Recommandation PFPDT du 25 janvier 2022, Fanti c. Office fédé­ral de la police (fedpol)

I. En fait

Au mois de juillet 2021, une enquête jour­na­lis­tique inter­na­tio­nale bapti­sée « Projet Pegasus » révèle que le logi­ciel espion israé­lien Pegasus a été utilisé par onze États pour espion­ner des jour­na­listes, oppo­sants poli­tiques, mili­tants des droits de l’homme et chefs d’États. Le 11 août qui suit,  la RTS publie un article révé­lant que les auto­ri­tés suisses utilisent un logi­ciel espion israé­lien pour résoudre certaines enquêtes. L’Office fédé­ral de la police (fedpol) ne précise pas toute­fois s’il s’agit du logi­ciel Pegasus.

Quatre jours après la publi­ca­tion de l’article de la RTS, Sébastien Fanti adresse en sa qualité de citoyen une demande d’accès fondée sur la LTrans à fedpol afin d’obtenir le contrat conclu avec la société israé­lienne NSO Group pour l’utilisation de tout logi­ciel déve­loppé par cette firme.

Le 22 septembre 2021, fedpol refuse la demande en allé­guant (i) une entrave à l’exécution de mesures concrètes prises par fedpol confor­mé­ment à ses objec­tifs (art. 7 al. 1 let. b LTrans), ainsi que le risque de compro­mettre (ii) la sûreté inté­rieure ou exté­rieure de la Suisse (art. 7 al. 1 let. c LTrans) et (iii) les rela­tions entre la Confédération et les cantons ou les rela­tions entre cantons (art. 7 al. 1 let. e LTrans). En parti­cu­lier, fedpol refuse d’informer le requé­rant quant à l’existence ou l’inexistence d’un tel contrat.

Une demande de média­tion est dépo­sée par le requé­rant le 12 octobre 2021 auprès du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT). Invité à se déter­mi­ner par écrit, fedpol a persisté dans ses conclu­sions et encore allé­gué que la LTrans ne serait pas appli­cable en raison de l’exception prévue par l’art. 67 de la Loi sur le rensei­gne­ment (LRens). La média­tion n’ayant pas abouti, le PFPDT rend la présente recommandation.

II. En droit

Dans un premier temps, le PFPDT analyse si l’art. 67 LRens exclut du champ d’application de la LTrans les docu­ments requis. Cette dispo­si­tion prévoit que la LTrans ne s’applique pas à l’accès aux docu­ments offi­ciels portant sur la recherche d’informations. Cette excep­tion ne doit pas être comprise comme excluant inté­gra­le­ment les docu­ments déte­nus par le Service du Renseignement de la Confédération (SRC) du champ d’application de la LTrans. Seuls les docu­ments préci­tés le sont, qu’ils soient déte­nus par le SRC ou par une autre entité de l’administration fédé­rale, indé­pen­dam­ment de la ques­tion de savoir si cette auto­rité avait le droit de déte­nir de tels documents.

En l’espèce, le PFPDT est d’avis que la LRens, confor­mé­ment à son art. 1, n’a pas voca­tion à s’appliquer à fedpol, mais unique­ment aux acti­vi­tés du SRC. De plus, et en l’absence de toute argu­men­ta­tion, le PFPDT ne voit pas dans quelle mesure l’exception de l’art. 67 LRens pour­rait être soule­vée par fedpol.

Dans un deuxième temps, le PFPDT analyse dans quelle mesure les inté­rêts soule­vés par fedpol pour refu­ser l’accès aux docu­ments souhai­tés sont admis­sibles. Faute d’une réelle moti­va­tion par fedpol, il écarte tout d’abord l’art. 7 al. 1 let. e LTrans de manière expéditive.

En ce qui concerne le risque d’entrave à l’exécution de mesures concrètes prises par fedpol (art. 7 al. 1 let. b LTrans), le PFPDT rappelle que cette excep­tion doit être inter­pré­tée de manière restric­tive et unique­ment si la mesure concrète prise par l’autorité est sérieu­se­ment compro­mise par la divul­ga­tion du docu­ment. Autrement dit, le secret de la mesure doit repré­sen­ter la clé de son succès (p. ex. la divul­ga­tion du docu­ment révé­le­rait une mesure de surveillance en cours) et doit être démon­trée avec sérieux par l’autorité saisie. Faute d’une telle inter­pré­ta­tion, l’exception permet­trait de justi­fier un refus d’accès à un grand nombre de documents.

Dans le cas présent, fedpol se contente d’une argu­men­ta­tion géné­rale sans démon­trer quelle mesure risque­rait d’être sérieu­se­ment compro­mise ni en quoi le secret repré­sen­te­rait la clé de son succès. À cela s’ajoute encore le fait que fedpol a déjà commu­ni­qué ouver­te­ment sur le recours à des programmes infor­ma­tiques dans le cadre de la pour­suite pénale, sans que cela n’entrave les mesures de surveillance en ques­tion. Pour ces raisons, le PFPDT écarte cette exception.

Le risque que la sûreté inté­rieure ou exté­rieure de la Suisse soit compro­mise (art. 7 al. 1 let. c LTrans) vise essen­tiel­le­ment à main­te­nir les acti­vi­tés poli­cières, doua­nières, de rensei­gne­ment et mili­taires. L’exception doit ainsi permettre de main­te­nir secrètes les mesures desti­nées à préser­ver l’activité du gouver­ne­ment en cas de situa­tion extra­or­di­naire, d’assurer l’approvisionnement écono­mique ainsi que les infor­ma­tions sur des détails tech­niques ou sur l’entretien de maté­riel d’armement, ou de celer les infor­ma­tions qui condui­raient à entra­ver la sécu­rité d’infrastructures impor­tantes (FF 2003 1807, 1851).

En l’espèce, il appa­raît que le public est déjà informé de l’acquisition de programmes permet­tant de surveiller la corres­pon­dance et de leur exis­tence, que ce soit par l’intermédiaire de débats parle­men­taires ou de docu­ments offi­ciels déjà publiés. Le PFPDT mentionne ici le Rapport expli­ca­tif de la révi­sion de l’Ordonnance sur les émolu­ments pour les déci­sions et les pres­ta­tions de fedpol dont une partie relève l’acquisition de programmes infor­ma­tiques spéciaux permet­tant aux auto­ri­tés de pour­suite pénale de mettre en œuvre des mesures de surveillance. Le PFPDT est donc d’avis que la divul­ga­tion du contrat, ou à tout le moins de son exis­tence, n’est pas en mesure de compro­mettre la sécu­rité inté­rieure ou exté­rieure de la Suisse, une telle infor­ma­tion étant déjà courante pour d’autres logiciels.

Au vu de ce qui précède, le PFPDT recom­mande à fedpol de rensei­gner le requé­rant sur l’existence ou l’inexistence d’un éven­tuel contrat conclu avec la firme NSO Group et, cas échéant, de lui accor­der l’accès à celui-ci.

III. Commentaire

Selon nos infor­ma­tions, fedpol a décidé de ne pas suivre la recom­man­da­tion du PFPDT et a main­tenu sa posi­tion initiale dans une nouvelle déci­sion contre laquelle le requé­rant entend former recours au Tribunal admi­nis­tra­tif fédéral.

Sur le fond, le résul­tat auquel parvient le PFPDT doit être approuvé, d’au­tant plus que la présente recom­man­da­tion s’inscrit dans un contexte poli­tique parti­cu­liè­re­ment tendu au vu des récentes divul­ga­tions explo­sives par la presse inter­na­tio­nale, en parti­cu­lier en ce qui concerne le nombre de cibles au sein de la société civile (avocats, jour­na­listes, mili­tants des droits de l’homme) qui ont été infec­tées par le logi­ciel israé­lien Pegasus. S’il est légi­time pour un État de procé­der à des mesures de surveillance, celles-ci n’en sont pas moins soumises à des restric­tions et des cautèles précises au vu de la gravité de l’atteinte qu’elles peuvent empor­ter en parti­cu­lier au droit au respect de la vie privée, mais aussi à la liberté d’in­for­ma­tion lors­qu’elles visent des jour­na­listes (voir notam­ment arrêt Grande Chambre CourEDH du 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni). Compte tenu des révé­la­tions de la presse, il y a un besoin accru d’in­for­ma­tion selon nous.

Bien qu’il n’existe aucune juris­pru­dence spéci­fique quant à Pegasus à ce jour, le Contrôleur euro­péen de la protec­tion des données s’est toute­fois posi­tionné le 15 février 2022 sur l’utilisation de ce logi­ciel. Selon celui-ci, la mesure la plus effi­cace afin de proté­ger les droits fonda­men­taux des rési­dents de l’Union euro­péenne serait d’interdire le déve­lop­pe­ment et le déploie­ment de tels outils de surveillance. Conscient que des États seraient malgré tout suscep­tibles d’acquérir de tels outils faute d’une inter­dic­tion légale, le Contrôleur établit une liste de huit étapes à respec­ter pour assu­rer le respect des droits fonda­men­taux des rési­dents de l’Union européenne.

Le raison­ne­ment du PFPDT quant à l’ap­pli­ca­tion de l’art. 67 LRens à fedpol est néan­moins discu­table. Il a en effet souli­gné que « fedpol n’avait pas indi­qué dans son argu­men­taire de quelle manière cette dispo­si­tion spéciale réglant l’ac­ti­vité du SRC (art. 1 LRens) lui était égale­ment appli­cable ». Or il nous semble qu’est unique­ment déci­sive la nature du docu­ment en cause (« docu­ments offi­ciels portant sur la recherche d’informa­tions »), indé­pen­dam­ment de l’au­to­rité qui le détient, même s’il est à l’ori­gine créé et détenu par le SRC en appli­ca­tion de ses tâches légales. Ainsi, l’art. 67 LRens pour­rait bel et bien trou­ver à s’ap­pli­quer à d’autres auto­ri­tés que le SRC qui détien­draient un docu­ment visé par cette disposition.

Il est en outre inté­res­sant de souli­gner le PFPDT n’a pas le droit de dévoi­ler dans le cadre de la procé­dure des infor­ma­tions qui pour­raient porter atteinte à un des inté­rêts proté­gés par les dispo­si­tions de la LTrans (art. 13 al. 2 OTrans). Pour cette raison, il ne donne aucun rensei­gne­ment quant à l’(in)existence d’un hypo­thé­tique contrat entre la Confédération et NSO Group.

Pour termi­ner, il y a lieu de mention­ner que le Conseil fédé­ral a décidé le 16 février 2022 d’ouvrir une procé­dure de consul­ta­tion rela­tive à la révi­sion des ordon­nances de mise en œuvre de la Loi fédé­rale du 18 mars 2016 sur la surveillance de la corres­pon­dance par poste et télé­com­mu­ni­ca­tion. Une consul­ta­tion dure actuel­le­ment jusqu’au 23 mai 2022. La révi­sion des ordon­nances sur la surveillance des télé­com­mu­ni­ca­tions est justi­fiée par le fait que la tech­no­lo­gie 5G exige de nouveaux types de rensei­gne­ments et de surveillances pour que la surveillance puisse être maintenue.