallèlement, la DélCdG a décidé de poursuivre ses investigations, notamment en vue de comprendre comment le domaine Cyber avait pu se transformer en un « service de renseignement au sein du service de renseignement » et de déterminer qui doit en assumer la responsabilité. Elle souhaitait également clarifier le fonctionnement de la surveillance au sein du SRC et du DDPS.

La DélCdG prend acte du fait que le DDPS a lancé une enquête administrative externe. À sa séance du 26 janvier 2022, la délégation s’est penchée sur une éventuelle nécessité de transformer ses investigations en cours en une inspection formelle. Actuellement, il n’y a aucune nécessité en la matière. La question de savoir si elle autorise l’enquête administrative ouverte par le DDPS (au sens de l’art. 154a LParl) ne se pose donc pas non plus.

En tant qu’autorité exerçant la haute surveillance concomitante sur le renseignement, la DélCdG entend observer comment le DDPS tire les enseignements nécessaires des conclusions des deux rapports précités. De l’avis de la délégation, ces documents fournissent suffisamment d’éléments pour que le DDPS soit en mesure de décider de la manière dont les tâches de lutte contre les cyberrisques du SRC doivent être organisées et gérées. La DélCdG attend également de voir comment le DDPS tiendra compte des aspects pénaux du dossier.

La DélCdG a en outre élu Mme la Conseillère nationale Yvonne Feri comme vice-présidente jusqu’à la fin de la législature en cours.