CRCANR5L17S2025PO59051N094

— 1 —

La séance est ouverte à 9 heures

Présidence de M. Jean-Michel Jacques, président de la commission de la défense nationale et des forces armées et de Mme Agnès Firmin Le Bodo, vice-présidente.

La Commission auditionne, conjointement avec la commission de la défense nationale et des forces armées, M. Vincent Mazauric, président de la commission nationale de contrôle des techniques de renseignement (CNCTR) sur son rapport annuel et sur le thème : « Action des services de renseignement et nouvelles menaces : concilier l’efficacité opérationnelle et la protection des droits fondamentaux ».

M. Jean-Michel Jacques, président de la commission de la défense nationale et des forces armées. Madame la vice-présidente, Monsieur le Président Mazauric, mes chers collègues, il est extrêmement rare que la commission de la défense et la commission des lois mènent une audition en commun. Je m’en réjouis tout particulièrement aujourd’hui pour deux raisons.

D’abord, les notions de sécurité et de défense sont de plus en plus imbriquées. Toute nouvelle menace extérieure a des répercussions immédiates sur la situation intérieure, qu’il s’agisse des guerres hybrides, des menaces cyber, de l’ingérence économique, des guerres informationnelles ou du terrorisme, qui est parfois le fait de proto-États installés hors de nos frontières mais activant leur réseau à l’intérieur de celles-ci.

Ensuite, cette audition est consacrée au domaine du renseignement, qui fut l’un des axes prioritaires de la dernière loi de programmation militaire (LPM), en réponse à l’actuelle dégradation de notre environnement stratégique. De 2024 à 2030, pour le ministère des armées, 5 milliards d’euros sont consacrés au renseignement et à la contre-ingérence.

Je me félicite en conséquence d’accueillir le président de la Commission nationale de contrôle des techniques de renseignement (CNCTR), M. Vincent Mazauric. Cette audition est à huis clos, à sa demande, pour qu’il puisse s’exprimer aussi librement que possible.

Monsieur Mazauric, vous occupez vos fonctions actuelles depuis le 28 mars 2025, dans le cadre d’un mandat qui arrivera à échéance en octobre 2027. Vous avez la particularité de ne pas venir du monde du renseignement, ayant occupé les fonctions de directeur général adjoint des finances publiques à Bercy puis de directeur général de la Caisse nationale des allocations familiales (Cnaf). En 2021, vous avez été nommé conseiller d’État.

La CNCTR contrôle l’utilisation par les services de renseignement des techniques de surveillance, de plus en plus sophistiquées en raison notamment du recours à l’intelligence artificielle. Dans ce contexte, la loi du 24 juillet 2015 relative au renseignement a été un tournant majeur dans le contrôle des techniques de renseignement. Elle prévoit notamment la création de la CNCTR et le renforcement des prérogatives de la délégation parlementaire au renseignement (DPR), que j’ai l’honneur de présider cette année.

Mme Agnès Firmin Le Bodo, vice-présidente de la commission des lois. Mes chers collègues, je suis heureuse de reprendre nos travaux par cette audition commune et vous prie de bien vouloir excuser le président Boudié. Je salue la mémoire de Serge Lasvignes, qui a présidé la CNCTR de septembre 2021 à janvier 2025 et auquel le rapport d’activité 2024 de la CNCTR rend hommage en des termes émouvants et chaleureux.

Les missions de la CNCTR sont essentielles. Vous êtes, monsieur Mazauric, le maillon entre les services de renseignement et nous, représentants du peuple, ainsi qu’avec le grand public. Nous vous auditionnons à huis clos, mais le rapport d’activité que nous évoquerons est bel et bien public.

La CNCTR est au cœur des préoccupations qui sont les nôtres en matière d’encadrement des techniques de renseignement. Elle exerce un contrôle a priori et a posteriori sur leur mise en œuvre. Vous êtes donc un observateur privilégié des réalités du monde du renseignement contemporain et un acteur essentiel de l’équilibre entre la garantie des droits et libertés, d’une part, et les intérêts fondamentaux de la nation d’autre part.

La lecture de votre rapport d’activité m’inspire deux questions, qui sont en rapport direct avec de récents travaux de la commission des lois. Pouvez-vous rappeler le cadre juridique de l’emploi de l’algorithme sur lequel nous, législateurs, sommes revenus à plusieurs reprises en 2024 et en 2025, notamment dans le cadre de la loi visant à prévenir les ingérences étrangères en France et de la loi visant à sortir la France du piège du narcotrafic, et auquel vous consacrez une étude en annexe de votre rapport d’activité ?

Afin d’éclairer d’éventuels travaux législatifs à ce sujet, pouvez-vous présenter l’analyse de la CNCTR sur une éventuelle obligation de déchiffrement des communications sécurisées par les opérateurs et fournisseurs de services ? Nous avons abordé la question délicate des « portes dérobées » dans le cadre de l’examen de l’article 8 ter de la loi visant à sortir la France du piège du narcotrafic, finalement supprimé.

M. Vincent Mazauric, président de la Commission nationale de contrôle des techniques de renseignement (CNCTR). Mesdames et messieurs les députés, je suis extrêmement sensible à l’occasion que vous donnez à la CNCTR de s’exprimer par ma voix devant deux commissions réunies. Permettez-moi de présenter les personnes qui m’accompagnent pour la représenter.

M. Jean-Marc Détré vient de rejoindre le collège de la CNCTR en qualité de personnalité qualifiée. Nommé par le Président de la République sur proposition de la présidente de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), il est général de la Gendarmerie nationale en deuxième section. Il a été choisi en raison de sa carrière à la fois opérationnelle et technique.

Je suis heureux que, pour la première fois, l’occasion lui soit donnée de venir au contact du Parlement, qui est à nos yeux plus qu’un interlocuteur : le représentant de la population et des citoyens, auxquels nous avons à rendre compte. Mme Airelle Niepce est secrétaire générale de la CNCTR et Mme Juliette Emard-Lacroix conseillère auprès du président.

C’est presque il y a six mois jour pour jour que j’ai pris mes fonctions. J’ai à cœur le souvenir du président Serge Lasvignes. Si mon expérience professionnelle est un peu éloignée du monde du renseignement, elle ne l’est ni du droit, ni de l’application de la loi, ni de la bonne manière de rendre le service public et d’accomplir la politique publique. Le renseignement – la loi de 2015 en fait un principe important et respectable – est une politique publique comme une autre.

Vous nous avez invités à réfléchir devant vous à un sujet essentiel pour nous : « Action des services de renseignement et nouvelles menaces : concilier efficacité opérationnelle et protection des droits fondamentaux ». C’est l’objet même de la loi du 24 juillet 2015, qui entend fixer un équilibre entre une politique publique, attribution exclusive de l’État et indispensable, et la protection des libertés publiques et individuelles. Tel est l’objet des deux premiers articles du livre VIII du code de la sécurité intérieure, consacré au renseignement.

Quelques remarques générales, quelques illustrations, quelques indications thématiques me permettront en particulier de répondre aux questions de Mme Firmin Le Bodo.

C’est l’équilibre même de la loi de 2015 que de concilier efficacité opérationnelle et protection des droits fondamentaux. La première garantie de cela est le respect, par les services de renseignement, de l’État de droit. Ils sont légalistes ; ils sont républicains. Cela ne les empêche pas de commettre des erreurs ni d’avoir une action imparfaite ou parfois critiquable, mais je fais une différence entre légalisme et illégalité.

Le travail de la CNCTR est, point par point, en soulignant les plus importants, de relever ce qui est illégal et doit être corrigé. L’acquisition fondamentale par les services de renseignement des principes de l’État de droit est le fondement absolu et la garantie première de l’équilibre auquel vos deux commissions sont attentives. Avant même l’existence d’un contrôleur ces principes doivent être intériorisés.

Il ne suffit pas de le savoir et de compter dessus. Dans notre pratique à l’égard des services de renseignement, y compris pour mettre en évidence certaines difficultés qui peuvent parfois être qualifiées d’illégalités, notre attitude consiste – j’emploie les mêmes termes que ceux avec lesquels je m’exprime en m’adressant aux directrices et aux directeurs des services de renseignement –à ne pas être la chambre d’enregistrement de la contrainte opérationnelle. Cela, après le principe de l’État droit, est absolument fondamental.

Nous sommes en police administrative et non en police judiciaire, c’est-à-dire à un moment – c’est la mission des services – où tout est incertain. C’est le moment de l’hypothèse. L’objectif est de prévenir que des menaces ne se réalisent.

Il est normal que les services de renseignement – c’est leur travail – cherchent, explorent des pistes, lèvent des doutes – expression dont ils usent volontiers – et, à ce titre, demandent l’emploi de techniques de renseignement sur des personnes que le jargon peut conduire à appeler des cibles. Cette nécessité, qui est le corps même de leur mission, peut les pousser à en demander davantage, à en demander plus longtemps, ce qui à nos yeux est un des éléments essentiels de l’appréciation du caractère nécessaire et proportionné de l’action de renseignement.

Nous sommes là, à la CNCTR, pour recevoir ces demandes et en mesurer à chaque fois la nécessité et la proportionnalité, mais aussi pour poser des questions, faire équilibre avec le service, non pour s’opposer à la contrainte opérationnelle des services, qui exerce sur eux une réelle pression – les services de sûreté intérieure et les services du renseignement territorial l’éprouvent chaque jour –, mais rappeler la force de rappel, si j’ose dire, de la loi.

Tout ce qui peut paraître justifié pour un service ne l’est pas nécessairement. Tout ce qui demande l’emploi d’une technique intrusive n’est pas forcément justifié. C’est dans cette discussion permanente, dans cette recherche d’équilibre que nous avons pour charge, partagée avec les services de renseignement, de concilier l’opérationnel et les droits fondamentaux.

J’en viens à quelques illustrations chiffrées. L’année 2024, dont nous avons rendu compte au mois de juin en publiant notre rapport d’activité, a été, chacun le sait, exceptionnelle – Jeux olympiques et paralympiques de Paris (JOP), événements graves en Nouvelle-Calédonie, événements très sérieux aux Antilles, notamment en Martinique. Pour autant, la quantité, si vous me permettez cette expression, d’emploi des techniques de renseignement est restée modérée.

L’indicateur qui me semble le plus important à regarder est le nombre de personnes surveillées, que la CNCTR estime chaque année avec une incertitude, qu’il faut admettre, de 10 %. Peu de pays comme le nôtre rendent publique chaque année, et chez nous depuis dix ans, une estimation du nombre de personnes surveillées. Elles étaient 24 308 en 2024, soit même pas 100 de plus que l’année précédente, en dépit des circonstances que j’ai rappelées.

C’est plus éloquent encore sur une longue période. En dix ans, la CNCTR aura rendu aux Premiers ministres successifs 735 000 avis. Si le nombre annuel de techniques de renseignement, pendant ces dix années, a augmenté significativement, de 48 %, le nombre de personnes surveillées n’a progressé que de 20 %. Au surplus, il était déjà supérieur à 20 000 à l’issue de la première année d’activité de la CNTCR, installée le 3 octobre 2015.

Que nous dit le rapport entre ces deux évolutions ? Augmentation du nombre de techniques ; complexification ; davantage de dissimulations ; pluralité grandissante des risques ; croissance modérée, quasi stable, du nombre de personnes surveillées ; discipline générale et, je l’espère, rôle modérateur et contrôleur de la CNCTR.

J’en viens à quelques éclairages sectoriels et thématiques, qui me permettront peut-être d’appeler plus particulièrement l’attention de vos commissions sur les aspects les plus actuels de ce grand équilibre à propos duquel vous m’invitez à m’exprimer.

Le premier a trait aux sujets, au travail des services et à l’attitude ainsi qu’à la doctrine de la CNCTR s’agissant de ce que la loi désigne comme la prévention des violences collectives susceptibles de porter gravement atteinte à la paix publique, soit la finalité dite « 5c » parmi les finalités définies par le code de sécurité intérieure et permettant de fonder une demande de technique de renseignement. C’est de longue date, dans l’activité des services et donc, symétriquement, dans notre rôle de contrôle, le sujet le plus délicat.

Il se place à la frontière parfois difficile à tracer et à identifier, entre les libertés d’expression, d’opinion, de réunion et de manifestation d’une part, et de véritables actes collectifs – critère essentiel – de violence d’une gravité suffisamment significative. Cela ne désigne pas tout et n’importe quoi : un tag, dont on pense ce que l’on veut, n’est pas en soi une violence.

C’est l’un des sujets que la commission a cherché le plus à approfondir, dans la recherche d’une bonne administration de l’équilibre entre la vie opérationnelle et quotidienne des services et la protection des droits fondamentaux telle que la veut la loi. Cela nous a amenés à énoncer une doctrine, qui est non seulement une interprétation de la loi – nous ne sommes pas chargés d’aller très loin dans l’interprétation – mais une illustration, après des années de mise en œuvre des techniques, de compréhension ainsi que d’observation des phénomènes concrets tels qu’ils se produisent et tels que les services ont à y faire face.

Bien entendu, cette doctrine, qui est à la disposition des services, est classifiée, mais nous en avons rendu l’essentiel : l’architecture, la structure, public en 2023, dans notre rapport d’activité consacré à l’année 2022. C’est une borne importante pour nous.

La manière de faire nous permet aussi d’expliquer, aux services et à l’opinion, la mesure de l’action. Tout ne se justifie pas, même s’il peut paraître nécessaire aux services d’entreprendre les choses. Tout ne s’improvise pas. Il faut laisser le moins de subjectif possible. C’est l’intérêt d’avoir des termes de compréhension communs avec les services. Tel est l’objet d’une doctrine.

S’agissant d’une autre très grave menace : le terrorisme, revenue en tête des finalités poursuivies par les services de renseignement en 2024 – en 2023, ce fut la criminalité organisée –, nous observons au contact des services, et cherchons à en rendre compte, une évolution des formes. Certains proto-États, qui hélas existent et nuisent encore, ont dès l’origine voulu incarner la menace et la terreur.

Nous constatons des formes de plus en plus individuelles, touchant des personnes de plus en plus jeunes et susceptibles, par le contact des réseaux sociaux et même dans l’isolement, de développer des projets graves et menaçants pour la société. En substance, les formes du risque terroriste ont évolué avec les années ; l’action des services a donc évolué aussi. Notre compréhension juridique de ce qu’est la prévention de la menace terroriste a suivi cette évolution.

J’en viens à un aspect plus technique que juridique, le recueil de données informatiques. Cette technique de renseignement est l’une des plus intrusives. Son emploi a crû de 136 % de 2020 à 2024, et notamment de 27 % de 2023 à 2024. Elle est, de l’avis des services, de plus en plus nécessaire compte tenu du tarissement de l’utilité des bonnes vieilles interceptions de sécurité et du caractère chiffré de nombreuses communications sur certains réseaux. Il ne reste donc à un service faisant son travail qu’à chercher à pénétrer dans un appareil – téléphone, ordinateur, tablette – par diverses techniques pour en appréhender le contenu afin de remédier au chiffrage et au tarissement de la source la plus classique.

Or cette technique, par son intrusivité même, soulève une question de proportionnalité. Est-il justifié d’aller jusque-là ? Qu’est-ce qui, dans ce que l’on sait de la menace, permet d’en être le plus sûr possible ? Par ailleurs, elle nous pose un problème technique qui nous permet de toucher nos limites de capacité car, si l’on ramasse beaucoup de données, il peut être compliqué de les appréhender, pour le service comme pour nous, dans notre fonction de contrôle. Ces données méritent-elles d’avoir été recueillies ? Méritent-elles d’être conservées ? L’analyse qu’on en tire mérite-t-elle d’être posée ? Tels sont les éléments de la liste de contrôle de la CNCTR.

Toutefois, le produit de cette technique n’est pas, contrairement aux interceptions de sécurité depuis 1960, centralisé juridiquement et physiquement par un service placé sous l’autorité du Premier ministre, le Groupement interministériel de contrôle (GIC). Les résultats obtenus par cette technique sont disséminés dans les services qui la mettent en œuvre.

Ce n’est pas une illégalité, mais ça finit par être une difficulté qui illustre la limite de capacité de notre commission, qui compte vingt-deux personnes, outre les neuf membres du collège, dont quatre parlementaires. Parmi ces vingt-deux personnes, quatorze sont des chargés de mission ayant la qualité de magistrats, d’officiers ou d’ingénieurs.

Avec seulement quatorze personnes pour traiter 100 000 demandes et faire 120 à 130 contrôles sur pièces et sur place par an, nous ne tarderions pas, si rien n’est modifié à cela, à franchir une limite de capacité.

Ce n’est pas un problème en soi : l’aspect administratif de cette difficulté est réel mais pas essentiel. Ce qui l’est, c’est ne plus être capable de porter, alors que la loi nous le demande, la garantie que nous sommes chargés de mettre en œuvre. C’est pourquoi mon prédécesseur avait persuadé les pouvoirs publics et obtenu du Président de la République, à la fin de l’année 2023, la mise en œuvre d’un système, adapté à cette technique, de centralisation pour abaisser les obstacles précités et permettre qu’à l’égard de cette technique comme des autres notre droit de contrôle puisse s’exercer.

S’agissant de la technique de l’algorithme, nous avons écrit dans le rapport, préparé avant la fin de l’examen de la loi visant à sortir la France du piège du narcotrafic et avant la décision rendue par le Conseil constitutionnel à son sujet en juin tout ce que l’on pouvait rendre public, donc pas la totalité de l’algorithme.

Le terme d’algorithme peut faire peur, car on imagine des traitements massifs de données.

La première chose qu’il me paraît important de répéter à la représentation nationale, c’est que l’algorithme – six ont été autorisés, cinq fonctionnent – n’est pas une technique de surveillance de masse. Dans son but, donc dans sa conception, un algorithme cherche à croiser une population d’individus définis – non la population tout entière – et certains éléments, certains signaux – il n’est pas possible hélas d’en donner une illustration plus précise – d’ordre comportemental, par exemple certaines manifestations que tel mouvement peut tracer.

De ce croisement – l’algorithme est bien un croisement – émerge le cas échéant ce que les professionnels appellent un signal faible, susceptible de désigner une personne présentant un risque au titre non pas de toutes les finalités prévues par le code de la sécurité intérieure mais de certaines, soit, à l’heure actuelle, la prévention du terrorisme, des menaces pour la défense nationale et des ingérences étrangères, qui sont les finalités mentionnées aux 1°, 2° et 4° de l’article L. 811-3 du Code de la sécurité intérieure (CSI). Ce n’est qu’à la suite de ce traitement et de l’éventuelle émission d’un tel signal, qui alors demeure anonyme, que le service peut soumettre à l’avis de la CNCTR une demande de levée de l’anonymat puis, si cela le justifie, demander, selon la marche classique, la mise en œuvre individualisée de techniques de renseignement.

Il n’y a donc pas de mise en œuvre généralisée de techniques de renseignement. Nous en exerçons le contrôle à chaque étape, de l’amont à l’aval. Le schéma, le but, le raisonnement d’un algorithme nous sont présentés pour faire l’objet d’une délibération, qui est précédée de questionnements adressés aux services de renseignement sur la pertinence de son emploi.

Le champ de l’algorithme ne doit être ni trop large ni trop étroit. Nous ne laisserions passer en vérité ni l’un et l’autre : trop large, le risque serait important pour la liberté et la tranquillité des uns et des autres ; trop étroit, la question de sa nécessité se poserait – faut-il par exemple employer un algorithme pour n’avoir qu’un signalement tous les semestres ? C’est cet équilibre que, dès le départ, nous cherchons à mesurer. Nous nous prononçons ensuite sur la levée de l’anonymat et sur l’usage des techniques de renseignement individuelles.

Lors des débats relatifs à la loi visant à sortir la France du piège du narcotrafic, vous avez cherché, pour des motifs justifiés, à étendre l’algorithme à la finalité relative à la prévention de la criminalité organisée. Dès notre rapport d’activité 2023, nous écrivions que la criminalité organisée devenait une menace pour nos institutions, soit non seulement un phénomène de banditisme, mais un enjeu structurel pour le pays, ce qui justifiait à nos yeux l’extension de la technique de l’algorithme.

On sait le sens et la portée de la décision du Conseil constitutionnel de juin 2025, saisi spécifiquement sur l’article 15 de la loi votée. Comme sa technique jurisprudentielle le permet, le Conseil constitutionnel, tout en ayant reconnu un intérêt général à l’extension qui avait été votée, s’est appuyé sur la critique d’une mesure votée en 2021, qui n’avait alors pas fait l’objet d’un examen constitutionnel, relative à l’emploi des adresses de ressource unique sur internet dans les algorithmes. Il a estimé que, faute d’un encadrement suffisant, cet usage prévu par la loi, et qui n’avait pas encore servi – je pense que cela a compté dans le raisonnement du juge constitutionnel – ne respectait pas le principe de proportionnalité et ne garantissait pas les libertés.

Mais la conclusion que je crois pouvoir, vu de la CNCTR, qui n’est ni l’exécutif ni le législateur, tirer de cette décision, tout en la respectant absolument, c’est qu’il demeure possible de revenir sur cette question. On devra également revenir – je m’adresse aux législateurs – sur deux sujets maintes fois signalés par la CNCTR : d’une part les échanges d’informations de toutes sortes entre services français et leurs homologues étrangers, car ils ne sont pas encadrés par la législation française, ce qui contrevient à la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CEDH) et, d’autre part, les fichiers de souveraineté.

La question des fichiers de souveraineté mérite, avant que le législateur en soit saisi, un débat d’explication entre les services et nous-mêmes. Cela consiste à coller une étiquette sur un dossier en disant à la CNCTR : « Vous ne pouvez pas aller voir, parce qu’il y a là-dedans des informations relevant de la souveraineté qui ne procèdent pas des techniques sur lesquelles vous vous êtes prononcé et que le Premier ministre a autorisées ». Il peut s’agir de renseignements issus de sources ouvertes ou humaines, ou que sais-je encore. Il s’agit d’une forme de privation de notre regard, alors même que nous estimons, sans aller au-delà de notre champ de compétence, devoir être en mesure de contrôler tout ce qui relève de la CNCTR, où que soit logée l’information.

S’agissant de la question du déchiffrement et des portes dérobées, j’aurai un mot prudent. La CNCTR ne s’estime pas, et de loin, la première et la seule autorité compétente pour réfléchir à cela et se prononcer à ce sujet. Ce n’est pas pour esquiver la question que je mentionne les rôles, qui me semblent essentiels, de l’Arcep et de la Commission nationale de l’informatique et des libertés (Cnil).

À l’heure actuelle, l’équilibre n’est pas bon entre les possibilités, quand elles existent, de pratiquer une porte arrière dans les messageries chiffrées et le droit de chacune et de chacun, moi compris, à la protection de la discrétion et du secret de ses conversations. Les débats relatifs à loi visant à sortir la France du piège du narcotrafic ont démontré la difficulté à légiférer à ce sujet.

Je suis convaincu que la réflexion, d’abord technique et rapidement juridique, pourra se poursuivre. La CNCTR y prendra sa part, d’autant que l’une des raisons d’un recours important au recueil de données informatiques est cet obstacle, pour le moment infranchissable. Une évolution me semble salubre mais, comme vos débats l’ont montré, la solution n’a rien d’évident.

M. le président Jean-Michel Jacques. Nous en venons aux interventions des orateurs des groupes.

Mme Caroline Colombier (RN). Au nom du groupe Rassemblement national, je salue le rôle de la CNCTR. Le colloque anniversaire de ses 10 ans, lundi dernier à l’École militaire, en a montré l’étendue et les enjeux.

Plus généralement, nous saluons sincèrement le travail et le grand professionnalisme de nos services des premier et deuxième cercles du renseignement. Ils font face, y compris sur le terrain, à des menaces en pleine croissance et en pleine mutation. Il s’agit notamment des menaces terroristes, de la criminalité organisée, des ingérences étrangères, des cyberattaques, de la manipulation de l’information, de la guerre cognitive, de la multiplication des conflits hybrides et conventionnels, des enjeux de l’intelligence artificielle, et j’en passe.

Ces dangers appellent une adaptation des techniques de renseignement, d’autant que les Français sont en droit d’attendre de l’État qu’il les protège en toutes circonstances. Dans notre pays, la sécurité est considérée comme la première des libertés.

Dans ce contexte, le rôle de la CNCTR se situe à un carrefour entre évaluation rigoureuse du principe de proportionnalité, respect de l’État de droit et garantie de l’efficacité de nos services, qui doivent disposer réellement des moyens juridiques, humains et technologiques pour détecter et entraver des menaces pesant sur la France. La seconde est la confiance démocratique, qui permet d’éviter que l’extension des capacités de surveillance, notamment numériques, n’induise un affaiblissement durable des droits fondamentaux.

Avec votre regard extérieur de contrôle, considérez-vous que les moyens et les fonds spéciaux dont disposent les services sont à la hauteur des enjeux que vous venez de décrire ? Estimez-vous qu’il est nécessaire de faire évoluer la loi de 2015 relative au renseignement ? Si tel est le cas, de quelle manière ?

M. Vincent Mazauric. La CNCTR sera prudente pour répondre à votre première question s’agissant du caractère suffisant des moyens des services de renseignement. Je ne m’en servirai pas non plus comme d’un marchepied pour, à nouveau, signaler à la représentation nationale les difficultés que notre petite commission de contrôle peut, elle aussi, rencontrer.

J’observe simplement, pour vous répondre de la manière la plus honnête possible, non sans rappeler que le champ de la CNCTR est circonscrit aux techniques de renseignement et ne couvre pas toute l’activité des services – par exemple, l’activité à l’étranger de la DGSE (direction générale de la sécurité extérieure) n’est pas dans le champ de contrôle de la CNCTR – que, conformément à votre volonté de législateur financier et budgétaire, sur proposition du gouvernement, les moyens des services de renseignement sont en croissance régulière. Nous cherchons surtout, pour notre part et dans notre champ de compétence, à veiller à leur bon emploi.

Par exemple, si une surveillance s’établit dans la longue durée – la loi autorise des périodes de surveillance de deux et quatre mois, qui peuvent être renouvelées à de nombreuses reprises –, quelle en est la nécessité et la justification ? Le service est-il en train de bien employer ses moyens ? Je n’en suis certes pas le contrôleur de gestion mais, au nom de la bonne application de la loi, cette question nous importe et, dans un dialogue que nous avons très fréquemment avec les services sur la durée de la surveillance, nous soulevons ce point, qui bien entendu passe après la question de savoir si la prorogation d’une surveillance est justifiée par l’espoir, ou la crainte, de trouver quelque chose.

Faut-il faire davantage évoluer la loi de 2015 ? Oui. Son cadre est remarquable en ce qu’il couvre et en ce qu’il tient. Il a été pensé, et c’est une réussite, pour être en quelque sorte insensible, comme l’est une protection sismique, aux variations techniques qui, pendant ces dix années, n’ont pas manqué de survenir sans le rendre obsolète. Il faut donc le préserver. Il mérite toutefois d’évoluer sur deux points, les échanges d’informations entre les services français et leurs homologues étrangers et, après un examen technique que j’espère précis et serein, les dossiers de souveraineté.

M. Yannick Chenevard (EPR). Monsieur Mazauric, je vous remercie d’avoir rappelé la place du droit dans le renseignement en général et dans celui d’un État de droit en particulier. Je rends hommage aux femmes et aux hommes de la CNCTR. Ils ne sont que vingt-deux, outre les neuf membres du collège, ce qui est bien peu pour traiter 98 000 demandes par an, soit à peu près 400 par jour, dans un délai compris entre 24 et 72 heures, ce qui exige de prendre des décisions rapidement.

Après dix années de mise en œuvre de la loi de 2015, au cours desquelles un sixième algorithme a été autorisé et un autre abandonné, disposez-vous des moyens humains et techniques nécessaires au sein de la CNCTR pour l’accomplissement de vos missions ? Quel bénéfice attendez-vous de la centralisation des données au GIC (groupement interministériel de contrôle) décidée par le Président de la République en 2023 ?

M. Vincent Mazauric. Monsieur le député, je vous remercie de votre hommage. Je sais ce que vous avez apporté à la CNCTR et la vigilance avec laquelle vous la protégez encore.

La question des moyens, que j’aborderai sous l’angle qualitatif après vous avoir sensibilisés à son aspect quantitatif, est essentielle. S’il y a dans notre collège une personnalité qualifiée – le général Détré – « pour sa connaissance en matière de communications électroniques », comme le dit la loi, c’est pour que ce collège soit au bon niveau. L’équipe, certes restreinte, compte plusieurs ingénieurs.

Nous devons pouvoir faire un travail sérieux lorsque nous contrôlons les services, ce qui suppose de comprendre – ce qui ne signifie pas nécessairement admettre – comment tout cela fonctionne : où rangez-vous les données ? Comment circulent-elles ? À quoi sert ce fichier ? De quelle manière pouvons-nous y accéder ?

Il y a des progrès, qui méritent d’être signalés. Par exemple, nous sommes en mesure, depuis plusieurs mois, d’utiliser un outil de requêtage quotidiennement employé par un service, d’un commun accord avec lui. Cette capacité professionnelle décuple notre capacité d’action. C’est à cette image que j’aimerais voir les choses progresser pour entretenir notre compétence technique. Le risque de perte ou d’insuffisance de compétence technique est à mes yeux le risque majeur que court la CNCTR.

Quelle forme la centralisation de la technique de recueil et de captation de données informatiques (RDI) prendra-t-elle ? Une forme appropriée à mes yeux. Ce ne sont plus des bobines qui tournent sur des magnétos sous les Invalides. Nous sommes prêts à renoncer à ce modèle pour en adopter un autre plus conforme aux exigences de l’informatique et qui doit être une chance supplémentaire pour les services.

Il faut que leurs conditions de travail opérationnel, qu’il n’est pas question d’entraver, soient elles aussi améliorées. Que nous y gagnions, le cas échéant en n’ayant pas à nous déplacer ni à faire de la plongée profonde dans des fichiers de plusieurs téraoctets, nous permet d’accéder plus facilement aux données pour comprendre plus vite et sert aussi l’intérêt des services.

Mme Élisa Martin (LFI-NFP). S’agissant des personnes surveillées, le volume des demandes a significativement augmenté en 2023, de 15 %. Pouvez-vous nous en dire un mot ? Quant au retour de la prégnance du risque terroriste, il arrive que l’on observe ce que l’on regarde. S’agissant des violences collectives, pouvez-vous les définir ?

Comment faire en sorte que les services qui travaillent sur des fichiers propres non centralisés, donc sans autorisation ni contrôle, ne le fassent plus ? Cela suggère que d’aucuns souhaitent passer sous les radars, notamment les vôtres.

Les algorithmes permettent d’embrasser un nombre de données quasi incommensurable. Dès lors, comment êtes-vous en capacité de repérer des signaux dits faibles en matière d’ingérence étrangère ou de criminalité organisée ?

M. Vincent Mazauric. Permettez-moi de répondre à vos questions dans un ordre un peu différent de celui dans lequel vous les avez posées, pour me concentrer sur ce que je crois être le principal et le plus neuf qu’elles apportent à notre échange. Comment empêcher les services de renseignements de travailler sur des fichiers propres sans autorisation ni contrôle ? Je répondrai pas à pas, précisément.

En soi, un fichier propre n’est pas un objet illégal. Ce qui est illégal, c’est employer une technique qui n’a pas été autorisée, l’employer à d’autres fins que ce pour quoi elle a été autorisée par le Premier ministre après que nous avons rendu un avis favorable ou encore prolonger au-delà de la permission légale une surveillance ou conserver avec la même infraction des données qui auraient dû être effacées. Les ranger dans un fichier propre n’est pas en soi une illégalité.

Toutefois, c’est pour nous la base de la compréhension, qui est elle-même la condition de la réalité et de la sincérité de notre contrôle, que de savoir où sont les données. Nous demandons formellement aux directrices et aux directeurs des services, pour commencer, une cartographie des données que leurs services ont la charge de gérer.

C’est selon nous une première condition pour vérifier qu’un rideau opaque et épais ne nous cache pas quelque chose qui serait rangé derrière. Mieux nous connaissons cela, mieux nous patrouillons ces parages, mieux nous en connaissons et mesurons les mises à jour, mieux nous faisons notre travail.

S’agissant de votre question sur les algorithmes, à laquelle, je l’espère, mes premiers propos par anticipation répondaient, ils ne traitent pas des quantités incommensurables de données. Je dois insister sur ce point. Par essence, ils concernent plusieurs personnes, mais des personnes dont le profil est défini. Certes, contrairement à une technique individuelle dont le début est de désigner le nom, le prénom, l’adresse et l’activité de la personne concernée, un algorithme a une visée collective, mais son seul produit est un signal anonyme, dont ne peuvent découler que des techniques au grand jour, si j’ose dire, désignant une personne. Cette étape, absolument indispensable, permet de dire qu’il n’y a pas de surveillance de masse.

Mme Valérie Bazin-Malgras (LR). Dix ans après la loi de 2015, la CNCTR joue un rôle central dans l’équilibre délicat entre la protection des libertés publiques et la nécessité, pour nos services de renseignement, d’agir face à des menaces graves et mouvantes. Votre rapport rappelle combien cet équilibre est exigeant. D’un côté, l’intensité des demandes reste forte, en particulier lors des grands événements à enjeu sécuritaire de 2024, de l’autre, nous constatons une montée en puissance des techniques les plus intrusives, telles que le recueil de données informatiques et la captation dans les lieux privés, qui soulève des enjeux accrus de traçabilité.

Par ailleurs, cet équilibre est soumis aux évolutions jurisprudentielles et législatives. L’arrêt French data network et autres du Conseil d’État du 21 avril 2021 a imposé l’avis conforme de la CNCTR pour l’accès aux données de connexion. Quel a été concrètement l’impact de cette décision sur le fonctionnement quotidien des services ? Leur efficacité opérationnelle a-t-elle été préservée ou la protection des droits fondamentaux a-t-elle réduit leur marge d’action ?

Vous avez rappelé la persistance d’anomalies telles que le dépassement de la durée légale, l’insuffisance de la traçabilité et le caractère incomplet de bulletins de renseignements. Dans un contexte de généralisation des techniques intrusives, comment la CNCTR entend-elle garantir que ces pratiques demeurent strictement proportionnées et faire en sorte que vos constats répétés induisent enfin des améliorations effectives dans les services ?

M. Vincent Mazauric. L’arrêt du Conseil d’État a permis de modifier et de clarifier la loi en rendant l’avis de la CNCTR destiné au Premier ministre chargé de délivrer une autorisation non pas conforme mais suffisamment inspirant pour que le Premier ministre le suive à coup sûr. S’il passe outre un avis défavorable de la CNCTR, elle en est aussitôt prévenue et saisit immédiatement le Conseil d’État, qui a 24 heures pour se prononcer. Cette disposition est suffisamment dissuasive pour ne jamais avoir servi.

Cette évolution est totalement neutre pour l’activité des services. Il y a bien assez d’occasions, pour un service, dans l’échange avec nous, de voir sa proposition questionnée, parfois mise en cause et parfois écartée par notre avis alors défavorable pour que ce dernier réglage législatif, qui place la CNCTR dans le système institutionnel d’une manière tout à fait efficace, ait une influence sur la vie des services.

Les imperfections que nous signalons dans nos rapports sont celles dont nous pensons non seulement que leur fréquence et surtout leur persistance finissent par poser problème mais, fondamentalement, pour que les choses aient du sens et qu’un message passe, comme aujourd’hui devant vous, lorsque l’anomalie en cause et sa fréquence ou sa persistance deviennent une menace pour les libertés. Il y a des imperfections administratives et j’ai une assez longue carrière administrative pour en avoir vu, commis moi-même et certainement laissé passer. Elles sont blâmables mais vénielles. Si en revanche la négligence, la coutume ou je ne sais quelle autre cause finit par porter atteinte à nos droits de contrôle, donc à la protection de la liberté, cela mérite d’être signalé.

Mme Catherine Hervieu (ÉcoS). Vous avez rappelé à plusieurs reprises la vigilance qu’imposent tant le respect de l’État de droit et la protection des libertés individuelles que l’efficacité de la surveillance. Le groupe Écologiste et social partage ce point de vue.

Quelle est la part de la prévention du terrorisme des personnes soupçonnées d’écoterrorisme ? Quelle est l’efficacité de la captation de conversations via les réseaux satellites ? L’augmentation des ingérences étrangères à hauteur de 20 % n’en fait-elle pas un phénomène subi en raison de l’évolution exponentielle des techniques par-delà les stratégies délibérées de certains pays ?

M. Vincent Mazauric. Je ne saurai pas répondre à votre première question. La qualification pénale de terrorisme, seule manière pour nous comme pour les services de mettre tel acte ou tel risque dans une catégorie juridique précise, ne distingue pas les actes terroristes selon leur inspiration, d’une part, et, d’autre part, si nous disons tout ce qui peut l’être dans nos rapports d’activité, une telle granularité, à supposer que nous puissions l’atteindre, serait sans doute couverte par le secret de la défense nationale. Je précise toutefois, en prenant de la distance avec le mot que vous avez employé, que des actes ou des craintes que l’on nomme de ce nom peuvent relever de phénomènes de violence collective susceptibles de porter une atteinte grave à la paix publique, si tant est que les conditions juridiques en soient réunies.

S’agissant de la surveillance satellitaire, elle a récemment été autorisée par le législateur. À l’heure où le rapport pour l’année 2024 paraissait, une seule surveillance était exercée au titre de cette technique. Cela ne veut pas dire qu’elle ne sert à rien – je n’ai ni l’autorité ni le savoir technique pour le dire –, mais celle-ci est difficile à maîtriser pour les services : elle illustre l’articulation concrète entre la vraie vie et le droit. Un peu plus de temps est nécessaire pour en apprécier l’utilité.

Enfin, chacun est sensible au nombre de personnes surveillées au titre du risque d’ingérence étrangère, qui croît régulièrement. C’est une des protections les plus importantes que le législateur a données en 2015. Cette finalité arrive en deuxième place après la défense nationale. Il ne faut pas être naïf, l’ingérence, ça existe. Elle prend des formes qui ne relèvent pas toutes du champ de contrôle de la Commission : je pense à la cyberattaque. Il est normal de faire preuve de vigilance.

Il existe peut-être une sorte de surenchère créée par la technologie elle-même qui conduit les États à s’observer les uns les autres. Afin de prévenir ce risque d’ingérence, les services déploient le plus grand éventail d’actions possible.

Mme Anne Bergantz (Dem). Le si précieux équilibre entre anticipation des menaces et respect des libertés individuelles, qui repose sur la conformité de la pratique des services au cadre légal est au cœur de votre activité.

Nous le savons, 2024 a été une année très intense. Je veux à cet égard saluer le travail effectué par nos services de renseignement qui ont largement protégé l’intégrité de notre territoire et prévenu les attaques.

La loi « narcotrafic » a donné l’occasion de prolonger l’expérimentation des interceptions satellitaires et aux services de recourir à l’activation à distance des appareils électroniques. En revanche, elle n’a pas permis de trancher le débat sur la question des portes dérobées, à savoir l’accès au contenu des messageries cryptées, mesure – il s’agissait de l’article 8 ter – dont l’introduction nourrissait des doutes juridiques et techniques qui subsistent à ce jour. Toutefois, il s’agissait d’une forte demande des enquêteurs.

Identifiez-vous des voies d’ouvertures possibles sur ce sujet qui permettraient de concilier les droits fondamentaux et l’efficacité opérationnelle ? Avez-vous connaissance de travaux menés sur ce sujet dans d’autres pays, notamment européens ? Les menaces liées au crime organisé pèsent en effet sur toutes les démocraties.

M. Vincent Mazauric. Je connais mal les travaux qui sont en cours dans d’autres pays car la CNCTR n’est pas chargée des contrôles en matière de télécommunication. En revanche, une fois qu’une technique est autorisée – et après avoir vérifié qu’elle peut l’être, elle est chargée de s’interroger sur le respect de l’équilibre entre efficacité et libertés.

La réflexion est ouverte et il est normal que vous la poursuiviez mais, en l’état, la solution technique ou juridique n’existe pas. Il était, par ailleurs, particulièrement difficile de débattre d’un amendement et d’un texte qu’on avait choisi de ne pas soumettre à l’avis du Conseil d’État, qui pourtant peut être saisi d’une proposition de loi ou d’un amendement. Si le législateur souhaite répondre à la demande des services, il faut remettre l’ouvrage sur le métier, envisager de manière plus précise ce qui est techniquement possible et souhaitable, et, que les conséquences et les effets des solutions proposées fassent, à chaque fois, l’objet d’une analyse juridique.

Mme Anne Le Hénanff (HOR). Le sujet du chiffrement, de l’accès aux données dans le cadre des techniques de renseignement, revient dans le débat de manière récurrente ces derniers mois, notamment à travers l’article 8 ter de la loi « narcotrafic », qui a été supprimé, et l’article 16 bis du projet de loi « résilience ». En ma qualité de rapporteure du titre II du projet de loi « résilience », qui transpose la directive NIS 2, j’y suis particulièrement attentive.

Les sénateurs ont veillé, dans l’article 16 bis, ajouté au texte initial, à empêcher la mise en œuvre de mesures techniques nécessaires permettant aux services de renseignement d’accéder aux contenus intelligibles des correspondances et données qui y transitent. Or les sociétés de services de communication chiffrée se disent incapables de cibler une conversation spécifique. Casser un chiffrement reviendrait à fragiliser l’ensemble de l’outil et du service de communication chiffrée qu’il propose.

Comment exercez-vous de manière opérationnelle le contrôle a priori et a posteriori que vous opérez sur les diverses techniques d’accès aux métadonnées, les différentes catégories d’interception de correspondance et l’utilisation de dispositifs de surveillance plus intrusifs, tels que la captation de paroles et d’images dans un lieu privé, par exemple, ou le recueil de données informatiques ?

En Europe, le projet ProtectEU a été présenté ; la commission des lois de l’Assemblée nationale a créé un groupe de travail ; des sénateurs mènent une réflexion sur une future loi relative au renseignement qui vise à établir une feuille de route. Êtes-vous associé à ces groupes de travail ?

M. Vincent Mazauric. La CNCTR n’est pas associée à ces groupes de travail. Comme le prévoit la loi, elle est à la disposition du Parlement et de la délégation parlementaire au renseignement (DPR). J’en profite pour le redire devant vous : si vous ne nous saisissez pas, la loi n’est pas entièrement appliquée.

Notre contrôle ne s’exerce pas sur des choses qui n’existent pas, telles que le déchiffrement. Dans le cadre du contrôle a priori, nous donnons un avis au Premier ministre, à raison de 400 demandes par jour, en appliquant les deux critères prévus par la loi : nécessité et proportionnalité. Nous tenons un raisonnement juridique et non technique. Le raisonnement technique peut entrer en considération au regard du principe de proportionnalité. Tel serait le cas si, par exemple, un service nous demandait d’autoriser le recueil de données informatiques d’une personne qui ne ferait l’objet d’aucune autre technique ; en application du principe de subsidiarité, on ne verrait pas bien quelle raison impérieuse justifierait de recourir directement au recueil de données informatiques de la personne, sans avoir envisagé au préalable d’autres moyens moins intrusifs.

Dans le cadre du contrôle a posteriori, nous procédons à un examen en profondeur : soit nous vérifions, dans des cas précis, ce que le service a fait des autorisations données par le Premier ministre sur la base de nos avis favorables, soit nous demandons au service de nous exposer les risques qu’il détecte sur un phénomène, un groupe, un événement ou une situation. Cet échange, de nature à favoriser la compréhension mutuelle, est fréquent et très important.

Enfin, une partie de nos contrôles est de nature technique : nous allons chercher la donnée dans les fichiers des services pour l’analyser et vérifier, après l’avoir comprise, qu’elle répond aux conditions légales de conservation, de détention et d’usage. Ce contrôle, effectué sous l’égide de la personnalité qualifiée au sein du collège, requiert de nombreuses compétences. Le maintien de la compétence technique est un enjeu indispensable.

M. Paul Molac (LIOT). Vous l’avez évoqué, les irrégularités sont récurrentes. Les services ne pourraient-ils pas appliquer une jurisprudence pour vous éviter d’avoir à leur rappeler ce qu’ils doivent faire ?

M. Vincent Mazauric. Dans le rapport, nous avons mentionné les anomalies dont la persistance nous paraît susceptible de porter atteinte aux droits fondamentaux. Cela ne nous empêche pas de discuter avec les services : je m’entretiens avec les directrices et les directeurs des services, et les équipes de contrôle échangent lors des contrôles – 120 à 130 fois par an.

Il existe autant de cultures administratives que de services. Bien qu’un service connaisse bien la règle, sa manière de fonctionner ne garantit pas naturellement le respect de celle-ci ; il faut alors changer son fonctionnement, ce qui prend du temps et nécessite de faire preuve de persuasion. Nous y arrivons d’autant mieux que, lors de ce dialogue, nous parvenons à convaincre le service que ce changement lui serait également utile. Économiser de la ressource en sachant où on a stocké les renseignements, c’est bénéfique tant aux services qu’à la loi.

M. Aurélien Rousseau (SOC). Une partie des questions posées par mes collègues portent sur le contrôle du renseignement. Paradoxalement, cette mission relève de la délégation parlementaire au renseignement. Nous pourrions réunir les deux commissions afin que la délégation parlementaire au renseignement et la commission de vérification des fonds spéciaux présentent ensemble leur rapport. Cette proposition renvoie à un débat que nous avions eu lors de l’examen de la loi « narcotrafic » : comment partager davantage la culture du renseignement ?

Je fais une deuxième proposition aux présidents de nos deux commissions : nous pourrions déposer un amendement transpartisan au budget visant à doter la CNCTR de deux postes supplémentaires, conformément à sa demande, qui n’est pas délirante compte tenu du travail qu’elle accomplit. Si deux présidents de commission signaient cet amendement, le gage serait peut-être levé.

M. Vincent Mazauric. Le travail de la délégation parlementaire au renseignement mérite, en effet, d’être connu. C’est la charnière indispensable, dont les membres sont habilités au secret, entre ce monde secret et le monde démocratique. Ce que je dis devant vous respecte cette limite mais je pourrais aller plus loin devant la DPR. La CNCTR est volontaire pour être sollicitée par la délégation parlementaire au renseignement, pour échanger avec elle, pour être critiquée par elle, pour expertiser certaines pistes.

J’accueille avec modestie et délicatesse votre seconde proposition. En bons serviteurs publics que nous sommes tous au sein de la CNCTR, nous ferons avec ce que nous avons. Non seulement nous ne chômons pas, mais nous devons rester attractifs. Notre équipe, composée de vingt-deux personnes – magistrats judiciaires et administratifs, officiers de police, de gendarmerie et de douane, des ingénieurs –, dispose certes de remarquables compétences mais reste fragile. Notre effectif représente un dixième de celui de la Cnil (Commission nationale de l’informatique et des libertés). Cela est tout à fait justifié, certes. Mais il y a dix ans, le législateur n’avait peut-être pas pensé que l’activité atteindrait cette proportion : la croissance tant du nombre d’actions que de leur complexité, sans nous avoir dépassés, nous met à l’épreuve.

Mme Marietta Karamanli (SOC). S’agissant du périmètre d’activité, le rapport indique qu’en France, il n’existe pas d’encadrement légal en matière d’échanges d’informations entre services nationaux et étrangers, ce que je regrette. La CNCTR ne contrôle donc pas le partage des données entre les services français et les services étrangers. Dispose-t-elle d’informations sur les flux de données échangés ? Par exemple, connaît-elle la nature et le volume des échanges entre la DGSE (direction générale de la sécurité extérieure) et les services étrangers, ainsi que les conditions générales dans lesquels ils s’opèrent ?

S’agissant des suites données aux contrôles réalisés, le rapport dénonce l’existence d’irrégularités relatives aux conditions et modalités de mise en œuvre des techniques, aux périmètres et aux durées. Si elles sont moins fréquentes que celles liées à l’exploitation des techniques, elles présentent, en revanche, un degré de gravité bien supérieur. Au-delà de la notification envoyée aux autorités et aux corrections apportées, un suivi par instance, type d’anomalie et gravité est-il réalisé ? Serait-il possible de diffuser des informations, d’organiser des formations voire d’appliquer des sanctions disciplinaires en cas d’irrégularités majeures commises de manière répétée par les services ? Si cela n’était pas possible, ne faudrait-il pas suivre les services et les responsabiliser ?

M. Vincent Mazauric. La CNCTR ne dispose d’aucune information sur la nature, le volume ou le sens des échanges entre les services français et les services étrangers pour une raison implacable : en l’état de la loi, elle n’a pas à en connaître. Il m’arrive de prendre connaissance de certaines informations lorsqu’un directeur les évoque. Il conviendrait de remédier à cette situation ; je n’en dirai pas plus.

Le contrôle n’est rien s’il n’a pas d’effet. Nous exerçons un suivi très attentif, point par point, anomalie par anomalie de tout ce que nous avons constaté lors de nos contrôles. Dès la première année, nous avons procédé à soixante-dix contrôles, et à plus de cent la deuxième année. Selon mon estimation, en dix ans, la densité, le poids du contrôle et le temps qui y est consacré ont quadruplé car nous effectuons un suivi de chaque contrôle. C’est l’’intérêt du service de nous apporter une réponse rapide.

Faut-il aller jusqu’à envisager des sanctions ? Cette question touche à la définition même de la CNCTR. Contrairement à d’autres autorités administratives indépendantes telles que l’Autorité des marchés financiers, la Cnil ou l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), elle n’a pas été dotée d’un pouvoir de sanction. L’équilibre est bon, selon moi ; nous avons d’autres cordes à notre arc et d’autres flèches dans notre carquois. La CNCTR peut, à tout moment, informer le Parlement, ou saisir de ses recommandations et ses constats le Premier ministre. Avec les services de renseignement, les relations vont crescendo : au besoin, on passera d’un dialogue constructif entre le contrôlé et le contrôleur à un signalement que j’adresserai personnellement à un directeur, voire à une lettre dont la copie pourra être envoyée au Premier ministre. Le contrôleur et le contrôlé ne sont pas antagonistes. La CNCTR n’est pas le gendarme : il n’y a pas de voleur.

Plus encore que le contrôle, qui est une manière de faire, notre mission consiste à garantir le respect du cadre légal. Chaque jour, nous devons nous assurer que chaque chose que nous faisons y concourt.

M. le président Jean-Michel Jacques. Nous passons maintenant aux questions individuelles des députés.

Mme Marie-France Lorho (RN). Dans un article publié le 22 septembre dernier dans Le Figaro, vous avez évoqué les actions menées par la CNCTR. Entre 2020 et 2024, le nombre de demandes de mise en œuvre de techniques de renseignement, notamment le recueil et la captation de données informatiques, a augmenté de 136 %.

L’année 2024 fut particulière, avec l’accueil des Jeux olympiques et paralympiques en France. En 2023, 24 000 personnes ont été surveillées par les services de renseignement français, dans le cadre de la protection de la France et des Français, tout en respectant leurs libertés. Si cela est possible sans violer le secret-défense, pourriez-vous nous exposer, de façon plus précise, le profil des personnes surveillées ?

Mme Monique Griseti (RN). Le 12 juin 2025, le Conseil constitutionnel a rendu sa décision portant sur la conformité à la Constitution de la loi visant à sortir la France du piège du narcotrafic. L’article 15, qui autorisait jusqu’en 2028 l’expérimentation du traitement des données par la technique de l’algorithme à des fins de prévention de la criminalité organisée, a été déclaré inconstitutionnel. Les sages ont justifié cette censure par le fait que la pratique généralisée et indifférenciée de l’algorithme ne concilierait pas le respect de la vie privée avec les objectifs de préservation de l’ordre public et de prévention des infractions.

Lorsque cette décision a été rendue, votre rapport était finalisé. La possibilité que votre commission puisse contrôler cette activité est impossible. Pensez-vous qu’en élargissant à une quatrième finalité le recours possible à l’algorithme, qui aurait été soumis au cadre juridique du code de la sécurité intérieure, le respect de la vie privée aurait été gravement atteint, comme le considère le Conseil constitutionnel ? Ou bien, votre regard opérationnel vous conduit-il à penser que les garanties auraient été suffisantes pour concilier la préservation de l’ordre public et le respect de la vie privée ?

M. Thierry Tesson (RN). Les travaux de la mission d’information en cours sur la guerre électronique, dont je suis l’un des rapporteurs, ont mis en évidence deux constats : le premier, très banal, c’est que la guerre en Ukraine a accéléré l’innovation dans les techniques de guerre électronique ; le second c’est que le cadre légal actuel empêche les armées et les industriels de mener des exercices pour tester de nouveaux matériels et techniques. Safran, par exemple, est obligé d’aller en Estonie pour le faire. Quel est votre point de vue sur cette problématique ? Le cas échéant, quelles pistes envisagez-vous pour y remédier ?

M. Vincent Mazauric. Madame Lorho, il est difficile de dresser un portrait fidèle de 24 000 personnes aux profils divers. Pour laisser à la représentation nationale une image et un message utiles, je peux néanmoins indiquer que, comme pour le terrorisme, ce sont des personnes de plus en plus jeunes, fragilisées par l’isolement, et qui, de vulnérables, peuvent devenir dangereuses. C’est un constat préoccupant. Dans son dernier rapport, la délégation parlementaire au renseignement appelait à davantage de vigilance en matière de suivi psychologique et psychiatrique de certaines personnes. Cette recommandation, que l’on ne s’attend pas à lire en matière de renseignement et de protection des intérêts fondamentaux de la Nation, fait écho à notre travail quotidien. La DPR a eu tout à fait raison de la formuler : en ces temps incertains, c’est une source de criminalité à laquelle le renseignement est de plus en plus confronté.

Madame Griseti, je suis persuadé que ce n’est pas l’élargissement du recours aux traitements algorithmiques à la lutte contre la criminalité organisée qui a justifié la censure de l’article 15 de la loi « narcotrafic ». Le Conseil constitutionnel, bien au contraire, souligne que le législateur, en cherchant à étendre au crime organisé la possibilité d’employer la technique de l’algorithme, a bien poursuivi un motif d’intérêt général. C’est à l’étape suivante qu’il a constaté un défaut de constitutionnalité : considérant que les URL étaient des données mixtes comprenant à la fois des caractéristiques techniques et des informations sur le contenu consulté – on peut retrouver l’intitulé précis de la page internet –, il a jugé que l’élargissement n’était pas suffisamment encadré par le législateur. Le Conseil constitutionnel avait invité la CNCTR à s’exprimer sur le sujet, comme l’autorise la loi organique. J’ai expliqué devant lui le processus de contrôle à chaque étape de la technique de l’algorithme. On ne peut que s’incliner devant la décision du Conseil constitutionnel. J’indiquerai simplement que si le législateur estime cette mesure nécessaire, il me semble tout à fait possible de mieux l’encadrer.

Monsieur Tesson, concernant les aspects matériels et technologiques de la guerre électronique, je serai très prudent. Le champ de contrôle de la commission ne couvre pas tout. Nous parlons beaucoup avec l’Anssi (Agence nationale de la sécurité des systèmes d’information) et Viginum (service de vigilance et de protection contre les ingérences numériques étrangères). Prévenir la belligérance cyber est l’une des fonctions des services de renseignement ; ils font leur travail. Il y a bien un aspect technique, auquel sont consacrées quelques pages de notre rapport d’activité 2024, même il ne couvre pas la totalité de vos préoccupations. À ce titre, comme le prévoit l’article R. 226 du code pénal, nous participons, aux côtés de l’Anssi, au système réglementaire encadrant la fabrication, l’importation et l’usage du matériel utilisé pour la surveillance. C’est une spécificité française : contrairement à de nombreux pays, où l’on peut trouver tout ce que l’on veut sur un comptoir ou sur internet, en France, la qualification, l’usage autorisé et la traçabilité de ces matériels à travers des registres d’usage sont très précisément définis. Et dès lors qu’ils sont détenus et utilisés par les services de renseignement, ils entrent dans le champ de contrôle de notre commission.

M. Christophe Blanchet (Dem). Vous avez insisté sur l’importance d’anticiper les menaces, notamment terroristes. Vous avez également mentionné l’utilité de la loi « narcotrafic » pour lutter contre le crime organisé.

Depuis plus de cinq ans, le crime organisé, qui touchait principalement le narcotrafic, s’est progressivement tourné vers la contrebande de tabac et de contrefaçons – un constat documenté dans le rapport de l’Unifab (Union des fabricants) paru en avril. En France, la contrebande de tabac pèse à elle seule 4 milliards d’euros, autant que le narcotrafic. Ces filières, qui financent elles aussi le terrorisme, entrent-elles dans le champ de vigilance de votre commission ?

Mme Delphine Batho (EcoS). Je reviens sur le trou noir des échanges avec les services de renseignement étrangers. Le blocage est-il culturel ? Opérationnel ? Juridique ?

Les échanges de renseignements entre services seraient-ils bloqués faute de confiance réciproque ? À ma connaissance, en dix ans d’existence, la CNCTR n’a jamais été prise en défaut. Ou serions-nous empêchés de transmettre des informations à un certain nombre de partenaires, dont nous avons pourtant absolument besoin, au motif que la loi dispose que l’on ne peut confier des données à des pays étrangers qu’à la condition qu’ils offrent les mêmes garanties de supervision et de respect des droits que la France ? Remédier à un tel blocage ne serait alors pas le plus difficile.

M. Aurélien Saintoul (LFI-NFP). En juin 2024, nous avons appris qu’un an auparavant, le général commandant de la DRSD (direction du renseignement et de la sécurité de la défense) avait été convoqué par le coordonnateur national du renseignement et de la lutte contre le terrorisme au sujet de ce que certains avaient alors pudiquement qualifié de « défaut d’appropriation du cadre légal ». Quelle était la nature de ce défaut et quelles suites ont été données à ce signalement ?

En juin 2021, le GIC (groupement interministériel de contrôle) avait, semble-t-il, gravement dysfonctionné : pendant une semaine, les autorisations n’avaient pas été visées par le premier ministre, ce qui est pourtant obligatoire. Quelles suites ont été données à cette affaire ?

Votre commission s’est-elle penchée sur l’origine – la « nationalité » – et l’intégrité des matériels et techniques mobilisés par les services de renseignement ? Beaucoup semblent venir de l’étranger : compte tenu des risques d’ingérence, c’est un sujet de préoccupation.

Lors des débats de la loi de programmation militaire pour les années 2024 à 2030, des amendements transpartisans, adoptés notamment à l’initiative de parlementaires membres de la CNCTR, visaient à donner à la commission un accès direct aux données collectées par les services de renseignement. Cette disposition a été ensuite supprimée. Ce besoin se fait-il toujours sentir et, le cas échéant, n’est-ce pas désormais une priorité pour le législateur de le satisfaire ?

M. Vincent Mazauric. Monsieur Blanchet, je vous confirme que la contrebande de tabac en bande organisée entre bien dans le champ de la politique de renseignement, au titre de la sixième finalité du code la sécurité intérieure, et donc, le cas échéant, dans celui du contrôle de la CNCTR. La direction nationale du renseignement et des enquêtes douanières, la direction générale de la gendarmerie nationale et la direction nationale de la police judiciaire, qui sont plus particulièrement concernées, ne manquent pas de travailler sur ces questions, car les produits de ce trafic peuvent effectivement servir à financer des actes encore plus graves, vous avez tout à fait raison.

Madame Batho, votre question porte en elle l’intégralité des réponses possibles. Le blocage présente effectivement un fond culturel : « une contrainte de plus ! ». Mais il a bien aussi une interrogation opérationnelle et juridique. Si nous devions définir un cadre, quels critères faudrait-il prendre en compte ? Il faut permettre la continuation des échanges tout en conciliant deux objectifs : d’une part, assurer la protection des intérêts fondamentaux de la nation, d’autre part, participer à la protection des intérêts nationaux de nos voisins, puisque les événements qui y surviendraient parce que nous n’avons pas aidé à les prévenir sont susceptibles de nous affecter tôt ou tard. Rares sont les déclarations publiques sur ces pratiques aujourd’hui, mais de mémoire, un directeur général avait indiqué que son service correspondait avec plus de 200 homologues dans le monde. Or il n’est pas question que de la Suisse, pour dire les choses de manière elliptique et légère. Il faut trouver des critères ayant du sens, c’est-à-dire qui servent notre protection, puisque c’est là l’esprit de la loi, sans entraver ce qui doit exister. C’est la principale difficulté. La CNCTR n’est pas chargée de rédiger des textes. Si on nous pose une question, nous y réfléchirons et nous y répondrons. Cet équilibre sans nul doute délicat concourt, avec la cause culturelle, à une lente hâte. Mais ce n’est pas impossible, et cela existe : en 2021, la Cour européenne des droits de l’homme a admis, avec l’arrêt « Big Brother Watch », le principe du partage de renseignements entre le Royaume-Uni et les États-Unis au vu des dispositions juridiques qui l’encadraient.

Monsieur Saintoul, n’ayant pas été témoin de l’incident que vous évoquez, je n’ai rien à en dire. Mais bien qu’il soit relaté à l’envi, je ne crois pas qu’il présente une dimension symbolique ou systémique. Il est tout à fait normal que la commission puisse dire très directement à un service ce qui ne va pas lorsque c’est le cas, qu’il s’agisse de la DRSD ou d’un autre service. C’est son rôle.

S’agissant de la difficulté technique rencontrée par le GIC en 2021, je crois savoir que l’erreur a été très rapidement corrigée et que tout a été mis en œuvre pour éviter qu’elle se reproduise. Le GIC est une énorme machine technique – il est d’ailleurs dirigé par des personnes ayant une double casquette technique et administrative, et compétentes juridiquement –, il n’est donc pas tout à fait anormal qu’il rencontre une difficulté technique.

Enfin, la nationalité des matériels est effectivement un sujet : on ne peut pas acheter n’importe quel ordinateur, mais à ma connaissance, il n’en est pas beaucoup produit en France. Comme je l’ai dit à M. Tesson, au titre de l’article R. 226 du code pénal, l’un des rôles de la CNCTR est d’être associée à la définition des exigences techniques et de mener des contrôles pour sécuriser du mieux possible l’utilisation de matériel pouvant être fabriqué à l’étranger, notamment aux États-Unis ou en Chine.

M. Loïc Kervran (HOR). Permettez-moi de partager avec vous une conviction forgée par les quelques années que j’ai consacrées au contrôle des services de renseignement et des fonds spéciaux, et que j’avais déjà clairement exprimée dans un rapport que j’ai produit avec Guillaume Larrivé et Jean-Michel Mis en 2020. Comme son nom l’indique, la commission nationale de contrôle des techniques de renseignement est chargée de contrôler les techniques de renseignement, et non le renseignement en tant que tel, qui, comme Aurélien Rousseau l’a rappelé, fait l’objet d’un contrôle distinct par une délégation parlementaire dédiée, à laquelle nous devons faire confiance. Partant, la CNCTR n’a donc pas vocation à contrôler les fichiers ou les sources des services de renseignement, qu’elles soient humaines ou issues de la coopération internationale. Or élargir le champ du contrôle de la CNCTR aux échanges avec les services d’autres pays reviendrait à l’étendre aux sources internationales. Voudra-t-on ensuite l’étendre aux sources humaines ? C’est sans fin. Chaque agence, autorité, commission a une tendance naturelle à vouloir croître en effectifs et élargir ses missions, mais je suis convaincu que la CNCTR doit se concentrer sur les missions qui lui ont été confiées par la loi : le contrôle des techniques, et rien de plus.

Mme Élisa Martin (LFI-NFP). Cette audition s’inscrit, d’une certaine manière, dans l’exercice de notre mission de contrôle. Nous attendons donc de vous des réponses qui, sans trahir le secret-défense, nous permettent de faire notre travail et d’acquérir des certitudes sur un certain nombre de sujets.

Je reviens sur la question des algorithmes. Pourquoi ne pouvons-nous pas savoir combien de personnes sont surveillées suite à l’utilisation de cette technique ? C’est une information importante, qui nous permettrait d’évaluer ce que ramènent ces « filets » – même si j’ai bien senti que vous contestiez cette notion.

Vous ne m’avez pas non plus répondu à ma question sur la doctrine en matière d’ingérences étrangères. Comment sont définies les données dont l’analyse permet de caractériser une ingérence étrangère ? Je pense en particulier aux signaux faibles.

M. Vincent Mazauric. Monsieur Kervran, je n’ai rien à redire à votre définition du rôle de la commission et à la limite qu’elle impose : la CNCTR n’est pas une commission de contrôle du renseignement, elle doit se concentrer sur les techniques. Reste qu’il me paraît possible que les échanges entre les services français et les services étrangers revêtent un aspect technique. Le législateur a voulu garantir que l’utilisation des techniques de surveillance n’entravait pas les libertés individuelles des personnes résidant en France, citoyens français ou non. Dès lors, pour aller plus loin, il faudrait s’assurer que l’échange de renseignements obtenus avec une technique d’origine française ne risque pas de priver de protection la personne surveillée. Comme je l’expliquais à Mme Batho, trouver une solution est difficile. Quoi qu’il en soit, il est évident que la CNCTR ne fera jamais que ce que la loi l’a chargée de faire et elle cherchera à le faire bien.

Madame Martin, en l’état – je ne prétends pas qu’il s’agisse d’une vérité immanente –, la CNCTR considère que l’indication du nombre de personnes surveillées à la suite de l’émergence d’un signal faible détecté par un algorithme est couverte par le secret de la défense nationale.

Mme Élisa Martin (LFI-NFP). Pourquoi ?

M. Vincent Mazauric. Comme je ne prétends pas avoir raison en toute chose et en tout temps, je propose de réfléchir à cette question. Je me tiendrai à la disposition de la délégation parlementaire au renseignement pour y répondre si elle le souhaite.

Quant à la doctrine, c’est une question qui concerne avant tout les services de renseignement. Un certain nombre de phénomènes sont évidemment susceptibles de les mettre en mouvement ou de les alarmer, à commencer par la présence d’un agent de renseignement étranger dans notre pays, qu’il soit identifié ou sous couverture.

Mme Élisa Martin (LFI-NFP). Ce n’est pas signal faible !

M. Vincent Mazauric. Vous me posez une question, j’y réponds. La présence d’un agent de renseignement étranger n’est certes pas un signal faible, mais c’est une justification plausible à la mise en œuvre d’une technique de renseignement. L’ingérence cible des personnes. Il est donc logique que les services cherchent à identifier celles qui sont vulnérables.

La défense et la promotion des intérêts économiques de la Nation, autre finalité du code de la sécurité intérieure, guide l’action de grands services – c’est de notoriété publique. Par exemple, elle conduit ceux de Bercy à aller voir les entreprises pour les inviter à se protéger et à faire attention aux informations qu’ils rendent publiques. Notre pays comporte de très nombreuses cibles privées, publiques et institutionnelles. Il est normal de chercher à les protéger.

M. le président Jean-Michel Jacques. Je vous remercie pour votre présence.

* *

La séance est levée à 10 heures 55.

————

Membres présents ou excusés

Présents. - Mme Anne Bergantz, Mme Pascale Bordes, Mme Gabrielle Cathala, M. Vincent Caure, M. Jean-François Coulomme, Mme Agnès Firmin Le Bodo, M. Jonathan Gery, M. Philippe Gosselin, Mme Monique Griseti, M. Sébastien Huyghe, M. Jérémie Iordanoff, Mme Marietta Karamanli, Mme Marie-France Lorho, Mme Élisa Martin, M. Stéphane Mazars, M. Paul Molac, M. Jean Terlier, Mme Céline Thiébault-Martinez, M. Jean-Luc Warsmann

Excusés. - Mme Émilie Bonnivard, M. Ian Boucard, M. Florent Boudié, Mme Colette Capdevielle, M. Yoann Gillet, M. Jordan Guitton, Mme Émeline K/Bidi, M. Roland Lescure, Mme Laure Miller, Mme Christelle Minard, Mme Naïma Moutchou, Mme Sophie Ricourt Vaginay, M. Jiovanny William, Mme Caroline Yadan

Assistait également à la réunion. - Mme Zahia Hamdane