FF 2014 Volume 38 P. 6463

14.065 Message relatif au développement et à l'exploitation du système de traitement pour la surveillance des télécommunications et des systèmes d'information de police de la Confédération du 3 septembre 2014

Messieurs les Présidents, Mesdames, Messieurs, Par le présent message, nous vous soumettons le projet d'un arrêté fédéral relatif au développement et à l'exploitation du système de traitement pour la surveillance des télécommunications et des systèmes d'information de police de la Confédération, en vous proposant de l'adopter.

Nous vous prions d'agréer, Messieurs les Présidents, Mesdames, Messieurs, l'assurance de notre haute considération.

3 septembre 2014

Au nom du Conseil fédéral suisse: Le président de la Confédération, Didier Burkhalter La chancelière de la Confédération, Corina Casanova

2014-1462

6463

Condensé Le Département fédéral de justice et police (DFJP) prévoit des investissements d'un montant de 112 millions de francs dans le domaine de la surveillance des télécommunications aux fins d'enquêtes de police judiciaire. Déduction faite des prestations propres, le crédit global de 99 millions de francs sollicité par le présent message doit permettre de développer et d'adapter les systèmes informatiques utilisés à cette fin par le Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) et par l'Office fédéral de la police (fedpol). Le développement et l'adaptation de ces systèmes se fera par étapes de 2016 à 2021.

Le DFJP a évalué les projets en fonction de leur nécessité et de leur urgence.

Contexte Avec le projet «Développement et exploitation du système de traitement pour la surveillance des télécommunications et des systèmes d'information de police de la Confédération», le Conseil fédéral entend adapter à l'évolution technique de ces dernières années et aux exigences des technologies futures le système de traitement qu'utilise le Service SCPT, rattaché administrativement au Centre de services informatiques du DFJP (CSI-DFJP) et les systèmes d'information de fedpol. Cette adaptation est indispensable pour que les systèmes informatiques restent en phase avec l'offre des fournisseurs de services de télécommunication et celle des fournisseurs de services dérivés, qui devraient entrer dans le champ d'application de la loi révisée. Il s'agit au final d'éviter des lacunes potentielles dans la surveillance actuelle et future des télécommunications et d'en améliorer la qualité.

Le présent projet doit être distingué du projet ISS, dont l'objectif est de remplacer le système de base, arrivé en fin de vie, du système de traitement du Service SCPT. Ce nouveau système de base acquis dans le cadre du projet ISS devrait être mis en service en 2015. Il est le coeur du système de traitement du Service SCPT, mais il n'en constitue qu'une partie. Un bon nombre de fonctions importantes pour les autorités de poursuite pénale n'ont pas pu être reprises dans la liste d'exigences pour l'ISS lors du redémarrage du projet. Ces extensions et adaptations se feront donc en même temps ou après le remplacement des autres sous-systèmes du système de traitement, qui sont désormais également
arrivés au terme de leur cycle de vie.

Cette manière de procéder est indispensable pour prévenir une défaillance de systèmes informatiques obsolètes et donc pour continuer à assurer la surveillance des télécommunications. Enfin, l'entrée en vigueur de la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT), suite à sa révision totale, et de modifications concomitantes du code de procédure pénale, donneront au Service SCPT et à fedpol de nouvelles tâches à exécuter avec les systèmes informatiques correspondants. Pour ces nouvelles tâches, il faudra procéder à l'adaptation de certains systèmes et à de nouvelles acquisitions, pour lesquelles des investissements seront nécessaires.

6464

Les investissements se feront par étapes, sur une période de plusieurs années. Les adaptations et extensions de systèmes seront réalisées dans le cadre de cinq projets indépendants les uns des autres: Projet

Description

Etape

CHF

Projet 1

Acquisitions de remplacement, y compris travaux d'étude pour les étapes 2 à 4

1

28 millions

Projet 2

Adaptations de prestations

2

14 millions

Projet 3

Révision de la LSCPT CSI-DFJP

3

12 millions

Projet 4

Adaptations de la compatibilité des systèmes de fedpol

3

28 millions

Projet 5

Développement des systèmes

4

17 millions

Crédit total requis

99 millions

Le travail d'enquête de police nécessite le traitement de données non seulement dans le système du Service SCPT, mais aussi dans les systèmes d'information de police de la Confédération. Pour que ce travail puisse être effectué de manière efficace, il faut tendre vers une harmonisation des différents systèmes informatiques.

La demande de crédit global présentée ici, avec la planification des projets qui la sous-tendent, reflète l'interdépendance des systèmes du Service SCPT et de fedpol.

Les deux volets de ce projet, qui peuvent être mis en oeuvre par cinq projets indépendants les uns des autres, ont été réunis dans l'étude de projet qui a précédé le présent message. Ils remplissent les critères d'un projet informatique clé de la Confédération.

Contenu du projet Le système de traitement du Service SCPT et les systèmes d'information de police de la Confédération doivent être développés pour assurer la surveillance de la correspondance par télécommunication, pour évaluer les données recueillies et élucider des infractions.

Les investissements nécessaires pour le système de traitement du Service SCPT peuvent être répartis en différents groupes d'investissement: (a) Les investissements de remplacement pour des composants du système arrivés à la fin de leur cycle de vie et qui doivent d'urgence être remplacés: en font partie le système de renseignements (appelé CCIS), le système de gestion des mandats (AMIS NG) et des fonctions concernant les données de surveillance rétroactive (données historiques); (b) Les investissements d'extension, pour étendre les fonctions ou augmenter les performances des sous-systèmes. Ces adaptations sont nécessaires en raison du développement de l'offre des fournisseurs de services de télécommunication et du volume toujours plus important des données à traiter. Certaines

6465

de ces extensions de fonctions dans le système de traitement auraient dû être réalisées dans le cadre de l'introduction du système de base ISS, mais avaient été abandonnées faute de temps et de ressources. Entrent également dans ce groupe d'investissements le dédoublement de composantes centrales pour augmenter la disponibilité du système et renforcer la prévention des catastrophes. Sans un développement des systèmes, le Service SCPT ne sera pas en mesure d'assurer en tout temps, comme la loi l'exige, la surveillance des télécommunications; (c) Les investissements dans le système de traitement du Service SCPT liés à la révision totale de la LSCPT et aux nouvelles tâches que la future LSCPT devrait confier au Service SCPT. En font partie l'harmonisation de la communication des renseignements par le biais d'une procédure d'appel. Le champ d'application de la LSCPT sera étendu pour inclure les purs fournisseurs de services. Les systèmes utilisés devront dès lors répondre à des exigences quantitatives et qualitatives plus élevées concernant leurs fonctions d'analyse et de visualisation. Pour que les systèmes puissent fonctionner de manière économique et sans interruption, il faut que les opérateurs soient correctement formés, ce qui nécessite la mise en place et l'exploitation d'un environnement de formation proche de la pratique. Enfin, l'envoi par la poste de supports de données, qui présente des risques, devrait être abandonné, selon le projet de loi, au profit d'un système de conservation de longue durée des données.

Pour les systèmes d'information de police de fedpol, la situation peut être résumée comme suit: (d) Les investissements sont nécessaires en raison du développement de l'offre des fournisseurs de services de télécommunication et du volume toujours plus important des données à traiter. Il s'agit de mettre en oeuvre des adaptations de fonctions, des fonctions plus approfondies d'analyse et de visualisation, ainsi que des filtres. S'ajoutent également les fonctions centrales de gestion des utilisateurs. La révision totale de la LSCPT joue ici également un rôle, puisqu'elle devrait imposer une harmonisation des systèmes d'information de police de fedpol et du système de traitement du Service SCPT.

6466

Message 1

Présentation générale du projet

1.1

Contexte

Par le présent message, le Conseil fédéral soumet au Parlement une demande de crédit d'engagement pour le développement et l'exploitation du système de traitement pour la surveillance des télécommunications et des systèmes d'information de police de la Confédération. La réalisation des développements prévus est nécessaire d'urgence, pour des raisons relevant à la fois de la politique intérieure et de la politique extérieure. Il s'agit de garantir que les communications de personnes soupçonnées d'avoir commis des infractions graves, de personnes disparues (recherches d'urgence) ou de personnes faisant l'objet d'un avis de recherche puissent être surveillées à l'avenir également. Les données issues d'une surveillance constituent pour les autorités de poursuite pénale un outil indispensable pour poursuivre les infractions graves à la législation sur les stupéfiants et contre le patrimoine, tel le blanchiment d'argent. Le système de traitement du Service Surveillance de la correspondance par poste et télécommunication (Service SCPT) et les systèmes de police contribuent aussi à la lutte contre les cas graves de violence et les infractions d'ordre sexuel, comme la traite d'êtres humains, la pédopornographie, le crime organisé ou le terrorisme.

Avec la mise en oeuvre du projet «Interception System Schweiz» (ISS), qu'il convient de distinguer du présent projet, un système de base offrant des fonctions minimales sera disponible vraisemblablement à partir de la fin de 2015. Même s'il porte sur une composante essentielle, ce projet ne permettra toutefois de renouveler qu'une partie du système de traitement. Les autorités de poursuite pénale, notamment, demandent régulièrement lors de réunions de l'organe de pilotage1 et du comité «Surveillance des télécommunications»2 des extensions des fonctions de traitement et un affichage uniforme et complet des renseignements et des données recueillies dans le cadre de mesures de surveillance. Les fournisseurs de services de télécommunication ont en outre développé à un rythme soutenu leurs systèmes et leurs prestations au cours des dernières années. Afin que l'exécution du mandat légal puisse continuer d'être garantie à l'avenir, le système de traitement du Service SCPT, rattaché administrativement au Centre de services informatiques du Département fédéral de justice et police (CSI-DFJP), doit être adapté et développé en permanence, pour rester en phase avec ces évolutions.

1

2

L'organe de pilotage «Surveillance des télécommunications» (Lenkungsgremium zur Fernmeldeüberwachung, LG FMÜ) est présidé par le secrétaire général du DFJP. Y sont en outre représentés: le responsable du comité «Surveillance des télécommunications», qui est aussi le responsable du Service SCPT, le directeur de l'Office fédéral de la police (fedpol), le président de la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP), le président de la Conférence des autorités pénales de Suisse (CAPS) et le président de ICTswitzerland, l'organisation faîtière du secteur suisse de l'informatique et des télécommunications.

Le comité «Surveillance des télécommunications» (Ausschuss Fernmeldeüberwachung, AS FMÜ) est composé du responsable du Service SCPT, d'un membre de la direction de fedpol, d'un membre du Comité de la CCDJP, d'un membre du Bureau de la CAPS et d'un membre de la direction d'ICTswitzerland.

6467

La présente demande de crédit d'engagement intervient dans un contexte particulier: le projet de révision totale de la loi fédérale du 6 octobre 2000 sur la surveillance de la correspondance par poste et télécommunication (LSCPT)3, 4 est en cours d'examen par les Chambres fédérales et la question de savoir si la NSA a procédé à des écoutes en Suisse (affaire Edward Snowden) donne lieu à de vifs débats politiques. A cela s'ajoutent les débats concernant le recours, à l'avenir, à des chevaux de Troie fédéraux (Government Software ou GovWare)5 et l'arrêt de la Cour de justice de l'Union européenne (CJUE) concernant la directive de l'UE sur la conservation des données secondaires6. Il y a lieu de préciser que cette décision de la CJUE ne lie pas juridiquement la Suisse.

Il importe par ailleurs de tenir compte des exigences formulées par la Délégation des finances afin de renforcer le rôle du Parlement dans le pilotage financier des grands projets informatiques. Aussi la demande de financement (crédit d'engagement) pour le développement des systèmes d'information est-elle soumise par le présent message aux Chambres fédérales. Les ressources financières nécessaires à la mise en oeuvre du projet global seront sollicitées de manière échelonnée, au fur et à mesure de l'avancement des différents projets. Le Conseil fédéral devrait ensuite également libérer les fonds en plusieurs étapes.

1.2

Motif de la demande de crédit

Comme indiqué sous le ch. 1.1, le DFJP doit procéder de toute urgence à des investissements pour le remplacement et l'extension de systèmes, de manière à être mesure d'exécuter son mandat légal actuel en matière de surveillance des télécommunications et à permettre l'exploitation des résultats des mesures de surveillance autorisées.

Compte tenu de la répartition des tâches instituée par la loi entre le Service SCPT et les autorités de poursuite pénale, les révisions législatives en cours vont se traduire, aussi bien pour le Service SCPT (révision totale de la LSCPT7) que pour que l'Office fédéral de la police (fedpol) (modification du code de procédure pénale8 dans le cadre de cette révision), par de nouvelles tâches, pour lesquelles des systèmes informatiques appropriés sont nécessaires. Le projet de loi prévoit, par exemple, que le système de traitement des données du Service SCPT contiendra les données collectées lors de surveillances de la correspondance par télécommunication relevant 3 4 5

6

7 8

RS 780.1 FF 2013 2379; objet transmis le 19 mars 2014 par le Conseil des Etats au Conseil national L'utilisation de GovWare consiste en l'introduction de programmes dans un système informatique dans le but d'intercepter et de lire le contenu de communications et des données secondaires; cf. explications figurant dans le message du 27 février 2013 concernant la révision de la LSCPT, FF 2013 2379 2466.

Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, JO L 105, p. 54 à 60. Dans le cadre de la révision en cours de la LSCPT, le Conseil fédéral a veillé notamment en ce qui concerne la conservation des données secondaires, déjà autorisée par le droit en vigueur au respect des dispositions de la Constitution fédérale (RS 101) et de la Convention du 4 nov. 1950 de sauvegarde des droits de l'homme et des libertés fondamentales (RS 0.101).

FF 2013 2379 RS 312.0

6468

de l'art. 269 CPP, c'est-à-dire en relation avec les surveillances classiques. En revanche, les données issues de surveillances effectuées au moyen de dispositifs techniques tels que les GovWare n'y seront pas contenues9. Les tâches en lien avec ce type de mesures de surveillance relèveront directement de la compétence des autorités de poursuite pénale et donc, au niveau fédéral, de fedpol10.

Les investissements évoqués se subdivisent en plusieurs groupes: des investissements de remplacement, des investissements d'extension et des investissements liés à la révision de la LSCPT. Ce dernier groupe comprend les investissements du CSIDFJP et de fedpol.

Tous ces investissements seront répartis entre cinq projets distincts, qui doivent être mis en oeuvre durant la période 2016 à 2021. Ainsi, bien qu'étroitement liés, les projets pourront être menés à bien indépendamment les uns des autres. Quant aux moyens nécessaires, ils pourront être sollicités et libérés par étapes.

Illustration 1 Vue d'ensemble des projets

Les investissements nécessaires pour le remplacement et l'extension de composants du système de traitement du Service SCPT (projets 1 et 2) visent à permettre au service de remplir son mandat légal, à savoir notamment d'assurer la surveillance des télécommunications conformément au droit en vigueur. Ces projets du Service SCPT sont importants et nécessaires, indépendamment de l'issue de la révision de la LSCPT. Le projet relatif au remplacement de systèmes est donc prévu dans la première étape de financement, qui comprend également un crédit d'étude pour la planification de la mise en oeuvre des projets restants. Ce crédit d'étude doit permettre d'examiner en détail la faisabilité des projets et, partant, de réduire au minimum les incertitudes qui subsistent encore concernant les coûts et les risques (architecture, mise en oeuvre en interne / à l'externe, moyens financiers requis).

9

10

Message du 27 février 2013 concernant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication, FF 2013 2379 2407: les données obtenues au moyen d'un IMSI-catcher ou d'un GovWare ne sont pas des données ayant une relation avec les activités du Service SCPT (voir commentaire des art. 269bis et 269ter P-CPP).

P-LSCPT, FF 2013 2379 2434

6469

Pour les projets 2 à 5, la livraison des documents de conception (exigences auxquelles doivent satisfaire les systèmes, étude détaillée, architecture des systèmes, règles relatives à la sécurité informatique et à la protection des données, etc.) marquera à chaque fois la conclusion des travaux d'étude et de planification. Conformément à l'art. 1 de l'arrêté fédéral, c'est alors que le Conseil fédéral sollicitera la libération des moyens financiers nécessaires pour les prochaines étapes. La répartition en cinq projets indépendants les uns des autres permettra, le cas échéant, d'adapter plus facilement la suite des travaux à d'éventuelles prescriptions en matière de financement ou à des changements que pourraient apporter les Chambres fédérales au projet de révision totale de la LSCPT.

Le projet de révision de la LSCPT prévoit des nouveautés et des extensions que le Service SCPT devra mettre en oeuvre: ce dernier devra assumer de nouvelles tâches, dont l'accomplissement nécessitera des infrastructures et des collaborateurs supplémentaires. Par ailleurs, le champ d'application à raison des personnes de la loi sera étendu, la portée concrète de l'obligation de collaborer étant définie spécifiquement par catégorie de personnes obligées de collaborer. En outre, un système pour la conservation de longue durée des données et un environnement de formation seront mis en place. Selon les informations actuellement disponibles, la LSCPT révisée devrait entrer en vigueur au plus tôt au début de 2017. Les nouveautés et les extensions qui en découlent sont prévues dans le cadre du projet 3.

Le projet 4 porte sur les extensions qui seront nécessaires à fedpol: développement des connexions / liaisons avec le système de traitement du Service SCPT, augmentation de la bande passante et optimisations, développement et amélioration de l'espace prévu pour le téléchargement des données, renforcement de la sécurité des données, augmentation des capacités de stockage destinées à accueillir les contenus des fournisseurs de services de télécommunication, mise à disposition de fonctions d'analyse et de visualisation étendues ainsi que de filtres pour que les données puissent être traitées par la police dans le cadre d'enquêtes. Ce projet englobe aussi des adaptations résultant de la révision du CPP liée à la révision totale
de la LSCPT et concernant le recours aux GovWare et aux IMSI-catchers11. Afin que les données collectées puissent être utilisées devant les tribunaux, il est indispensable de pouvoir attester de leur provenance.

En ce qui concerne l'avancement de la révision de la LSCPT, il y a lieu de signaler que le Conseil des Etats a approuvé, le 19 mars 2014, le message du 27 février 201312 et transmis le projet au Conseil national en y apportant quelques adaptations.

La différence entre le montant des coûts décrits dans le message relatif à la révision de la LSCPT et le montant des investissements sollicités par le présent message s'explique non seulement par les nouveautés présentées ici, mais aussi par les développements et extensions de systèmes nécessaires pour permettre au Service SCPT de remplir son mandat légal. Selon les analyses et les projections des fournisseurs de services de télécommunication en Suisse, l'utilisation de l'internet mobile va considérablement augmenter ces prochaines années et les exploitants de réseaux vont proposer à leurs clients des vitesses de transmission toujours plus importantes. Le volume de données transmises devrait doubler au cours des trois années à venir. Le 11

12

Un IMSI-catcher est un dispositif de surveillance permettant d'identifier des appareils de communication mobile et, partant, leurs utilisateurs; cf. explications figurant dans le message du 27 février 2013 concernant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication, FF 2013 2379 2464.

FF 2013 2379

6470

développement et le remplacement de systèmes existants sont donc indispensables.

Les travaux nécessaires seront menés dans le cadre des projets 2 et 5.

Selon les estimations actuelles, les investissements pour les cinq projets s'élèvent au total à 112 millions de francs. Ces investissements sont destinés au remplacement (32 millions) et à l'extension (36 millions) de systèmes, ainsi qu'à la mise en oeuvre des nouvelles tâches qui vont vraisemblablement résulter de la révision de la LSCPT (15 millions) et à la réalisation des travaux nécessaires à fedpol pour assurer la compatibilité des systèmes (29 millions).

Pour confirmer le bien-fondé du présent projet et du crédit prévu, le CSI-DFJP a chargé une société externe spécialisée dans les grands projets et la définition d'étapes d'analyser l'étude réalisée en interne et de rédiger un second avis. Tous les documents relatifs à ce projet (étude de programme, second avis, etc.) sont disponibles sur demande auprès du CSI-DFJP.

1.3

Intérêt du projet dans l'absolu

Sous l'appellation «centre de traitement», le Service SCPT exploite actuellement, pour la mise en oeuvre des mesures de surveillance de la correspondance par télécommunication ordonnées par les autorités de poursuite pénale et autorisées par un tribunal des mesures de contrainte, différents systèmes et composants de systèmes dont l'interaction permet la réception, l'enregistrement, la préparation et la visualisation des informations recueillies dans le cadre de mesures de surveillance. Certains de ces systèmes et composants de systèmes ont atteint la fin de leur cycle de vie et doivent être remplacés. Des adaptations sont également nécessaires pour intégrer les évolutions technologiques et pouvoir maîtriser les nouvelles tâches et exigences qui devraient découler de la révision de la LSCPT. Les systèmes d'information de police devront eux aussi être adaptés, car le projet de révision de la LSCPT prévoit que la solution informatique du Service SCPT sera à l'avenir reliée par une interface au réseau des systèmes d'information de police, de sorte que fedpol puisse accéder aux données dont il a besoin pour ses enquêtes. Les travaux de remplacement, de développement et d'extension de systèmes prévus au Service SCPT et à fedpol garantiront la continuité de la surveillance des télécommunications, un secteur où la technologie et les habitudes d'utilisation évoluent fortement.

Sans la mise en oeuvre de l'entier du programme ou de certaines de ses parties, le Service SCPT et fedpol ne pourraient pas remplir entièrement leur mandat légal à l'aide des seuls outils d'évaluation et de traitement des données existants. Il en résulterait des charges supplémentaires considérables et des restrictions importantes en ce qui concerne le traitement de données dans le cadre d'enquêtes pénales. La disponibilité des services s'en trouverait aussi affectée. S'ensuivrait une réduction des prestations, car il faudrait opter pour des solutions de substitution, comme graver les données issues de la surveillance sur un support ad hoc et l'envoyer par la poste aux autorités concernées. Faute d'un accès en ligne aux systèmes pertinents, les destinataires devraient quant à eux veiller à disposer de lecteurs appropriés, en état de marche, de manière à pouvoir consulter les données enregistrées sur le support.

Au final, il est probable que les autorités de poursuite pénale auraient besoin de ressources supplémentaires.

6471

1.4

Intérêt du projet pour la Confédération

Le système de traitement du Service SCPT et les systèmes d'information de police de fedpol sont des outils indispensables pour les autorités de poursuite pénale, car ils permettent de réceptionner les données issues de la surveillance autorisée par un juge de la correspondance par poste et télécommunication d'une personne soupçonnée d'avoir commis une infraction. Sans eux, les autorités de poursuite pénale ne pourraient pas exploiter efficacement les données recueillies. Ces systèmes sont aussi essentiels pour effectuer des recherches d'urgence en vue de retrouver des personnes disparues et pour localiser le téléphone mobile de personnes faisant l'objet d'un avis de recherche. Ce dernier type de surveillance est prévu dans le projet de révision de la LSCPT.

Chaque application et chaque système informatique a un cycle de vie. Celui-ci débute avec l'identification des besoins, se poursuit avec le développement et la concrétisation d'exigences particulières et se termine par la suppression de l'application ou du système ou par son remplacement par une nouvelle solution. Des parties des systèmes actuels doivent à présent être remplacées, développées, adaptées ou harmonisées entre elles afin de garantir la surveillance des télécommunications à l'avenir également. Le DFJP, après consultation des parties intéressées, a établi une vue d'ensemble détaillant les investissements nécessaires, défini les projets correspondants et fixé les étapes du programme.

1.5

Enjeux pour l'avenir

Le présent projet vise à garantir la compatibilité ascendante des systèmes, afin qu'ils puissent être développés progressivement pour répondre à de nouvelles exigences. Il s'agit d'être en phase avec les progrès techniques rapides et de disposer d'une base solide pour un éventuel développement modulaire ultérieur.

2

Contenu du projet

2.1

Proposition du Conseil fédéral

Le système de traitement du Service SCPT sert à la réception et à l'enregistrement de données collectées dans le cadre de la surveillance des télécommunications. Les autorités de poursuite pénale ont besoin de ces données pour mener à bien leurs enquêtes et élucider différents types d'infractions. Certains des systèmes ou composants utilisés sont arrivés au terme de leur cycle de vie et doivent être remplacés.

D'autres doivent être développés. Une dernière partie des investissements prévus est destinée à la mise en oeuvre des nouvelles tâches que le Service SCPT devra vraisemblablement assumer après l'entrée en vigueur de la LSCPT révisée.

Les systèmes d'information de police de fedpol devront eux aussi être développés.

Des investissements sont requis pour procéder à des adaptations de fonctions et à des extensions et, aussi, pour tenir compte des nouvelles tâches qui devraient résulter de la modification du CPP liée à la révision de la LSCPT.

6472

Le présent projet nécessite des investissements pour un montant total de 112 millions de francs. Le DFJP fournit des prestations propres sous forme de ressources en personnel pour un montant équivalent à 13 millions de francs. Le Conseil fédéral sollicite donc un crédit d'engagement de 99 millions de francs pour les années 2016 à 2021. Il convient encore de signaler que sur cette somme, le DFJP peut financer sur ses ressources existantes une contribution de près de 14 millions de francs.

2.2

Procédure

Le Conseil fédéral a qualifié le programme présenté ici de projet clé en matière de TIC, ce qui implique un processus de contrôle renforcé. Par le présent message, le Conseil fédéral met en oeuvre pour la première fois deux principes énoncés dans sa réponse du 21 mai 2014 aux recommandations de la Délégation des finances (lettre du 5 mars 2014: orientations, mise en oeuvre et développement de la stratégie informatique de la Confédération), à savoir que les crédits d'engagement pour les projets informatiques clés sont présentés à l'Assemblée fédérale par des messages séparés et que le Conseil fédéral ne libère le crédit d'engagement nécessaire à la mise en oeuvre des projets qu'une fois les phases d'étude et de planification achevées. Par ailleurs, le Conseil fédéral soumettra à la Délégation des finances un rapport semestriel sur l'état d'avancement des projets informatiques clés qui inclut les informations pertinentes pour la haute surveillance.

2.3

Description détaillée du projet

2.3.1

Vue d'ensemble

Certains des sous-projets contenus dans le présent projet dépendent directement du résultat des débats parlementaires et du vote final relatif au projet de révision de la LSCPT. Si le projet de loi est approuvé, comme prévu, avec les propositions du premier conseil, une série de projets informatiques devront être mis en oeuvre le plus rapidement possible après l'entrée en vigueur de la LSCPT révisée et de ses ordonnances d'application, afin de garantir l'exécution des nouvelles tâches conférées par la loi. Comme un projet de loi, la réalisation d'un projet informatique requiert un délai relativement long. Aussi faut-il démarrer sans attendre au moins les travaux d'étude et de planification relatifs aux sous-projets suivants:

mise sur pied d'un système de conservation de longue durée des données et adaptation ou renouvellement du système de gestion des mandats;

adaptation du système pour la fourniture des renseignements d'ordre technique ou organisationnel;

mise à disposition d'une infrastructure permanente de formation;

développement des infrastructures d'interception pour les personnes obligées de collaborer qui ne sont pas directement des fournisseurs d'accès à internet, ainsi que pour les fournisseurs qui ne sont obligés que de tolérer la surveillance.

6473

Dans la mesure du possible, les responsables de projet gèrent leurs projets de manière autonome, l'organisation chargée de la gestion du programme global assumant néanmoins une fonction de contrôle et de surveillance générale. Cette tâche comprend toutes les activités nécessaires à la fixation des priorités, à la coordination, au suivi et à l'assistance en lien avec les projets en cours et à venir, dans le cadre du programme global. Les moyens nécessaires pour assurer le contrôle de gestion des cinq projets ont été directement pris en compte dans les estimations relatives à chacun des projets.

L'intégration, au niveau des projets, du contrôle de gestion relatif à l'informatique, au projet et au programme requiert une coordination étroite avec l'organisation chargée de gérer le portefeuille du CSI-DFJP, qui fournit les indicateurs concernant le contrôle de gestion relatif aux projets. Ces évaluations élémentaires permettront ensuite l'établissement de rapports spécifiques portant sur le programme global et sur chacun des projets, et qui seront fondés sur ces indicateurs. La direction du programme se charge de l'exploitation et de l'évaluation.

Au vu des ressources en personnel et des moyens financiers nécessaires à sa mise en oeuvre et compte tenu non seulement de son importance stratégique et de ses conséquences, mais aussi de sa complexité et des risques qu'il implique, le présent projet doit être qualifié de projet clé de la Confédération en matière de TIC13. Ce type de projet nécessite un renforcement de la conduite stratégique, du pilotage, de la coordination et des vérifications. Ces activités ont été prises en compte dans l'estimation des charges inhérentes au suivi des projets. Conformément à la loi du 28 juin 1967 sur le Contrôle des finances14, le Contrôle fédéral des finances (CDF) soumet désormais à un audit systématique les projets clés en matière de TIC. L'organisation de projet se conformera à cette manière de procéder.

Le DFJP ne pourra financer, avec son budget, qu'une partie des coûts induits par la réalisation des projets informatiques prévus. Pour que les travaux puissent débuter le plus rapidement possible, au plus tard toutefois en 2016, le département doit mettre des moyens à la disposition de ses unités administratives. Les projets concernés sont donc réunis en un programme
global faisant l'objet d'un crédit d'engagement, de manière à fournir aux Chambres fédérales une vue d'ensemble de la mise en oeuvre et des conséquences directes et indirectes. Le crédit global est composé de quatre crédits d'engagement, un pour chaque étape.

2.3.2

Projet 1: acquisitions de remplacement, y compris travaux d'étude pour les étapes 2 à 415

Le système actuel de renseignements, appelé CCIS, a atteint la limite de son potentiel et se trouve à la fin de son cycle de vie. Il faut donc le remplacer d'urgence.

Son renouvellement se fera en deux étapes: il y a lieu, dans un premier temps, d'acquérir un nouveau système destiné à remplacer la solution existante (projet 1),

13

14 15

Mise en oeuvre de la stratégie de la Confédération en matière de TIC pour les années 2012 à 2015, disponible sous www.upic.admin.ch > Thèmes > Projets et programmes > Projets clés en matière de TIC RS 614.0 Sous-projets concernés selon l'étude de programme: sous-projets 1, 2 et 3

6474

avant de procéder, dans un second temps, au développement de ce nouveau système afin de le doter de fonctions supplémentaires (projet 3).

Afin de gérer les renseignements, dont la fourniture est soumise à émolument et donne droit au versement d'indemnités, le Service SCPT a besoin d'un système approprié. L'actuel système de gestion, à savoir l'application AMIS NG, doit être totalement remis à neuf ou de nouvelles acquisitions doivent se faire pour le remplacer, sans oublier les adaptations et les extensions nécessaires. Certaines fonctions font défaut dans la solution actuelle, ce qui empêche les collaborateurs du Service SCPT d'accomplir leurs tâches de manière optimale. Le remplacement du système de renseignements rend inévitable le remplacement du système de gestion, lui aussi proche du terme de son cycle de vie. La réalisation de ce projet doit aussi permettre de réduire les ruptures de médias (voir ci-après). Grâce aux mesures suivantes notamment il sera possible de limiter le plus possible les sources d'erreur et de simplifier et accélérer l'ensemble du processus:

présaisie électronique des décisions par les autorités de poursuite pénale (en lieu et place d'un simple fax ou d'une transmission par courrier postal);

gestion électronique des ordres et leur transmission, par voie électronique également, aux fournisseurs soumis à la loi (en lieu et place d'une transmission par fax, comme c'est parfois le cas).

L'art. 15 LSCPT oblige déjà les fournisseurs de services de télécommunication à transmettre sur demande au Service SCPT les données relatives aux communications de la personne surveillée, ainsi que les données permettant d'identifier les utilisateurs et celles relatives au trafic. Cette obligation comprend en particulier la livraison des données issues de surveillances rétroactives (données historiques), que les fournisseurs livrent aujourd'hui sur des supports de données à l'autorité de poursuite pénale concernée. Cette pratique ne satisfait toutefois plus aux dispositions en vigueur en matière de protection des données.

Comme pour l'interception et la réception du contenu des communications de la personne surveillée (surveillance en temps réel), le Service SCPT doit exploiter une solution sûre et moderne pour la transmission des données historiques provenant des communications de personnes faisant l'objet d'une mesure de surveillance au sens de l'art. 16, let. d, de l'ordonnance du 31 octobre 2001 sur la surveillance de la correspondance par poste et télécommunication (OSCPT)16.

Compte tenu de l'urgence du projet, le DFJP va effectuer dès 2015 une série de travaux préparatoires. Le département pourra mettre à disposition un montant maximal d'environ 3 millions de francs. Comme indiqué dans le tableau ci-dessous, le coût total (coûts internes et externes) de ce projet, dont la mise en oeuvre va débuter en 2016, est chiffré pour les années 2016 et 2017 à environ 32 millions de francs (investissements uniques).

16

RS 780.11

6475

Illustration 2 Coûts d'investissement totaux du projet 1 en millions CHF.

Investissements (uniques) Gestion du projet Etudes relatives aux projets 2, 3 et 5 Etudes relatives au projet 4 Développement de logiciels et licences uniques Matériel Prestations de conseil

1 2 4 22 2 1

Total coûts uniques

32

Prestations propres sous forme de ressources en personnel

4

Crédit d'engagement demandé

28

2.3.3

Projet 2: adaptations des prestations17

Ces dernières années, les fournisseurs de services de télécommunication ont développé à un rythme soutenu leurs systèmes et leurs prestations. Pour être en phase avec ces évolutions et garantir l'exécution de son mandat légal, le Service SCPT doit adapter et développer régulièrement son système de traitement.

En particulier, l'évolution actuelle dans le domaine de l'utilisation des accès et des services internet mobiles rend nécessaire une nouvelle extension du futur système de traitement (projet ISS, en cours de réalisation) et des réseaux d'interception. Le but est d'éviter toute lacune dans la récupération des données et de pouvoir décoder les données relatives à ces services. Il importe donc de garantir le respect de ces obligations légales, qui font partie intégrante du mandat de base du Service SCPT d'exploiter un système informatique pour le traitement des données issues de la surveillance des télécommunications.

Ce projet prévoit notamment la réalisation des activités suivantes:

17

raccordement de nouveaux fournisseurs de services de télécommunication, qui vont passer de 9 aujourd'hui à 40 prochainement puis à 250 à la fin du projet de développement, y compris la nécessaire adaptation (et les coûts correspondants) du système de traitement du Service SCPT, l'ISS (à partir de 2017, augmentation annuelle d'env. 40 TB/an);

mise en place d'une solution de test pour faire face aux exigences accrues découlant du développement du système informatique actuel et des nouvelles fonctions qui en résultent.

Sous-projets concernés selon l'étude de programme: sous-projets 4, 9 et 13

6476

Le Service SCPT doit modifier ou reconfigurer ses infrastructures pour tenir compte des progrès techniques, intégrer de futures exigences des autorités de poursuite pénale concernant les fonctions d'analyse et la sécurité et satisfaire aux prescriptions fédérales.

Les extensions et les améliorations des performances suivantes sont prévues sur le système ISS:

adaptations de systèmes en fonction des évolutions technologiques et de nouveaux services. Ces adaptations seront nécessaires car, compte tenu de la complexité de la matière et des délais très courts pour la réalisation des travaux liés au projet ISS, seuls les outils d'analyse actuellement indispensables sont mis en oeuvre. Vu la vitesse à laquelle évolue la technologie, il est important de moderniser régulièrement ces fonctions;

mise à disposition d'un environnement de test autonome en complément de l'élément test sur le système d'intégration. Cet environnement de test est nécessaire d'urgence, en raison non seulement de la hausse du nombre de personnes soumises à loi, mais aussi de l'augmentation du nombre des adaptations à réaliser et de la surcharge du système d'intégration qui en résulte;

renforcement de 100 à 300 Mb/s de la capacité du système de réception des données;

développement de 100 à 300 Mb/s de la capacité du réseau d'interception pour la transmission des données;

augmentation à 160 TB de la capacité de stockage.

La technique évoluant constamment, d'autres adaptations du système de traitement du Service SCPT seront nécessaires. Elles concernent en particulier les décodeurs (c'est-à-dire les logiciels permettant de rendre lisibles les données enregistrées dans le système de traitement) ou de nouvelles exigences que pourraient formuler les autorités de poursuite pénale.

Sans ces adaptations, les systèmes existants seront rapidement dépassés et l'exécution du mandat légal de base s'en trouvera compromise.

Les travaux suivants seront en outre réalisés sur le système ISS:

adaptation des décodeurs;

adaptation des fonctions de traitement pour l'analyse de données dans le cadre d'enquêtes en raison de l'introduction de nouveaux services ou de la modification de services existants;

augmentation du débit et des capacités du système de traitement du Service SCPT.

Comme indiqué dans le tableau ci-dessous, le coût total de ce projet (coûts internes et externes) est chiffré pour les années 2017 à 2021 à environ 17 millions de francs (investissements uniques).

6477

Illustration 3 Coûts d'investissement totaux du projet 2 en millions CHF.

Investissements (uniques) Gestion du projet Développement de logiciels et licences uniques Matériel Prestations de conseil

3 9 4 1

Total coûts uniques

17

Prestations propres sous forme de ressources en personnel

3

Crédit d'engagement demandé

14

2.3.4

Projet 3: révision de la LSCPT CSI-DFJP18

Une fois le remplacement du système de renseignements CCIS achevé, d'autres travaux de développement pourront débuter. Les éventuelles extensions et optimisations nécessaires qui seront identifiées pendant la mise en oeuvre ou grâce à l'expérience de terrain seront concrétisées dans le cadre de ce projet, tout comme les nouvelles exigences posées au système qui résulteront de la révision totale de la LSCPT.

Il est aussi possible que le développement des autres sous-systèmes mette en lumière la nécessité de tenir compte de nouvelles exigences (interfaces avec d'autres systèmes), qui ne seront pas connues lors du lancement du projet 1. Ces exigences devront également être mises en oeuvre dans le cadre du présent projet.

Il est par ailleurs indispensable de mettre à disposition un environnement de formation. La formation des collaborateurs est garante de la qualité élevée et de la fiabilité du traitement des données. Le projet de révision de la LSCPT prévoit de fait à l'art. 16, let. i, que le Service SCPT organise et donne des formations aux personnes qui ont accès à son système de traitement. Pour pouvoir utiliser efficacement et dans le respect du droit un système aussi complexe que le système de traitement du Service SCPT, les collaborateurs doivent suivre régulièrement des cours de formation et de perfectionnement sur un système qui réplique exactement le fonctionnement du système de traitement original. Tant au Service SCPT qu'au sein des autorités de poursuite pénale, seuls des collaborateurs très bien formés doivent pouvoir accéder aux systèmes et travailler avec des données sensibles, comme celles issues de la surveillance des télécommunications. Sans un environnement de formation ad hoc, le système productif devrait aussi servir de système de test pour permettre aux collaborateurs de mettre en pratique les connaissances théoriques acquises, ce qui ne serait guère compatible avec les mesures de protection prévues et les prescriptions en vigueur en matière de sécurité.

18

Sous-projets concernés selon l'étude de programme: sous-projets 5, 6, 7 et 11

6478

Le projet de révision de la LSCPT prévoit par ailleurs que les données collectées lors de surveillances seront conservées sur une longue période, c'est-à-dire de leur réception jusqu'à leur suppression définitive, dans un système prévu à cet effet (système de conservation de longue durée). La durée de conservation dans le système de traitement des données collectées dans le cadre d'une procédure pénale est régie par les dispositions du droit de la procédure pénale applicable concernant les dossiers (cf. art. 103 CPP). Pour mettre en oeuvre cette nouvelle obligation légale, le Service SCPT doit se doter d'un système permettant le stockage de données pendant une très longue durée, qui en plus d'assurer l'intégrité proprement dite des données, garantit également leur consultation, leur analyse et leur gestion sur plusieurs décennies. La principale difficulté est de faire en sorte que les données enregistrées, qu'il s'agisse de données structurées ou non, puissent continuer d'être lues et analysées.

Le projet de révision de la LSCPT prévoit à cet égard que les caractéristiques des solutions de stockage existantes doivent être adaptées pour répondre aux besoins de la Suisse. Cette opération présente des risques et requiert des ressources importantes.

Vu que les fournisseurs de services de télécommunication développent sans cesse leurs infrastructures et leurs prestations, le futur système de conservation de longue durée devra lui aussi faire l'objet d'adaptations et d'extensions régulières (matériel et logiciels) afin de rester en phase avec ces évolutions. Les données issues de la surveillance des télécommunications seront conservées en moyenne de 5 à 10 ans dans le système (30 ans au maximum). Le cadre juridique général (en particulier les dispositions du CPP) est ici déterminant. Cela signifie que les capacités du système de conservation de longue durée devront continuer d'être étendues au moins pendant la durée du programme global. D'après les estimations actuelles, il faut tabler sur une croissance annuelle des besoins en espace de stockage brut d'environ 100 TB par an pour l'enregistrement des données brutes correspondantes et des données décodées.

Comme indiqué dans le tableau ci-dessous, le coût total de ce projet (coûts internes et externes) est chiffré pour les années 2018 à 2021 à environ 15 millions de francs (investissements uniques).

Illustration 4 Coûts d'investissement totaux du projet 3 en millions CHF.

Investissements (uniques) Gestion du projet Développement de logiciels et licences uniques Matériel Prestations de conseil

4 7 4 0

Total coûts uniques

15

Prestations propres sous forme de ressources en personnel

3

Part du crédit d'engagement demandé

12

6479

2.3.5

Projet 4: adaptation de la compatibilité des systèmes de fedpol19

L'exploitation proprement dite des données issues de surveillances a lieu dans le système d'appui aux enquêtes de police judiciaire de la Confédération (système SUGEB) et non dans le système de traitement du Service SCPT. Le système SUGEB devra dès lors faire l'objet de transformations importantes suite au développement du système du Service SCPT. Les art. 269 s. du CPP et l'art. 18a de la loi fédérale du 20 mars 1981 sur l'entraide internationale en matière pénale20 prévoient que les autorités de poursuite pénale et les autorités compétentes en matière d'entraide judiciaire peuvent ordonner la surveillance de la correspondance par poste et télécommunication. Le CPP fixe les conditions qui doivent être remplies pour qu'une surveillance puisse être exécutée et les données collectées utilisées, tandis que la LSCPT définit de quelle manière la mesure doit être ordonnée et mise en oeuvre. Enfin, l'art. 10 de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP)21 dispose que le traitement à des fins d'enquêtes policières des données recueillies lors de surveillances se fait dans le SUGEB. Ces trois lois règlent les modalités de la collecte et du traitement des données, ainsi que de leur élimination à l'issue de la procédure, et prévoient la réalisation de systèmes spécifiques à cette fin. Une harmonisation du système de traitement du Service SCPT et du SUGEB est donc nécessaire.

Le projet 4 doit permettre de procéder aux adaptations requises sur les deux systèmes et leur environnement technique afin de mettre en place des connexions entre le système de traitement et le SUGEB. Il s'agit aussi d'améliorer la largeur de bande, de mettre en place la nécessaire connexion au réseau et d'augmenter l'espace de stockage pour faire face à la hausse constante du volume de données en raison de l'utilisation accrue de nouvelles technologies et, notamment, de l'internet. Des nouveaux dispositifs techniques sont en outre indispensables pour le téléchargement de données et l'utilisation d'appareils et de programmes informatiques spécifiques (IMSI-Catcher et GovWare) aux fins de la surveillance des télécommunications. Le recours à ces outils est prévu dans les art. 269bis et 269ter du projet de révision du CPP. Comme indiqué dans le message relatif à la révision de la LSCPT,
le Service SCPT ne joue aucun rôle particulier dans l'utilisation de ces dispositifs. Son système de traitement contiendra exclusivement les données issues de surveillances classiques. Les données collectées lors de surveillances effectuées au moyen de dispositifs techniques tels que les IMSI-catchers et les GovWare n'en font pas partie22.

Pour garantir l'efficacité de la surveillance des télécommunications, il est nécessaire de disposer également d'outils d'aide à la traduction, de fonctions d'analyse et de visualisation étendues et de filtres. Ces instruments ne peuvent pas être installés dans le système de traitement du Service SCPT, car la base légale qui autorise ce type de traitement des données est fournie par la LSIP. C'est donc dans le SUGEB que ces fonctions doivent être mises en oeuvre.

19 20 21 22

Sous-projets concernés selon l'étude de programme: sous-projets 15, 16 et 17 RS 351.1 RS 361 Cf. message du Conseil fédéral du 27 février 2013 concernant la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), FF 2013 2379 2407

6480

A cela s'ajoute une fonction spécifique pour la gestion centralisée des utilisateurs, de même qu'un nouvel archivage central, nécessaire pour conduire des enquêtes complexes et conserver la vue d'ensemble des cas. Les composants actuels du SUGEB doivent par ailleurs être équipés de fonctions supplémentaires pour assurer leur compatibilité avec le système de traitement du Service SCPT. Concrètement, des modifications importantes de l'architecture du système seront nécessaires pour renforcer la sécurité des données (protection contre la perte et le vol) dans les composants du SUGEB et l'adapter à l'environnement du système de traitement. Enfin, il faudra améliorer l'équipement du poste de travail des collaborateurs de fedpol, de sorte que les utilisateurs autorisés puissent traiter les mandats en lien direct avec la surveillance des télécommunications.

Comme indiqué dans le tableau ci-dessous, le coût total de ce projet (coûts internes et externes) est chiffré pour les années 2018 à 2021 à environ 29 millions de francs (investissements uniques).

Illustration 5 Coûts d'investissement totaux du projet 4 en millions CHF.

Investissements (uniques) Gestion du projet Gestion du projet relatif aux adaptations du système SCPT Développement de logiciels et licences uniques Développement de logiciels pour les adaptations du système SCPT Matériel Prestations de conseil

4 1 12 3 8 1

Total coûts uniques

29

Prestations propres sous forme de ressources en personnel

1

Part du crédit d'engagement demandé

28

2.3.6

Projet 5: développement de systèmes23

Pour mettre en oeuvre les normes en matière d'interception des données, qui sont amenées à évoluer au cours des prochaines années, et au regard du développement continu des technologies de l'information et de la communication, il sera nécessaire de continuer d'harmoniser et de développer les systèmes de renseignements et de traitement. Si le Service SCPT devra adapter ses systèmes, ce sont avant tout les fournisseurs de services de télécommunication obligés de collaborer qui devront procéder à des modifications importantes dans leur infrastructure. Dans un souci d'efficacité, il est donc impératif de les associer étroitement à la réalisation de ce projet.

23

Sous-projets concernés selon l'étude relative au programme: sous-projets 8, 10, 12 et 14

6481

Les développements à réaliser doivent permettre de renforcer nettement la qualité de la transmission de données collectées dans le cadre de demandes de renseignements et de mesures de surveillance (mesures de surveillance rétroactives et données historiques, par ex. informations sur les usagers et renseignements techniques détaillés) et d'éviter les ruptures de médias. Les temps de traitement pourront être améliorés et la présentation des données uniformisée, ce qui facilitera grandement les activités d'analyse et d'enquête des autorités de poursuite pénale.

Ce qui est prévu est la réalisation d'un environnement pour la rétention des données (data retention, DR), de manière à disposer d'une solution de transmission de qualité et à la pointe de la technologie.

La loi impose au Service SCPT d'exploiter un système informatique pour le traitement des données issues de la surveillance des télécommunications. Ce mandat peut en principe être rempli avec le système de base de l'ISS. En raison toutefois du temps et des moyens limités à disposition pour l'exécution des travaux s'y rapportant, décision avait été prise, suite au redémarrage du projet ISS, de ne pas réaliser toutes les fonctions souhaitées par les autorités de poursuite pénale et de renoncer à mettre en place un système véritablement à l'épreuve des catastrophes.

Après que la majorité des fonctions auront été mises en oeuvre dans le cadre des précédents projets, il restera encore à réaliser une série de fonctions et d'exigences qu'il n'a été possible de concrétiser ni dans le cadre du projet ISS, ni dans le cadre des autres projets décrits précédemment:

concrétisation de diverses exigences qui n'ont pas encore été définitivement spécifiées, mais qui ont toutefois été identifiées au cours du processus d'évaluation et discutées en détail avec les fournisseurs et les représentants des principales parties intéressées;

dédoublement du système de base sur deux sites, afin qu'il soit à l'épreuve des catastrophes.

Comme indiqué dans le tableau ci-dessous, le coût total de ce projet (coûts internes et externes) est chiffré pour les années 2018 à 2021 à environ 19 millions de francs (investissements uniques).

Illustration 6 Coûts d'investissement totaux du projet 5 en millions CHF

Investissements (uniques) Gestion du projet Développement de logiciels et licences uniques Matériel Prestations de conseil

4 12 3 0

Total coûts uniques

19

Prestations propres sous forme de ressources en personnel

2

Crédit d'engagement demandé

17

6482

2.4

Motif de la demande

Par le présent message, le Conseil fédéral sollicite un crédit global qui doit permettre:

de remplacer des systèmes arrivés au terme de leur cycle de vie;

de mettre en place un système de conservation de longue durée des données et un environnement de formation, et d'adapter le système de renseignements, afin d'uniformiser la présentation et la consultation des données);

d'adapter le système de traitement du Service SCPT et les systèmes d'information de fedpol pour leur permettre de faire face aux évolutions technologiques et aux exigences accrues en matière de performances;

de doter les systèmes de nouvelles fonctions dont ont besoin les autorités de poursuite pénale pour le traitement et l'analyse des données;

d'assurer le développement ultérieur des projets réalisés dans le cadre du présent programme global, de manière à garantir la protection des investissements du Service SCPT, des autorités de poursuites pénale et des fournisseurs de services de télécommunication;

d'effectuer les adaptations nécessaires de la bande passante des réseaux d'interception et de transmission et de réaliser la connexion au réseau des utilisateurs finaux de fedpol;

d'équiper les systèmes de police des outils d'aide à la traduction, des fonctions d'analyse et de visualisation étendues et des filtres nécessaires (qui ne peuvent pas être installés dans le système de traitement du Service SCPT) afin que les données puissent être traitées par la police et utilisées devant les tribunaux.

3

Conséquences

3.1

Conséquences pour la Confédération

3.1.1

Conséquences financières

Coûts d'investissement Selon les estimations actuelles, les investissements nécessaires pour l'ensemble du projet s'élèvent à 112 millions de francs (imprécision de l'estimation: ± 20 % sur les coûts totaux d'investissement). Le détail se présente comme suit: Tableau 7 Vue d'ensemble des coûts totaux Investissements (uniques)

Gestion du projet Gestion du projet relatif aux adaptations du système SCPT Études relatives aux projets 2, 3 et 5 (CSI) Études relatives au projet 4 (fedpol) Développement de logiciels et licences uniques Développement de logiciels pour les adaptations du système SCPT Matériel Prestations de conseil Total coûts uniques

Total millions CHF

2016

2017

2018

2019

2020

2021

16.6 0.8 2.2 3.7 62.0

0.8 0.0 1.1 1.9 9.3

1.2 0.0 1.1 1.9 14.4

3.0 0.3 0.0 0.0 9.2

4.7 0.3 0.0 0.0 14.7

3.6 0.1 0.0 0.0 8.4

3.3 0.1 0.0 0.0 6.0

3.2 20.4 2.9

0.0 0.7 0.5

0.0 3.1 0.7

1.2 4.4 0.4

1.3 6.8 0.4

0.7 3.1 0.4

0.0 2.3 0.4

111.7

14.3

22.2

18.4

28.2

16.4

12.2

6483

A l'exception des prestations et des moyens propres (voir ci-après sous financement), les investissements ne figurent ni dans le budget, ni dans le plan financier. Ils sont présentés pour chacun des différents projets.

Coûts d'exploitation Actuellement, les dépenses annuelles d'exploitation du système de traitement du Service SCPT s'élèvent à quelque 9 millions de francs. Ces dépenses incluent les coûts de licence (récurrents), l'exploitation et l'assistance (coûts des accords de niveau de service et des contrats de prestations), les frais de maintenance (dépenses internes et externes), et les autres dépenses d'exploitation (traductions, fournitures, frais de déplacement, de logement, de repas).

Les coûts totaux du Service SCPT sont aujourd'hui couverts pour près de la moitié par les émoluments. Avec les investissements prévus dans le système de traitement du Service SCPT, les dépenses d'exploitation à la charge du CSI-DFJP augmenteront progressivement à partir de 2017 et devraient atteindre environ 17 millions de francs par année en 2021.

Outre les coûts liés au matériel et aux logiciels, il faut encore tenir compte des coûts supplémentaires spécifiquement liés aux utilisateurs (par ex. formation, adaptation de l'interface utilisateur à des exigences particulières de certains utilisateurs et prise en compte d'exigences formulées par des utilisateurs à l'issue de la phase pilote et des tests pratiques) pour l'exploitation des systèmes nouvellement acquis ou mis à jour.

Avec les investissements dans les systèmes d'information de police, les dépenses annuelles d'exploitation de fedpol augmenteront progressivement à partir de 2018: d'un montant d'environ 9 millions de francs par année pour les systèmes actuels de la Police judiciaire fédérale, elles devraient atteindre quelque 13 millions de francs par année à partir de 2021.

Financement Le projet présenté ici représente un volume total d'investissements de 112 millions de francs. Le DFJP fournit des prestations propres sous forme de ressources en personnel pour un montant équivalent à 13 millions de francs. Le Conseil fédéral sollicite donc un crédit d'engagement de 99 millions de francs pour les années 2016 à 2021. Il convient encore de signaler que le DFJP peut contribuer lui-même, en prélevant sur ses ressources existantes, à hauteur de près
de 14 millions de francs.

Ces tâches doivent être financées soit par des émoluments (mesures de surveillance de la correspondance par télécommunication dans le cadre d'enquêtes pénales), soit par la Confédération et les cantons. Selon l'actuelle répartition des tâches et des compétences dans le domaine pénal, les enquêtes pénales relèvent de la compétence des cantons, tandis que la Confédération s'occupe des services postaux et des télécommunications (art. 92, al. 1, de la Constitution fédérale24). La Confédération est également compétente pour édicter la législation en matière de droit pénal et de procédure pénale (art. 123, al. 1, Cst.).

La surveillance des télécommunications fait intervenir la Confédération, les cantons et des entreprises privées. Le Service SCPT, rattaché au CSI-DFJP, fait office de pivot entre les fournisseurs de services de télécommunication et les autorités can24

RS 101

6484

tonales et fédérales de poursuite pénale. Il convient donc de procéder à un examen minutieux de la politique en matière d'émoluments pour la surveillance des télécommunications. La décision de maintenir la politique actuelle ou de modifier la manière de financer les coûts d'exploitation est de nature stratégique et doit être prise par le Conseil fédéral. Cette question sera traitée, en temps utile, dans le cadre de la révision totale de l'ordonnance du 7 avril 2004 sur les émoluments et les indemnités en matière de surveillance de la correspondance par poste et télécommunication25, qui doit de toute façon être entreprise dans le droit fil de la révision totale de la LSCPT. Devront être clarifiées la question des modalités futures de financement, mais aussi celles du taux de couverture des coûts, du montant des émoluments et, éventuellement, celle du montant des indemnités versées aux fournisseurs de services de télécommunication. Le DFJP a déjà commencé à travailler sur ces questions, afin d'être prêt à soumettre une proposition au Conseil fédéral le moment venu.

Procédure Par le présent message, le DFJP sollicite un crédit d'un montant de 99 millions de francs et la libération de 28 millions de francs pour la mise en oeuvre de la première étape (projet 1 et phase d'études et de planification pour les projets 2 à 5). Le moment venu, lorsqu'auront été présentés les résultats de la phase de planification pour les projets 2 à 5, le Conseil fédéral devrait débloquer les sommes prévues pour l'étape suivante.

Dans les limites du crédit global approuvé par le Parlement, le Conseil fédéral devrait pouvoir procéder à des transferts limités entre les différents projets et étapes, afin de prendre en compte les éventuelles différences de coûts, à la hausse ou à la baisse, par rapport aux montants prévus pour chacun des projets.

Résumé:

Le crédit global de 99 millions de francs doit être libéré en quatre étapes.

Chacune de ces étapes correspond à un crédit d'engagement.

Le crédit d'engagement est d'un montant équivalent à la somme des investissements prévus pour l'étape en question, de laquelle sont déduites les prestations propres fournies sous forme de ressources en personnel.

Crédit d'engagement 1 Crédit d'engagement 2 Crédit d'engagement 3 Crédit d'engagement 4 Crédit global

25

Investissements

Prest. propres

Total CHF

32 millions 17 millions 44 millions 19 millions

4 millions 3 millions 4 millions 2 millions

28 millions 14 millions 40 millions 17 millions 99 millions

Par le présent message, le Conseil fédéral sollicite le crédit global de 99 millions de francs. Il propose également au Parlement de libérer le crédit d'engagement de 28 millions de francs correspondant à la première étape.

RS 780.115.1

6485

Des transferts peuvent être effectués entre les crédits déjà libérés. Par le jeu de ces transferts, un crédit peut être augmenté de 10 % au maximum.

Le Conseil fédéral libère les fonds pour l'étape suivante, ou pour les étapes suivantes, dès que les documents de conception des projets correspondant ont été présentés.

La proposition au Conseil fédéral sera toujours présentée au printemps, afin que le crédit d'engagement puisse être libéré en été pour l'année suivante26.

3.1.2

Conséquences sur l'état du personnel

Avec l'entrée en vigueur de la LSCPT révisée, le Service SCPT se verra confier de nouvelles tâches permanentes. Les 13 postes supplémentaires à plein temps requis dans le message concernant la LSCPT pour le Service SCPT feront l'objet d'une demande concrète du DFJP lors de l'entrée en vigueur de la LSCPT révisée.

Le Service SCPT a besoin de cinq postes supplémentaires à plein temps dès 2015 (pour une durée limitée à la fin de 2021). La mise en oeuvre du projet peut être commencée avec un architecte en systèmes d'information, un ingénieur en gestion des exigences, un spécialiste système, un chef de projet et un responsable de la gestion des tests. Pour l'année 2015, les ressources financières nécessaires seront compensées à l'interne par le biais de restes de crédit dans le domaine du personnel du CSI-DFJP. Pour l'année 2016, le financement se fera soit une nouvelle fois par la réaffectation de restes de crédits, soit par le transfert de crédits selon l'art. 3 de l'arrêté fédéral I du 12 décembre 2013 concernant le budget pour l'année 201427. Si cette forme de financement n'est plus possible pour les années suivantes, le DFJP présentera une demande de ressources au Conseil fédéral.

Au CSI-DFJP, des spécialistes supplémentaires doivent être engagés aussi rapidement que possible. Certains collaborateurs internes travaillant sur d'autres projets devront aussi être réaffectés. Les postes de travail pour le personnel supplémentaire requis sont déjà disponibles, mais il ne faut pas sous-estimer le temps nécessaire pour se familiariser avec ces systèmes complexes.

Pour les travaux préparatoires, le CSI-DFJP met à disposition 4 postes à plein temps pour l'année 2015, prélevés sur son crédit de personnel.

A fedpol, la mise en oeuvre du projet ne devrait entraîner ni augmentation ni réduction des effectifs.

26 27

Cf. les explications données au ch. 2.2 concernant les moyens TIC FF 2014 1431

6486

3.2

Conséquences pour les cantons et les communes, ainsi que pour les centres urbains, les agglomérations et les régions de montagne

La mise en oeuvre du projet présenté ici ne change rien à la répartition des tâches et des compétences entre la Confédération et les cantons. Il se peut toutefois que les cantons aient à assumer des charges financières et de personnel supplémentaires, pour les raisons suivantes:

les cantons qui utilisent leurs propres systèmes, et non ceux de fedpol, pourraient devoir les adapter, pour des montants comparables à ceux présentés pour fedpol dans ce message;

les cantons devront mettre à disposition des spécialistes pour accompagner la mise en oeuvre du projet (définition des exigences, accompagnement du projet, activités liées aux tests et à la réception). Pour l'ensemble des cantons, il faut sans doute compter plusieurs années-personnes par année.

3.3

Conséquences économiques

Le projet pourrait entraîner des coûts supplémentaires pour les personnes obligées de collaborer selon la LSCPT. Cette augmentation des coûts doit cependant être relativisée, en particulier pour les fournisseurs de services de télécommunication. Pour ces entreprises, les coûts de la surveillance ne représentent en effet qu'un montant très faible par rapport à leur chiffre d'affaires. En outre, les coûts supplémentaires résultent avant tout de la révision de la LSCPT. L'augmentation des coûts doit par ailleurs être considérée dans l'optique du gain d'efficacité qu'entraînera la mise en oeuvre du projet pour tous les acteurs concernés (autorités de poursuite pénale, fournisseurs de services de télécommunication et Service SCPT), dans leurs tâches liées à la poursuite des infractions.

3.4

Conséquences pour certains groupes sociaux

La surveillance des télécommunications porte atteinte à un droit fondamental protégé par la Constitution. La protection des données ne doit pas entraver l'efficacité de la lutte contre la criminalité, mais elle doit être respectée28. Il faut donc des bases légales formelles, qui doivent en outre être formulées de manière suffisamment précise. La LSCPT en vigueur et le CPP, tout comme la future LSCPT qui devrait émerger suite à sa révision totale, de même que les ordonnances d'exécution, remplissent ces critères et forment la base légale permettant l'exploitation du système de traitement pour la surveillance des télécommunications.

28

Communication aux médias concernant le 20e rapport d'activités (2012/2013) du Préposé fédéral à la protection des données et à la transparence, extrait relatif à une prise de position dans le cadre de la consultation des offices sur le projet de révision totale de la LSCPT, exigence d'une base légale pour le recours à des programmes informatiques, consultable sous: www.edoeb.admin.ch > fr > Documentation > Rapports d'activité > 20-2012/2013

6487

3.5

Autres conséquences

Conséquences pour l'informatique de la Confédération Hormis les changements prévus pour le Service SCPT et pour fedpol, le projet, en l'état actuel de nos connaissances, n'a pas de conséquences pour l'informatique de la Confédération.

Une identification sûre des utilisateurs est fondamentale dans l'échange de données et d'informations. Le système de traitement pour la surveillance des télécommunications doit donc être intégré dans l'environnement de gestion des accès et des identités (identity and access management, IAM), afin de garantir que seules les personnes autorisées aient accès aux données enregistrées dans le système29.

Il faudra par ailleurs vérifier, lors de la mise en oeuvre du présent projet, que la bande passante des réseaux cantonaux est suffisante pour faire face aux futures exigences en lien avec le système de traitement. Concernant le réseau intercantonal KOMBV-KTV, dont la surveillance récurrente relève de la compétence de la Confédération, le DFJP, l'Office fédéral de l'informatique et de la télécommunication et l'Unité de pilotage informatique de la Confédération (UPIC) examineront ensemble, comme ils le font aujourd'hui, si des adaptations sont nécessaires et coordonneront les travaux.

Conséquences techniques Certains projets peuvent être intégrés dans l'architecture du système actuel de surveillance ISS. D'autres, en revanche, nécessiteront sans doute une nouvelle architecture. Si cette nouvelle architecture inclut des éléments qui ne sont pas conformes à la protection de base des TIC dans l'administration fédérale, l'autorisation de l'UPIC sera requise.

4

Relation avec le programme de la législature et avec les stratégies nationales du Conseil fédéral

4.1

Relation avec le programme de la législature

Le projet n'est annoncé ni dans le message du 25 janvier 2012 sur le programme de la législature 2011 à 201530, ni dans l'arrêté fédéral du 15 juin 2012 sur le programme de la législature 2011 à 201531.

L'arrêté fédéral proposé est néanmoins indispensable, parce qu'à défaut, le Service SCPT pourrait ne plus être en mesure, du point de vue technique, d'assurer complètement le mandat que la loi lui confie. Il en résulterait des charges supplémentaires et des restrictions considérables pour l'obtention et la mise à disposition de données pouvant servir de moyens de preuve dans des enquêtes pénales. Une non-réalisation du projet augmenterait par ailleurs immédiatement les besoins de ressources du

29

30 31

Des informations complémentaires sont disponibles sous www.upic.admin.ch > Thèmes > Architecture > Architecture de la cyberadministration > Priorités > Gestion des identités et des accès.

FF 2012 349 FF 2012 6667

6488

Service SCPT, des autorités de poursuite pénale et, tout particulièrement, de fedpol, parce que des solutions de rechange devraient impérativement être mises en oeuvre.

4.2

Relation avec les stratégies nationales du Conseil fédéral

Le projet s'inscrit dans la stratégie nationale du Conseil fédéral pour une société de l'information en Suisse32, puisqu'il contribue à protéger la population suisse de la cybercriminalité. Le système de traitement du Service SCPT fournit des résultats importants pour la poursuite de la criminalité sur internet. De plus, le développement de ce système diminuera les barrières administratives et renforcera l'efficacité du Service SCPT (cyberadministration).

Le projet est par ailleurs compatible avec la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et avec la Convention du Conseil de l'Europe sur la cybercriminalité. De nombreuses prestations sont aujourd'hui offertes et utilisées via des canaux électroniques. L'économie est ainsi exposée aux cyberrisques. En cas de soupçons sérieux, le système de traitement du Service SCPT réceptionne et enregistre des données issues de la surveillance de la correspondance par télécommunication, afin de permettre l'élucidation, y compris au niveau international, d'infractions relevant de la cybercriminalité.

5

Aspects juridiques

5.1

Constitutionnalité et légalité

Le projet s'appuie sur la compétence générale donnée à la Confédération de prendre les mesures nécessaires à l'accomplissement de ses tâches. Pour le reste, l'art. 92, al. 1, Cst. est déterminant.

La compétence de l'Assemblée fédérale d'adopter le crédit qui lui est soumis est donnée par l'art. 167 Cst.

5.2

Forme de l'acte à adopter

Conformément à l'art. 163, al. 2, Cst. et à l'art. 25, al. 2, de la loi du 13 décembre 2002 sur l'Assemblée fédérale33, l'acte doit dans le cas présent revêtir la forme de l'arrêté fédéral simple, qui n'est pas sujet au référendum.

32 33

La stratégie du Conseil fédéral pour une société de l'information en Suisse peut être consultée sous: www.infosociety.admin.ch > fr > Stratégie du Conseil fédéral.

RS 171.10

6489

5.3

Frein aux dépenses

Le projet est soumis au frein aux dépenses selon l'art. 159, al. 3, let. b, Cst., puisqu'il prévoit une nouvelle dépense unique de plus de 20 millions de francs ou de nouvelles dépenses périodiques de plus de 2 millions de francs. Le crédit total de 99 millions de francs doit donc être adopté à la majorité des membres de chaque conseil.

5.4

Conformité à la législation sur la protection des données

La surveillance de la correspondance par télécommunication touche directement des données personnelles. Une grande attention doit dès lors être portée à la question de la protection des données, notamment par le Service SCPT, qui doit veiller à la sécurité du système de traitement des données en question. L'existence d'une base légale formelle permet de satisfaire aux exigences de la protection des données. Par ailleurs, toutes les mesures de surveillance ordonnées doivent être examinées et autorisées par le tribunal des mesures de contrainte. Cet examen vise à garantir la protection juridique et la proportionnalité de l'atteinte à un droit fondamental protégé par la Constitution.

5.5

Conséquences pour la législation suisse de l'arrêt de la Cour de justice de l'Union européenne du 8 avril 2014 concernant la conservation des données secondaires

Comme il a déjà été mentionné au ch. 1.1, la CJUE a rendu le 8 avril 2014 un arrêt relatif à la directive de l'UE 2006/24/CE sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques.

Dans cet arrêt, la Cour conclut que la directive en question est invalide. Selon elle, la directive est contraire au principe de proportionnalité car elle est constitutive d'une ingérence dans le droit fondamental au respect de la vie privée et dans le droit fondamental à la protection des données à caractère personnel. La Cour ne s'oppose cependant pas à la conservation des données en soi, mais exige dans son arrêt qu'un cadre strict soit posé pour la conservation, l'accès à ces données et l'utilisation qui en est faite.

La législation suisse en vigueur et les révisions envisagées contiennent cependant de nombreuses règles matérielles et procédurales dont le but est de garantir la proportionnalité. En Suisse, l'ingérence dans les droits fondamentaux que constitue la conservation de données secondaires de télécommunications même en l'absence de soupçon est contrebalancée par des règles très strictes concernant aussi bien l'accès à ces données que l'utilisation qui peut en être faite, ainsi que par des voies de droit ouvertes aux personnes concernées. L'arrêt de la CJUE ne remet donc pas en cause la conservation des données secondaires telle que la prévoit la législation suisse en vigueur ou en préparation.

6490