Souveraineté numérique. Quelle garantie et quelles mesures du Conseil fédéral face au risque de surveillance des réseaux de télécommunication suisses par Huawei?
21.3951 · Interpellation · 2021-06-18
Département de l'environnement, des transports, de l'énergie et de la communication
Liquidé
Wortlaut
En mars 2021, en raison de soupçons d'espionnages, les USA renforçaient les mesures en matière de 5G adoptées à l'encontre de Huawei en étendant la listes des interdictions d'utilisation aux composants es appareils téléphoniques 5G. En juillet 2020, la Grande Bretagne avait interdit les composants de Huawei dans les installations téléphoniques de la 5G et imposé leur retrait de tous les équipements existants de Huawei d'ici 2027. L'Italie a aussi décidé d'exclure Huawei de la 5G.
Le 17 avril 2021, le journal néerlandais Volkskrant publiait un article mettant en cause des pratiques d'espionnage de l'entreprise chinoise Huawei sur le plus grand opérateur de télécommunication néerlandais KPN. Il révélait l'existence d'un rapport secret établit en 2010 déjà par la société Capgemini démontrant que Huawei avait pu avoir accès à de nombreux numéros de téléphones, leur historique d'appel et que l'entreprise chinoise était en mesure de mettre sous écoute de nombreuses personnes. Parmi ces dernières, se trouvaient, entre autres, des membres du cabinet gouvernemental, dont l'ancien premier ministre Jan Peter Balkenende.
À ce stade, les autorités néerlandaises non pu établir que Huawei n'a pas transféré les informations à la Chine.
Les derniers faits révélés montrent que l'opérateur Huawei constitue un risque réel et concret pour la sécurité en matière de télécommunication et la souveraineté numérique d'un pays.
En Suisse, Swisscom, Salt et Sunrise collaborent avec Huawei. Divers composants Huawei sont intégrés dans les infrastructures de la 4G et 5G comme l'a révélé un article du Temps en décembre 2020.
Au vu de ce qui précède, je pose les questions suivantes :
1. Le Conseil fédéral est-il au courant des révélations relatives aux agissements de Huawei au Pays-Bas ?
2. Le Conseil fédéral peut-il garantir aux citoyennes et citoyens de notre pays, comme à toutes les institutions officielles, que Huawei ne dispose en Suisse d'aucun moyen direct ou indirect - par le biais des composants intégrés dans les installations ou dans les appareils téléphoniques ou au travers des sociétés qui collaborent avec les opérateurs téléphoniques - lui permettant un accès aux informations personnelles des utilisateurs et utilisatrices utilisant un service de télécommunication collaborant avec cette entreprise ?
3. Le Conseil fédéral ne juge-t-il pas opportun vu les risques importants pour la sécurité des télécommunications de notre pays d'exclure Huawei des infrastructures et des appareils téléphoniques en Suisse comme fait par d'autres pays européens ?
4. Si l'exclusion n'est pas envisagée, quelles sont les mesures concrètes qui sont prises ou seront prises afin de réduire les risques liés aux vulnérabilités des réseaux des fournisseurs de télécommunications ?
5. Au vu, des risques généraux liées à l'externalisation des fournisseurs de matériel de télécommunication, est-il prévu que le Conseil fédéral mette en place un dispositif légal et propose des mesures afin garantir la souveraineté numérique de notre pays ?
Stellungnahme des Bundesrates
1. Le Conseil fédéral a pris connaissance des articles de médias sur les allégations aux Pays-Bas en 2010.
2. En vertu de l'art. 43 de la loi sur les télécommunications (LTC), les fournisseurs de services de télécommunication (FST) sont tenus au secret. Il leur est interdit de donner à des tiers des renseignements sur les communications des usagers ; de même, il leur est interdit de donner à quiconque la possibilité de communiquer de tels renseignements à des tiers. Dès lors, les FST doivent prendre les mesures techniques et organisationnelles permettant de garantir le secret des télécommunications et d'empêcher toute utilisation abusive des données concernées. Selon l'Office fédéral de la communication, compétent pour veiller au respect de l'art. 43 LTC, rien n'indique que les dispositions correspondantes en Suisse n'ont pas été respectées ou qu'elles ne le seront pas ; jusqu'ici, l'OFCOM n'a dû prendre aucune mesure de surveillance à cet égard.
Il appartient aux FST d'évaluer les risques potentiels qui pourraient accompagner l'utilisation de technologies de télécommunication. Il n'existe aucune garantie de sécurité absolue. Le choix de solutions matérielles et logicielles spécifiques dans les processus critiques doit se faire en tenant compte de considérations économiques et d'estimations basées sur les risques.
3. Dans sa réponse à l'IP 19.3051, le Conseil fédéral a déjà mentionné que, conformément aux bases légales existantes, la Confédération n'a pas la compétence d'exercer une influence sur les acquisitions d'équipements de réseau des FST. Pour développer leurs réseaux, les fournisseurs suisses de services de télécommunication acquièrent eux-mêmes les technologies et les prestations appropriées auprès des fournisseurs d'équipements de leur choix, présents sur le marché (par exemple Ericsson, Huawei, Nokia, Qualcomm, Samsung etc.). Grâce à la concurrence sur les infrastructures, plusieurs de ces entreprises fournissent des équipements de réseaux de télécommunication en Suisse.
4. L'art. 48a (Sécurité) de la loi sur les télécommunications récemment révisée contraint les FST à lutter contre toute manipulation non autorisée d'installations de télécommunication par des transmissions au moyen de techniques de télécommunication. En outre, aux fins de prévention des dommages et de réduction des risques, le Conseil fédéral peut édicter des dispositions sur la sécurité des informations et des infrastructures et services de télécommunication. La concrétisation au niveau de l'ordonnance est en préparation, et une consultation publique doit être lancée fin 2021. Comme dans l'UE, les mesures correspondantes se concentreront en premier lieu sur les réseaux 5G.
5. La sécurité et la disponibilité des réseaux de télécommunication, ainsi que leur intégrité et leur confidentialité, sont déterminantes pour une numérisation réussie de l'économie et de la société. Il est donc essentiel de renforcer la protection des infrastructures critiques conformément à la stratégie PIC et de prendre des mesures dans le domaine de la cybersécurité selon la stratégie SNPC. Comme exposé au point 4, le Conseil fédéral se concentre sur les aspects relevant de la sécurité et de la disponibilité des réseaux 5G ; la question de l'exclusion de certains fournisseurs d'équipements n'est pas débattue.
En Suisse, la numérisation ne pourrait avoir lieu sans recourir à des solutions matérielles et logicielles d'entreprises étrangères. À cet égard, la Suisse dépend des groupes technologiques étrangers et il est peu probable que, dans un proche avenir, des alternatives nationales aux solutions matérielles et logicielles dominantes de fournisseurs étrangers (Chine, États-Unis) puissent voir le jour.
Réponse du Conseil fédéral.