Activités de surveillance

Dans le domaine « Stratégie et planification », l’AS-Rens examine des thèmes qui touchent à la planification stratégique à court, moyen et long terme des autorités du renseignement suisses et à leurs objectifs. Durant l’année sous revue, l’AS-Rens s’est attelée aux inspections ci-après.

[24-1] Intelligence artificielle (IA) au SRC

L’AS-Rens examine, sous l’angle de la légalité, de l’efficacité et de l’adéquation si le SRC acquiert, utilise et contrôle correctement cette technologie.

[25-1] Lutte contre l’extrémisme violent de gauche par le SRC

L’AS-Rens a décidé d’inspecter les activités du SRC dans le domaine de la lutte contre l’extrémisme violent de gauche après s’être penchée sur la lutte contre l’extrémisme violent de droite par le SRC en 2021.

Elle a entendu des cadres et des membres du personnel du SRC qui agissent dans ce domaine ainsi que des représentantes et représentants de deux services de renseignement cantonaux et une personne de l’encadrement de l’Office fédéral de la police (fedpol). Elle a également mené un contrôle par échantillonnage dans les mandats de recherche d’informations que le SRC confie à ses propres capteurs ou à ses partenaires. Une clarification des besoins opérationnels a aussi été prise en compte. L’objectif était d’établir une vue d’ensemble des activités du SRC dans la lutte contre l’extrémisme violent de gauche.

Une attention particulière a été portée au cadre légal de ces activités en vérifiant que les droits fondamentaux des personnes cibles soient respectés comme prévu dans la loi sur le renseignement (LRens). En effet, la collecte d’informations dans le domaine de l’extrémisme violent est soumise à des règles strictes qui permettent, par exemple, au SRC de traiter des informations seulement lorsqu’elles ont un lien avec le recours à la violence. Cette mesure vise à garantir l’exercice des droits fondamentaux de la population suisse. C’est pourquoi le SRC n’est pas autorisé à engager des MRSA dans ce contexte.

Le développement de la scène d’extrême gauche violente a aussi été pris en compte avec la possibilité que certains groupements soient appréhendés sous l’angle de la lutte contre le terrorisme. Cette possibilité existe et est compatible avec le cadre légal actuel, à condition que certains critères soient remplis. L’AS-Rens a constaté que le SRC a établi une pratique adaptée dans ce domaine, qui lui permet de fonder une demande d’autorisation aux autorités politiques et judiciaires dans de tels cas.

« Au vu des ressources limitées et en considérant l’évaluation de la menace dans le domaine de lutte contre de l’extrémisme violent de gauche, le SRC n’est pas en mesure d’accomplir son mandat de manière
optimale. »

L’AS-Rens a également évalué si le SRC remplissait le mandat qui lui est confié dans le domaine de la lutte contre l’extrémisme violent de gauche. Ce mandat comprend notamment la collecte d’informations dans le but d’empêcher la réalisation des menaces liées à la violence de l’extrême gauche ainsi que le monitoring de la situation. Le rôle du SRC vis-à-vis de ses partenaires nationaux a aussi été abordé et une dégradation de la collaboration a été constatée. Le SRC a procédé au recrutement de personnes supplémentaires durant la période d’inspection. L’AS-Rens est tout de même arrivée à la conclusion qu’au vu des ressources limitées et en considération de l’évaluation de la menace qui émane actuellement de l’extrême gauche violente en Suisse, le SRC n’est pas en mesure d’accomplir son mandat de manière optimale. En effet, le SRC n’exploite pas l’intégralité des moyens conférés par la loi sur le renseignement, posant ainsi un problème d’adéquation et d’efficacité. Une recommandation a donc été formulée.

[25-2] Portefeuille de projets informatiques du SRC

Un portefeuille de projets informatiques permet notamment de recenser toutes les informations relatives aux projets en cours ou prévus dans le domaine des technologies de l’information d’une unité administrative. La gestion des projets ou d’autres études internes peut être facilitée grâce à cet outil.

Au sein du SRC, un projet peut notamment répondre à de nouveaux besoins informatiques en matière d’acquisition, de traitement, d’analyse ou de transmission d’informations issues des activités de renseignement. Il existe différents risques pour le SRC dans ce contexte. Des déficits au niveau de l’exhaustivité de la vue d’ensemble, une transmission inadéquate des informations aux échelons supérieurs ou un manque de coordination aboutiraient à une réalisation inadéquate et inefficace desdits projets.

L’AS-Rens a donc vérifié si le SRC dispose d’un tel portefeuille et a examiné la manière dont il est géré. Elle a ainsi évalué si le service dispose d’une vue d’ensemble de tous ses projets informatiques et la manière dont les échelons décisionnels supérieurs reçoivent les informations clés. L’AS-Rens a aussi vérifié si la coordination des projets permet une identification efficace des synergies et des doublons.

Le SRC a récemment développé un concept innovant pour la gestion de portefeuille de projets. Il y inclut les projets informatiques ou d’autres types de projets assortis d’une composante stratégique pour le service. Il a aussi créé un organe spécifique qui permet d’évaluer et de prioriser la réalisation des besoins stratégiques identifiés. Les processus mis en place permettent à la direction du SRC de disposer d’informations clés issues des grands projets informatiques et d’assumer ainsi ses responsabilités dans ce contexte. Les projets informatiques sans composante stratégique ne sont pas intégrés au portefeuille et ne sont donc pas toujours portés à l’attention de la direction du SRC. Ainsi, le SRC ne dispose pas actuellement d’une vue d’ensemble exhaustive de son portefeuille de projets qui inclut des projets informatiques aussi bien stratégiques qu’opérationnels. De ce fait, l’AS-Rens a observé des manquements en matière d’identification efficace des synergies et des doublons. L’AS-Rens a constaté que le SRC a déjà identifié des améliorations pour la gestion de son portefeuille de projets informatiques et qu’il travaille concrètement à leur mise en œuvre. L’AS-Rens juge ces travaux pertinents et n’a pas formulé de recommandation.

Dans le domaine « Organisation et mandat », l’AS-Rens examine la structure des services de renseignement et leurs processus de travail en se posant notamment la question de savoir s’ils permettent aux autorités concernées de remplir leur mandat légal dans le respect du droit, de manière efficace et adéquate. En 2025, l’AS-Rens a mené les inspections ci-après dans ce domaine.

[24-2] Activités de renseignement du SPPA

L’AS-Rens examine les recoupements dans la collaboration entre le SRC et le SPPA afin d’identifier les activités de renseignement soumises à sa surveillance. Elle utilise cette base pour examiner la légalité, l’efficacité et l’adéquation de cette collaboration.

[24-11] Mesures de sécurité selon la LRens

Le SRC est tenu de veiller à la sécurité de ses collaboratrices et collaborateurs, des données traitées ainsi que de ses installations. L’AS-Rens a vérifié, sur certains postes de travail, si le SRC respecte cette obligation et a pris les mesures de sécurité adéquates. Ces postes de travail ont été créés sur la base d’un concept justifiant leur nécessité et d’une analyse des forces, des faiblesses, des opportunités et des risques d’un tel projet. Le projet poursuit trois objectifs : renforcer la coopération, l’agilité / l’attractivité du SRC et la gestion de la continuité opérationnelle (Business Continuity Management, BCM). La mise en œuvre s’est déroulée progressivement et s’est achevée en janvier 2025.

L’AS-Rens a participé à la formation interne et a visité les lieux de travail. Sur la base des entretiens et de la documentation, elle a constaté que la sécurité des membres du personnel du SRC et des données traitées était une priorité lors de la mise en œuvre. Les objectifs fixés sont atteints (BCM) ou sont réalisables. Les moyens utilisés sont adéquats. Le SRC continuera à surveiller l’utilisation des postes de travail et améliorera, si nécessaire, les mesures de sécurité. Dans certains domaines, il en évaluera l’efficacité à un moment opportun. L’AS-Rens n’a émis aucune recommandation.

L’inspection ne figurait pas sur le plan des inspections 2024 de l’AS-Rens. L’urgence de sa mise en œuvre a découlé de la mise en service de ces postes de travail.

[25-3] Lutte contre l’espionnage au sein du SRC

La menace d’espionnage en Suisse en lien avec l’aggravation de la situation géopolitique s’est accrue. En parallèle, la frustration des collaboratrices et collaborateurs du SRC durant la transformation de ce service a également augmenté. L’AS-Rens estime que ces deux facteurs créent un risque important pour les activités de renseignement car la frustration du personnel peut entre autres être instrumentalisée par des services de renseignement étrangers dans le but de dérober des informations classifiées ou d’influencer les institutions politico-sécuritaires suisses. Plusieurs recommandations visant à renforcer les mesures d’autoprotection du SRC ont été formulées par l’AS-Rens par le passé, elles ont été prises en compte dans la présente inspection.

L’AS-Rens a voulu clarifier le cadre légal en matière de prévention de l’espionnage au sein du SRC et évaluer si les dispositions existantes à cet effet sont appropriées. Au moment de l’inspection, le DDPS poursuivait le développement de ses directives sécuritaires, notamment en matière de protection de l’information. Ceci implique que le SRC, en tant qu’office du DDPS, devra bientôt appliquer ces règles et, le cas échéant, adapter ses propres directives. Entre-temps, l’AS-Rens estime que les directives internes et les mesures prises par le SRC entrent dans le cadre légal en vigueur. Le SRC s’appuie aussi sur la révision de la LRens pour développer certaines mesures de son dispositif sécuritaire suite à la constatation de lacunes. Cette démarche est perçue de manière positive par l’AS-Rens.

Le traitement de cas de soupçons d’espionnage est souvent multidimensionnel. En effet, des aspects de conduite du personnel et des problématiques purement sécuritaires peuvent se mélanger. Ceci implique que plusieurs actrices et acteurs doivent se coordonner pour appréhender un cas dans son ensemble. L’AS-Rens a pu constater que la communication entre les différentes parties prenantes au sein du service (sécurité, ressources humaines, supérieures et supérieurs directs ou direction) est désormais prévue et possible. Toutefois, le SRC peut encore augmenter sa vigilance lors du traitement des cas concrets. En effet, il peine à adopter une ligne stricte, même lorsqu’il existe des indices de risque pour certains membres du personnel. L’AS-Rens a donc formulé une recommandation à ce sujet.

Lors du recrutement, le SRC et le Service spécialisé des contrôles de sécurité relatifs aux personnes du Secrétariat d’État à la politique de sécurité (SEPOS) effectuent un important travail de vérification. Les constatations de la révision interne du DDPS en lien avec ces contrôles de sécurité relatifs aux personnes ont été prises en compte dans le cadre de cette inspection. Il en ressort que le SRC peut encore apporter quelques améliorations à la procédure suivie actuellement. L’AS-Rens a formulé une recommandation en ce sens.

Durant la période d’engagement des collaboratrices et collaborateurs au sein du service ou lors de la rupture des rapports de travail, peu de mesures sont prises spécifiquement en vue de réduire le risque d’espionnage. Bien que d’importants efforts aient déjà été réalisés en matière de sécurité, l’AS-Rens attend du SRC qu’il continue d’identifier les lacunes et de renforcer son programme de formation continue et de sensibilisation à l’interne. L’AS-Rens a formulé une recommandation sur des risques sécuritaires spécifiques constatés.

Les démarches du SRC dans le cas d’une collaboratrice ou d’un collaborateur du DDPS en poste à l’étranger dont le comportement pourrait s’apparenter à de l’espionnage ont été prises en compte dans cette inspection. L’AS-Rens a analysé plusieurs incidents de sécurité survenus au sein du SRC entre 2023 et juillet 2025 et aucun cas d’espionnage n’a été détecté en lien avec un ou une membre du personnel du SRC. Toutefois, dans le contexte du conflit hybride actuel, il n’est pas possible d’exclure que les fuites d’informations dans la presse qui ont eu lieu à plusieurs reprises avant et durant l’inspection soient malgré tout instrumentalisées en vue de déstabiliser les institutions. L’AS-Rens salue le fait que le SRC s’adresse aux autorités de poursuite pénale dans ces cas-là.

[25-5] Prestations de traduction au SRC

L’AS-Rens vérifie si les services de traduction (sélectionnés) sont utilisés de manière appropriée et efficace, si la sécurité des informations est garantie et si le service a mis en place des mesures de contrôle et d’assurance qualité efficaces.

Dans le domaine « Collaboration », l’AS-Rens examine la collaboration des services avec les autorités nationales et internationales. Elle examine aussi la collaboration entre les services de renseignement fédéraux et les services de renseignement cantonaux (SRCant).

En 2025, l’AS-Rens a procédé à des actes dans les inspections suivantes.

[24-4] Collaboration du SRC avec le Secrétariat d’État aux migrations (SEM)

L’AS-Rens a examiné la collaboration du SRC avec le SEM. Ces deux autorités ont leurs propres tâches et compétences légales en matière de sécurité intérieure et extérieure de la Suisse. Le SRC accomplit les tâches mentionnées dans la loi sur le renseignement. Le SEM a un champ d’activité très large, à savoir le domaine de la migration, qui couvre tant les entrées et le séjour des étrangers que l’asile, la naturalisation, les visas, etc. Chaque domaine ou presque est régi par une loi et des ordonnances ad hoc. Les compétences des deux autorités fédérales peuvent se recouper dans la mesure où une personne relevant du droit des migrations peut également relever du domaine de compétence du SRC, et inversement. Par exemple, dans le cadre de ses compétences, le SEM doit traiter une demande de naturalisation faite par une personne soupçonnée d’espionnage au profit de son État d’origine, la lutte contre l’espionnage relevant de la compétence du SRC. Le SRC et le SEM sont donc amenés à collaborer dans un certain nombre de domaines, par exemple en matière de droit des étrangers, d’asile, des visas ou des naturalisations.

L’AS-Rens a principalement examiné le risque que les deux autorités ne se coordonnent pas (suffisamment) ou suivent des intérêts divergents ou incompatibles, ce qui ne leur permettrait pas d’accomplir efficacement et adéquatement leurs tâches respectives. Les risques en termes de légalité, d’efficacité et d’adéquation de la collaboration ont aussi été pris en compte. Cette collaboration se traduit également par des échanges de données qui comprennent également plusieurs risques.

D’un point de vue stratégique, les deux autorités n’ont pas de stratégie commune à proprement parler. La coordination se fonde principalement sur la liste non publique établie par le Conseil fédéral. Cette liste indique notamment les événements et les constatations qui doivent être communiqués spontanément au SRC. Les deux autorités considèrent que cette liste est suffisante, un avis partagé par l’AS-Rens. Elle a prononcé une recommandation relative aux aspects stratégiques de la collaboration entre le SRC et le SEM et au développement interne du SRC.

« L’AS-Rens a pu constater que le SRC maîtrise sa marge d’appréciation et l’utilise à bon escient. »

Sous l’angle opérationnel, l’AS-Rens a constaté que les deux autorités collaborent de manière conforme au droit. Elles ont développé ces dernières années une compréhension mutuelle de leurs capacités, mais aussi de leurs contraintes respectives, en particulier juridiques. Les deux autorités connaissent le cadre légal. L’AS-Rens a pu constater que le SRC maîtrise sa marge d’appréciation et l’utilise à bon escient. Son travail consiste principalement à chercher une aiguille dans une botte de foin. Heureusement, comme il l’a admis lui-même, il y a plus de foin que d’aiguilles. Le SEM et le SRC sont tous deux d’avis que la collaboration fonctionne à l’entière satisfaction des deux parties et aucune divergence d’intérêts n’a été constatée. Les informations échangées sont utiles et permettent aux deux autorités de mettre en œuvre leur mandat légal. La collaboration est, en l’état, adéquate et efficace. Les deux autorités échangent afin d’améliorer certains aspects techniques. L’AS-Rens a constaté que l’unité compétente du SRC a tenu le cap malgré la transformation en cours.

L’AS-Rens a procédé à trois échantillonnages de données. Le premier a porté sur 40 dossiers ouverts en 2024 dans le système d’information GEVER SRC. Il a permis de constater que le SRC traite les dossiers de manière conforme au droit. Des défauts mineurs en matière de documentation ont été corrigés au cours de l’inspection. Le deuxième échantillonnage a concerné l’examen de 133 journalisations de consultation de données dans le système d’information central sur la migration (SYMIC) par le SRC. Ces consultations de données étaient conformes au droit. Enfin, le troisième échantillonnage a porté sur les délais de conservation des données « Advance Passenger Information (API) ». Les délais de conservation des données API étaient respectés.

[25-6] Collaboration du SRC avec les SRCant

Le SRC et les organes cantonaux d’exécution (les services de renseignement cantonaux, SRCant) ont pour mission de contribuer de manière substantielle à la sauvegarde des intérêts de la Suisse et à la sécurité intérieure et extérieure du pays, tout en respectant les droits fondamentaux des citoyennes et des citoyens. Ils doivent recueillir les informations nécessaires à l’aide de moyens et de méthodes propres aux services de renseignement (c’est-à-dire en utilisant des sources d’information publiques et non publiques), les traiter, les évaluer et les transmettre sous une forme appropriée, en particulier aux décideuses et décideurs politiques (Confédération et cantons).

L’AS-Rens a visité tous les SRCant et toutes les autorités cantonales de surveillance en 2024-2025. Elle s’est renseignée sur la collaboration entre le SRC et les SRCant. Elle a ensuite examiné dans la présente inspection comment le SRC remplit ses obligations légales envers les SRCant. Ces obligations concernent en particulier la vérification du stockage des données des SRCant, la mise à disposition de moyens techniques et la formation du personnel.

Des risques tels qu’un manque de coopération, une communication perturbée, des attentes injustifiées ou une répartition inappropriée des tâches compliquent ou empêchent l’application de la loi sur le renseignement et compromettent la sécurité intérieure et extérieure. L’AS-Rens a donc vérifié si de tels risques existaient.

« L’AS-Rens a pu constater que le SRC avait pris un large éventail de mesures et de dispositions visant à améliorer la collaboration avec les cantons. »

L’AS-Rens a pu constater que le SRC avait pris un large éventail de mesures et de dispositions visant à améliorer la collaboration avec les cantons. Celles-ci concernent notamment les domaines de la communication, de la formation et des activités opérationnelles.

Communication
Le SRC communique avec les SRCant en utilisant de nombreux formats, dont certains sont nouveaux. Le SRC va évaluer tous les formats et veiller à ce qu’il n’y ait pas d’offre excédentaire. Il convient de mentionner les travaux du panel au sein duquel neuf SRCant discutent de différents cas d’application issus du travail opérationnel avec le SRC et débattent de solutions. Ceci a permis de passer d’une collaboration bilatérale à une collaboration en réseau. En outre, en 2025, le SRC a adressé deux circulaires fondamentales aux cantons dans lesquelles il expose l’interprétation des bases légales sur des questions spécifiques.

Lors de ses visites dans les cantons, l’AS-Rens a pris note de quelques remarques concernant des informations soi-disant manquantes. Ces informations étaient pourtant disponibles sur l’intranet des SRCant et donc à disposition des cantons. L’AS-Rens en conclut que certains SRCant ne s’informent pas régulièrement via l’intranet des SRCant.

Formation
Depuis 2025, les SRCant sont intégrés dans la formation de base générale du SRC qui est suivie par l’ensemble des nouvelles et nouveaux membres du personnel du SRC, ce qui favorise la compréhension mutuelle (connaissances et terminologie) et la mise en réseau. Les besoins particuliers des SRCant sont pris en compte (traduction simultanée des modules de formation et documents traduits).

Coopération opérationnelle
La loi permet au SRC d’imposer une collaboration opérationnelle aux SRCant. Cependant, le SRC privilégie une approche collaborative.

Le SRC doit encore évaluer les opportunités et les risques qui en découlent avec les SRCant. Le SRC doit remédier aux défauts constatés dans la récente collaboration opérationnelle en introduisant des mesures appropriées et en les mettant en œuvre à l’avenir. L’AS-Rens a renoncé à formuler une recommandation car le SRC a connaissance des défauts et une solution appropriée est en bonne voie.

Assurance de la qualité
Comme lors des inspections précédentes (18-10 et 21-5), l’AS-Rens a vérifié les contrôles d’assurance qualité du SRC. Les contrôles sont effectués par trois services du SRC selon un concept éprouvé. Les SRCant sont soumis à un contrôle tous les 6 à 7 ans. Les contrôles annuels des autorités cantonales de surveillance sont donc importants.

L’AS-Rens n’a émis aucune recommandation, sur aucun sujet.

La recherche d’informations est une tâche clé des services de renseignement qui peuvent déployer divers moyens à cet effet. L’AS-Rens accorde une attention particulière aux moyens qui portent le plus atteinte aux droits fondamentaux, par exemple à la vie privée des personnes concernées. Les inspections Opérations (OP) et HUMINT ont lieu au moins une fois par an en raison des risques associés à ces activités. En 2025, l’AS-Rens s’est attelée aux inspections dans le domaine « Recherche d’informations » ci-après.

[23-13] Engagement d’agentes et d’agents virtuels (VirtA) au SRC

Du point de vue du SRC, l’état des menaces au niveau mondial a évolué ces dernières années, de sorte que la communication des personnes cibles et des groupes, en particulier dans les domaines du terrorisme et de l’extrémisme violent, s’est éloignée des plateformes publiques. En raison de cette nouvelle situation, le SRC est contraint d’améliorer et d’adapter sa surveillance sur internet. Afin de continuer à obtenir des informations pertinentes pour le renseignement, le SRC doit recourir à des VirtA.

Le cadre juridique pour l’utilisation des VirtA doit être clairement défini, car le SRC pourrait interférer avec les droits fondamentaux (droit à la liberté personnelle et protection de la sphère privée) et collecter des informations avec une intensité comparable à une mesure de recherche soumise à autorisation. C’est pourquoi l’AS-Rens a vérifié si le cadre juridique pour l’utilisation des VirtA était clairement défini et était connu des collaboratrices et collaborateurs concernés.

Avec les articles 17 (couverture) et 18 (identité d’emprunt) de la loi fédérale sur le renseignement, le SRC dispose d’une base juridique pour l’utilisation des VirtA. Du point de vue de l’AS-Rens, l’utilisation de VirtA est fondamentalement légale. Cependant, ce qui est autorisé lors de l’utilisation des VirtA n’a pas encore été clarifié de manière concluante au sein du SRC.

« Rien n’indique que des VirtA aient été utilisés pour obtenir des informations illégalement. »

Les actes d’inspection ont montré que le SRC était sensibilisé à cet aspect depuis les incidents de collecte illégale d’informations par le secteur cyber (voir rapport 22-18) et qu’il essaie de ne pas commettre les mêmes erreurs lors de l’utilisation des VirtA. Au moment de l’inspection, des questions restaient en suspens sur les règles et directives d’utilisation des VirtA. Cependant, rien n’indique que des VirtA aient été utilisés pour obtenir des informations illégalement. Certaines questions en suspens préoccupent le SRC depuis plusieurs années, même si le SRC n’a longtemps pas été clair sur la manière dont les VirtA devaient être utilisés. Tant que ces points ne seront pas clarifiés dans le service et soumis sous forme de questions individuelles spécifiques au service juridique du SRC, l’expertise juridique pour la collecte opérationnelle d’informations dans l’espace virtuel ne pourra pas être développée efficacement. L’AS-Rens a recommandé que le SRC renforce son expertise dans le domaine de la collecte d’informations dans l’espace virtuel qui deviendra de plus en plus pertinent à l’avenir.

S’il n’engage pas ses propres VirtA, le SRC dépend de services partenaires étrangers et court le risque de ne pas être en mesure de reconnaître les menaces imminentes dans l’espace virtuel ou de ne pas les reconnaître à temps. C’est pourquoi l’AS-Rens a examiné s’il était opportun pour le SRC de créer sa propre section VirtA.

L’histoire montre que, depuis 2016, le SRC réfléchit à la création de VirtA et à leur utilisation pour la collecte opérationnelle d’informations dans l’espace virtuel. À partir de 2019, les efforts sont devenus plus concrets et, en 2021, la direction du SRC a finalement décidé de créer sa propre section VirtA. Les procédures de test ont montré que la responsabilité de la mise en œuvre du projet au sein du SRC a changé à plusieurs reprises ces dernières années. Dans son projet de créer une section VirtA, le SRC a procédé de manière inefficace et peu opportune. À chaque transfert de responsabilité vers une autre personne ou une autre section du SRC, des questions fondamentales similaires ont été discutées à maintes reprises et décrites dans différents concepts. Ce transfert multiple de responsabilités n’a pas permis de créer rapidement et efficacement une section VirtA.

L’AS-Rens a jugé utile et bienvenu l’échange d’expériences du SRC avec des services partenaires étrangers comparables. Leurs expériences positives ont été intégrées dans les considérations conceptuelles du SRC et la structure organisationnelle finale de la section VirtA du SRC était largement basée sur celle des services partenaires interrogés. La collaboration prévue du SRC avec des services partenaires dans le domaine de la formation vise à garantir que les VirtA du SRC puissent bénéficier de la longue expérience opérationnelle de leurs homologues étrangers. L’AS-Rens juge appropriée l’intention du SRC de mettre en place à l’avenir sa propre formation afin de réduire sa dépendance à l’égard des services partenaires.

L’AS-Rens a également vérifié si le SRC dispose du cadre technique et organisationnel lui permettant d’obtenir des succès en matière de renseignement grâce à l’utilisation de VirtA ou d’évaluer correctement les chances de succès dès le départ. Les procédures de tests ont montré que les critères précis permettant de mesurer l’impact des déploiements de VirtA n’étaient pas encore disponibles. Il est toutefois ressorti des discussions que le standard pour approuver un engagement VirtA est exigeant car, par exemple, une indication isolée d’un service partenaire ne constitue pas une base suffisante pour approuver un engagement. Le SRC doit plutôt disposer de ses propres informations fiables issues de la surveillance qu’il opère sur internet afin de démarrer un engagement VirtA prometteur. L’AS-Rens a recommandé d’intensifier les efforts pour définir les critères de mesure de l’impact des déploiements de VirtA.

[24-5] Opérations, besoins de clarifications opérationnels et mesures de recherche soumises à autorisation du SRC

Par rapport aux activités quotidiennes, les opérations et les besoins de clarifications opérationnels se caractérisent par une plus grande complexité dans la planification et la mise en œuvre des activités de renseignement. En outre, selon la réglementation interne du SRC, les mesures de recherche soumises à autorisation peuvent être mises en œuvre uniquement dans le cadre d’opérations. Celles-ci présentent toujours un risque pour les droits fondamentaux, en raison de l’ingérence dans la vie privée des personnes concernées. Il semble donc nécessaire de contrôler régulièrement la légalité, l’efficacité et l’adéquation du portefeuille des opérations et des besoins en matière de clarifications opérationnels.

Cette année, l’AS-Rens a également examiné les effets de la transformation du SRC sur la mise en œuvre des opérations et des besoins de clarifications opérationnels. Les travaux liés à cette transformation n’étaient pas encore terminés au moment de l’inspection. Le SRC a remplacé ses processus établis par de nouveaux processus. Ces changements ont une influence profonde sur la mise en œuvre des opérations, des besoins de clarifications opérationnels et des mesures de recherche soumises à autorisation, et peuvent donc entraîner de nouveaux risques. Mais ils peuvent aussi ouvrir de nouvelles perspectives.

Dans le domaine de la définition des processus de recherche d’informations et du respect de l’obligation de documentation, l’AS-Rens a constaté un besoin d’amélioration et formulé des recommandations.

Par ailleurs, l’AS-Rens a examiné en détail trois opérations et, d’un point de vue formel, toutes les mesures de recherche soumises à autorisation qui ont été demandées dans ce cadre. Sur la base de ses actes d’inspection, l’AS-Rens a jugé que les opérations incluses dans l’échantillon étaient légales, appropriées et efficaces. L’AS-Rens a vérifié si quatre mesures de recherche approuvées et validées par le Tribunal administratif fédéral (TAF) avaient été mises en œuvre (dans le cadre de deux opérations en cours) conformément aux décisions correspondantes. Dans les mesures de recherche soumises à autorisation examinées, elle n’a pas constaté d’optimisation nécessaire et n’a émis aucune recommandation.

[24-6] Informatrices et informateurs (HUMINT) du SRC

Le domaine HUMINT fait partie des activités les plus sensibles du SRC. Ceci engendre des mesures de sécurité et de protection particulièrement élevées par rapport au personnel impliqué (notamment le recours à des identités d’emprunt et/ou à des légendes afin de cacher l’appartenance au SRC), aux lieux de travail (légendés), aux flux financiers légendés nécessaires afin de cacher la provenance des fonds, aux obligations de protection des sources, etc. Les risques dans ces domaines sont variés et évoluent en permanence, justifiant une inspection de l’AS-Rens à intervalles réguliers.

L’inspection 24-6 visait à assurer un suivi de l’inspection « 23-12 HUMINT » et des projets en cours au sein du domaine HUMINT. Les constats faits sont globalement positifs, les projets examinés avancent dans la bonne direction. Une recommandation a été émise en lien avec des analyses de risques. Le domaine HUMINT semble à présent trouver le juste équilibre entre ses nombreux projets, ses ressources limitées et la préservation de son cœur de métier qui est la conduite de sources.

D’autre part, l’AS-Rens a examiné des dossiers de conduite de sources incluant l’examen de l’infrastructure mise en place pour protéger ses sources. Aucune irrégularité n’a été relevée dans le cadre de la présente inspection.

[25-7] Opérations, besoins de clarifications opérationnels et mesures de recherche soumises à autorisation du SRC

Par rapport aux affaires courantes, les opérations et les besoins de clarifications opérationnels se caractérisent par une plus grande complexité dans la planification et la mise en œuvre des activités de renseignement. Selon le SRC, les mesures de recherche soumises à autorisation ne peuvent être mises en œuvre que dans le cadre d’opérations. Celles-ci présentent toujours un risque pour les droits fondamentaux, en raison de l’ingérence dans la vie privée des personnes concernées. L’AS-Rens a estimé que ces points constituaient des raisons suffisantes pour examiner les risques liés à la réalisation d’opérations, aux besoins de clarifications opérationnels et aux mesures de recherche soumises à autorisation au sein du SRC.

Suite à la transformation du SRC, la structure organisationnelle dans le domaine des opérations et des besoins de clarifications opérationnels a été repensée et redéfinie. La nouvelle organisation du SRC est en place depuis mars 2024. Le SRC a remplacé ses processus établis par de nouveaux processus. Ces changements ont une influence profonde sur la mise en œuvre des opérations, des besoins de clarifications opérationnels et des mesures de recherche soumises à autorisation, et peuvent donc entraîner de nouveaux risques. Mais ils peuvent aussi ouvrir de nouvelles perspectives.

Cette année, l’AS-Rens a examiné un échantillon de deux opérations dans le domaine de la lutte contre le terrorisme. Sur la base de ses travaux d’inspection, l’AS-Rens a jugé que les opérations incluses dans l’échantillon étaient légales, adéquates et efficaces. Elle a émis une recommandation concernant le maintien de la capacité opérationnelle du matériel technique.

En ce qui concerne le respect formel des obligations en matière de documentation, elle a examiné de manière approfondie l’ensemble des cas ouverts de l’année 2024 nécessitant des besoins de clarifications opérationnels, ainsi qu’un échantillon supplémentaire de cas dans les divisions Counter Proliferation et Counter Terrorism / Counter Violent Extremism.

Elle considérait que les principales obligations en matière de documentation étaient remplies. Afin de faciliter les analyses statistiques et d’optimiser ainsi la gestion du portefeuille des besoins de clarifications opérationnels en matière d’évaluation, l’AS-Rens a tout de même formulé une recommandation en lien avec les obligations de documentation internes du SRC.

« Sur la base de l’échantillon, l’AS-Rens a estimé que ces mesures avaient été mises en œuvre conformément aux décisions du tribunal. »

L’AS-Rens a vérifié si 11 mesures de recherche soumises à autorisation demandées dans deux opérations réalisées avaient été mises en œuvre conformément aux décisions correspondantes du TAF. Sur la base de l’échantillon, l’AS-Rens a estimé que ces mesures avaient été mises en œuvre conformément aux décisions du tribunal.

[25-8] Informatrices et informateurs (HUMINT) du SRC

L’AS-Rens vérifie la légalité, l’adéquation et l’efficacité d’un certain nombre de conduites de source.

[25-9] Cyberexploration au RM

L’AS-Rens vérifie si le RM utilise des moyens légaux, appropriés et efficaces pour la cyberexploration.

Dans le domaine « Ressources », l’AS-Rens examine si les services utilisent les ressources de manière adéquate et garantissent ainsi une activité de renseignement efficace. Dans ce domaine, l’AS-Rens s’est attelée en 2025 aux inspections ci-après.

[24-7] Inventaire des TIC au SRC

Dans le domaine des TIC, il est important pour diverses raisons qu’une organisation dispose d’un aperçu du matériel utilisé. Cette vue d’ensemble permet de gérer les composants matériels tout au long de leur cycle de vie. De plus, un inventaire systématique permet d’éviter que des personnes non autorisées se procurent et utilisent du matériel au sein de l’organisation. Ce dernier point en particulier comporte pour le SRC à la fois un risque de réputation et un risque de traitement illégal des données en raison de l’absence de mécanismes de contrôle.

L’AS-Rens a donc vérifié si le SRC dispose d’un inventaire de son matériel informatique utilisé dans l’environnement du renseignement et si cet inventaire est tenu de manière efficace et appropriée. Du point de vue de l’AS-Rens, la tenue d’un inventaire des TIC est un moyen de détecter les acquisitions non autorisées et d’éviter ainsi que des composants matériels ne soient utilisés de manière non autorisée.

Lors de son examen, l’AS-Rens a constaté que le processus d’acquisition se situe en amont du processus d’inventaire et que les deux processus sont bien établis au SRC. En outre, les processus d’acquisition et d’inventaire sont tous deux soutenus par des logiciels. Même si les deux systèmes ne sont pas couplés automatiquement et qu’il est nécessaire de passer manuellement du système d’acquisition au système d’inventaire, des analyses ponctuelles ont montré qu’il n’y a pas de divergences notables entre les deux systèmes.

De même, les champs gérés dans le système d’inventaire semblent, du point de vue de l’AS-Rens, efficaces et appropriés pour gérer d’autres fonctionnalités, comme, par exemple, le cycle de vie d’un objet TIC, ou afin de déterminer où se trouve un composant TIC au sein du SRC.

En résumé, l’AS-Rens a eu l’impression que le système d’inventaire du SRC pourrait être amélioré par un couplage plus étroit avec les systèmes d’acquisition ou de support informatique. Les résultats de la sélection de l’échantillon, les entretiens avec les responsables techniques et les processus d’autorisation rigoureux qui ont été mis en place ne permettent pas de conclure que le SRC est exposé à un risque important en raison d’un inventaire inefficace et inadéquat.

L’AS-Rens n’a donc formulé une recommandation qu’en ce qui concerne une directive à réviser, car elle ne correspond plus à l’état actuel du point de vue organisationnel et qu’il existe donc un risque de saisies erronées ou incomplètes dans le processus d’inventaire.

[25-10] Armement au SRC

L’armement au SRC est fondé sur la Loi fédérale sur le renseignement. Il sert à protéger les collaboratrices et collaborateurs particulièrement exposés aux dangers pour leur intégrité physique ou leur vie, ceci dans l’exercice de leur fonction. L’AS-Rens a évalué comment le SRC gérait l’attribution, le retrait et le stockage de ses armes de service et si le cadre légal en la matière était respecté. Elle a aussi vérifié si l’équipement et la formation dispensée répondaient dans la pratique aux besoins de protection du personnel. Pour ce faire, elle a procédé à des entretiens et à des actes d’inspection dans différents lieux.

Une nouvelle directive du SRC concernant l’armement est récemment entrée en vigueur. Les exigences pour qu’une arme soit attribuée aux membres du personnel ont été précisées et durcies. Ainsi, l’attribution et le retrait de l’arme de service peuvent être améliorés. L’AS-Rens est arrivée à la conclusion que des développements étaient envisageables en ce qui concerne l’équipement du personnel. Elle n’a pas formulé de recommandations, mais elle a encouragé le SRC à poursuivre ses efforts actuels.

Dans le domaine « Traitement des données et archivage », l’AS-Rens examine en particulier la légalité du traitement des informations étant donné la sensibilité élevée des informations traitées ainsi que l’étendue et la complexité des prescriptions légales. En 2025, l’AS-Rens s’est attelée dans ce domaine aux inspections ci-après.

[22-18] Recherche d’informations par le domaine Cyber du SRC

[24-9] Échantillonnage dans le système IASA-ICC du SRC

Le système d’information et d’analyse intégrale de l’application Allsource Control (IASA-ICC) est l’application centrale utilisée par le SRC pour analyser et évaluer les documents originaux relatifs au système d’information et d’analyse intégrale du SRC pour l’extrémisme violent (IASA-EXTR) et au système d’information et d’analyse intégrale du SRC (IASA SRC). Il permet la réplication de données dans un système d’indexation (IASA INDEX) auquel les partenaires sécuritaires autorisés ont accès (par exemple, les organes d’exécution cantonaux). Les données saisies dans le système IASA-ICC constituent le savoir structuré du service. L’application IASA-ICC se base sur un répertoire de données brutes dans lequel les communications entrantes sont enregistrées en tant que documents originaux selon les délais de conservation fixés par la LRens.

Dans le cadre d’autres inspections, l’AS-Rens a eu connaissance de retards de saisie dans le système IASA-ICC, touchant notamment les rapports des organes d’exécution cantonaux qui doivent obligatoirement être saisis. De ce fait, des informations pertinentes pour la sécurité intérieure et extérieure de la Suisse pourraient ne pas être mises à la disposition des partenaires sécuritaires, créant ainsi un risque pour la sécurité.

Fin 2024, le SRC a lancé une force opérationnelle chargée de solutionner le problème des retards de saisie et d’optimiser les processus de saisie afin d’éviter un nouveau retard par la suite. L’AS-Rens a pris en compte ces travaux et a pu constater qu’ils ont déjà apporté des améliorations.

Dans ses investigations, l’AS-Rens a effectué trois échantillonnages dans le but de vérifier si le traitement des données dans le système IASA-ICC répondait aux exigences légales. Deux échantillonnages n’ont révélé aucune irrégularité. En revanche, l’AS-Rens a constaté dans un échantillonnage que les restrictions imposées au SRC dans le traitement des données relatives à l’exercice des droits politiques n’étaient pas toutes respectées. Ce traitement de données porte sur la thématique de l’extrémisme Corona. L’AS-Rens a recommandé au SRC de procéder immédiatement aux modifications nécessaires ainsi qu’à des vérifications ultérieures dans le domaine de l’extrémisme monothématique dans le but de protéger les droits fondamentaux.

La révision de la LRens en cours prévoit un changement dans la manière d’approcher le traitement des données au sein du SRC en se détachant d’une approche par systèmes d’information pour favoriser une approche par type de données (données de renseignement ou données administratives). En parallèle, le service conduit divers projets visant à renouveler son infrastructure informatique. Devant la complexité de cette situation, la suppression ou le remplacement du système IASA-ICC est prévu.

Finalement, l’AS-Rens a constaté que l’obsolescence de l’application IASA-ICC empêche le SRC de capitaliser sur des données structurées. En effet, elle ne permet pas de garantir le suivi de la situation et les processus de saisie sont très lourds. L’AS-Rens a donc recommandé au SRC d’établir ses besoins afin de gérer les changements en cours sur le plan juridique et au niveau de l’infrastructure informatique en gardant à l’esprit le mandat de suivi et d’évaluation des menaces. L’objectif est de clarifier dans les plus brefs délais le remplacement ou la suppression de l’application IASA-ICC par une alternative profitable à l’accomplissement du mandat du SRC.

[24-10] Consultations de systèmes d’information de tiers par le SRC

Pour accomplir ses missions, le SRC doit pouvoir accéder aux systèmes d’information de tiers (SIT). Les SIT sont des applications et des bases de données d’opérateurs externes en Suisse et à l’étranger auxquelles les membres du personnel du SRC peuvent accéder pour obtenir des informations. En principe, les autorités (tierces) responsables du système ou des données décident, selon la base légale du système d’information concerné et des informations fournies par les autorités requérantes, qui peut accéder au système et avec quelles autorisations.

Bien que des tiers décident en dernier ressort des autorisations d’accès, il incombe au SRC de soumettre les demandes d’accès à des systèmes externes en fonction d’un besoin justifié ou de faire supprimer rapidement les droits d’utilisateur obsolètes. Pour cela, le SRC a besoin d’une gestion adéquate des accès. À défaut, il existe un risque que des membres du personnel aient accès à des données sensibles auxquelles elles ou ils ne devraient pas avoir légalement accès ou qu’il manque au SRC des autorisations qui seraient utiles pour une exécution efficace des missions.

Les vérifications de l’AS-Rens ont montré que le SRC ne dispose pas d’un aperçu complet et à jour des autorisations d’accès des membres de son personnel aux systèmes d’information de l’administration. Il manque des processus spécifiques et des contrôles internes systématiques. En outre, l’AS-Rens considère qu’une interface de recherche automatisée sur deux des systèmes d’information tiers examinés n’est pas conforme aux règles. Le SRC n’est responsable ni de l’interface ni du SIT, mais il assume une part de responsabilité en lien avec l’utilisation qu’il en fait. C’est pourquoi l’AS-Rens a recommandé au SRC de s’engager fermement en faveur d’une solution conforme à la loi afin d’agir en tout temps dans le cadre légal, faute de quoi les accès en question devront être supprimés. La gestion des accès au système de traitement des données doit être améliorée sur d’autres points.

De plus, l’AS-Rens a vérifié par échantillonnage dans certains SIT si les membres du personnel du SRC effectuaient des requêtes de manière légale et appropriée. L’absence de directives ou leur imprécision, ou encore la méconnaissance des modalités de consultation des données dans les SIT, augmentent le risque que les collaboratrices et collaborateurs consultent ces systèmes au-delà de leurs compétences légales ou à des fins personnelles, ce qui peut notamment entraîner des violations de droits fondamentaux et des risques de perte de réputation pour le SRC. C’est pourquoi l’AS-Rens a procédé à des contrôles aléatoires dans certains systèmes d’information de tiers pour vérifier la légalité et l’adéquation des requêtes de données effectuées par des membres du personnel du SRC choisis au hasard.

Les contrôles de l’AS-Rens n’ont révélé aucun indice de requêtes illégales ou inappropriées effectuées par les collaboratrices et collaborateurs du SRC dans les systèmes d’information de tiers sélectionnés.

[25-11] Stockage des données par le service ACEM dans le domaine de l’exploration du réseau câblé

L’exploration du réseau câblé fait désormais partie, avec la reconnaissance radio, des capteurs techniques les plus efficaces dans le domaine Signal Intelligence (SIGINT). Elle nécessite toutefois la collecte et le stockage d’une grande quantité de données. Il existe donc un risque d’enregistrer également des données qui ne doivent pas l’être en raison d’une base légale insuffisante ou qui ne peuvent pas être traitées ultérieurement car elles ne sont pas pertinentes pour la mission. Ce risque doit être traité de manière appropriée par le service ACEM qui effectue l’exploration du réseau câblé sur mandat du SRC.

Afin de déterminer si les différentes étapes du stockage des données et leur tri appliqué aux bases de données réduisent effectivement le risque, l’AS-Rens a décidé, dans son plan des inspections 2025, d’examiner l’efficacité, l’adéquation et la légalité du stockage et du tri des données dans le cadre de la reconnaissance par câble.

« L’AS-Rens est parvenue à la conclusion que la manière dont les données sont réduites peut être considérée comme efficace et appropriée. »

Il s’est avéré que le service ACEM atteint l’objectif visé grâce à un processus en cascade qui va de la saisie des flux de signaux jusqu’aux résultats finaux du stockage des données. À chaque étape, des critères d’exclusion (appelés « blacklists ») ou des filtres positifs (appelés « whitelists ») sont utilisés pour le tri des données, réduisant progressivement le stock de données brutes à chaque niveau du traitement jusqu’à ce qu’il ne reste plus que des données licites et irréprochables pour l’analyse. L’AS-Rens est parvenue à la conclusion que la manière dont les données sont réduites peut être considérée comme efficace et appropriée. Elle n’a pas non plus constaté que le service collecte systématiquement, au moyen de la surveillance des câbles, des données qu’il n’est pas autorisé à collecter d’un point de vue juridique ou qui ne correspondent pas à une mission du SRC.

Les données collectées et traitées par le service ACEM sont toutefois soumises aux règles de protection des données telles qu’elles sont définies dans la nouvelle loi sur la protection des données. Bien que les principes de la protection des données soient reconnus, l’AS-Rens a recommandé d’examiner si des mesures supplémentaires sont nécessaires en raison des modifications apportées à la nouvelle loi sur la protection des données de 2023.