Communication de données sur les voyageurs aériens au Service de renseignement de la Confédération

Durant l’année sous revue, nous avons examiné la communication de données sur les voyageurs aériens du Secrétariat d’État aux migrations au Service de renseignement de la Confédération. Nous avons pu constater que celle-ci est conforme à la protection des données. Par contre, les normes d’application doivent être complétées.

Le Secrétariat d'État aux migrations (SEM) communique les données sur les voyageurs aériens au Service de renseignement de la Confédération (SRC). La Délégation des Commissions de gestion nous a demandé de vérifier si cette communication repose sur une base légale suffisante. Pour être conforme aux exigences en matière de protection des données, les organes fédéraux ne sont en droit de communiquer des données personnelles que s'il existe une base légale. Dans le cadre de notre analyse, nous avons constaté que les dispositions de la loi fédérale instituant des mesures visant au maintien de la sûreté intérieure (LMSI) peuvent seules entrer en ligne de compte en tant que base légale. Les données communiquées ne sont elles-mêmes pas des données sensibles. Par contre, le traitement de ces données personnelles dans le contexte de la sûreté intérieure et extérieure de l'État leur donne un caractère sensible et pourrait, dans certains cas, constituer des profils de la personnalité. Pour cette raison, la collecte par le SRC des données sur les voyageurs aériens et leur communication par le SEM doivent reposer sur une base légale au sens formel.

Conformément à la LMSI, le SRC recherche les informations nécessaires à l'exécution de ses tâches légales et ce même à l'insu de la personne concernée (art.14, al.1). La loi prévoit que le SRC peut collecter des données personnelles par le biais d'enquêtes sur l'identité ou le lieu de séjour de personnes et du relevé de leurs déplacements et de leurs contacts (art. 14, al. 2 LMSI). Cette disposition de la LMSI indique la catégorie des données collectées de même que la finalité de cette collecte. L'article 14, alinéa 1 et 2 constitue ainsi une base légale au sens formel permettant au SRC de collecter des données sur les voyageurs aériens.

En outre, sur la base de l'article 13, alinéa 1 LMSI, le SEM est tenu de fournir des renseignements au SRC. L'alinéa 2 de cette disposition stipule que le SEM doit communiquer spontanément des renseignements au SRC lorsqu'il décèle des menaces concrètes pour la sûreté intérieure ou extérieure et qu'il doit fournir des renseignements conformément à sa mission générale d'information en application de l'article 11 LMSI ou à des mandats du SRC dans des cas particuliers. L'article 11, alinéa 2 LMSI donne au Département fédéral de la défense, de la protection de la population et des sports (DDPS) la compétence de déterminer, dans une liste confidentielle, les opérations qui doivent être annoncées au SRC mais qui ne peuvent pas être publiées parce qu'elles doivent être gardées secrètes. La communication des données sur les voyageurs aériens du SEM au SRC repose également sur une base légale suffisante au sens formel.

Après avoir vérifié l'existence des bases légales au sens formel, il est nécessaire d'analyser les normes d'application. Celles-ci doivent être suffisamment précises pour que le traitement prévu respecte notamment le principe de proportionnalité. En application de l'article 4, alinéa 2 de l'ordonnance sur le Service de renseignement de la Confédération, le SEM doit communiquer spontanément et sans délai au SRC les faits et les constatations énumérés dans la liste confidentielle du DDPS visée à l'article 11, alinéa 2, LMSI. Cette liste confidentielle est soumise chaque année au Conseil fédéral pour approbation puis, pour information, à la Délégation des Commissions de gestion (art. 11, al. 7 LMSI). Cette liste, une fois approuvée par le Conseil fédéral, peut être considérée comme une norme d'application de niveau comparable à une ordonnance du Conseil fédéral. La liste confidentielle du DDPS doit contenir la liste des données personnelles qui doivent être communiquées au SRC. Nous avons constaté que cette liste confidentielle du DDPS ne mentionne pas explicitement toutes les communications de données sur les voyageurs aériens et doit être complétée afin de constituer une base légale suffisante.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/23e-rapport-d-activites-2015-2016/communication-de-donnees-sur-les-voyageurs-aeriens-au-service-de.html