N° 3069
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
QUINZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 10 juin 2020
RAPPORT D’INFORMATION
déposé
en application de l’article 145 du Règlement
PAR LA MISSION D’INFORMATION COMMUNE ([1]),
sur l’évaluation de la loi du 24 juillet 2015 relative au renseignement
et présenté par
M. Guillaume LARRIVé,
Président,
MM. Loïc KERVRAN et Jean-Michel MIS,
Rapporteurs,
Députés
La mission d’information commune sur l’évaluation de la loi du 24 juillet 2015 relative au renseignement est composée de M. Guillaume Larrivé, président, et de MM. Loïc Kervran et Jean-Michel Mis, rapporteurs
SOMMAIRE
___
Pages
introduction................................................ 17
I. Un cadre juridique novateur qui a déjà connu huit modifications
A. Les finalités justifiant la mise en œuvre de techniques de renseignement
1. Les différentes finalités prévues à l’article L. 811-3 du code de la sécurité intérieure
2. La place prépondérante de la finalité antiterroriste
3. Des finalités diversement invoquées
B. Les techniques de recueil de renseignement
1. Les accès administratifs aux données de connexion
a. Le régime juridique de la loi du 24 juillet 2015
b. Les évolutions postérieures à la loi du 24 juillet 2015
c. Les dispositifs techniques de proximité, ou « IMSI-catchers »
d. Des techniques de renseignement très utilisées
a. Un outil de détection des signaux de faible intensité
b. Une mise en œuvre strictement encadrée par la loi et par le contrôle de la CNCTR
c. Une application effective depuis 2017 seulement
d. Un dispositif expérimental, prolongé une première fois en 2017
e. Des mises en œuvre intéressantes mais limitées aux données de connexion téléphoniques
3. Les interceptions de sécurité
a. Un cadre juridique dont les fondements ont été définis par la loi du 10 juillet 1991
b. Un cadre juridique largement repris par la loi du 24 juillet 2015
d. L’utilisation croissante des interceptions de sécurité
a. Un cadre juridique novateur, inspiré du cadre judiciaire
b. Une évolution à la marge de la captation de données informatiques
5. Les mesures de surveillance internationale
c. Des compléments substantiels apportés en 2018
d. Usage des mesures de surveillance des communications internationales
6. Les mesures de surveillance de certaines communications hertziennes
C. Les différentes procédures d’autorisation
1. La procédure de droit commun
2. Une utilisation exceptionnelle de la procédure de l’urgence absolue
3. La censure de la procédure dite de « l’urgence opérationnelle »
D. L’encadrement des durées d’autorisation et de conservation
2. Les durées de conservation des données
II. L’appropriation du cadre juridique par les acteurs du renseignement
A. La structuration de la communauté du renseignement
1. Une approche par l’autorisation de recourir aux techniques de renseignement qui s’est imposée
a. Les services du premier cercle : six services clairement identifiés
b. Les services du second cercle : un ensemble très hétérogène
c. La question du positionnement des quatre services de renseignement du second cercle
2. La création et la montée en puissance du renseignement pénitentiaire
b. La création de finalités spécifiques
B. L'application du cadre légal de 2015 : un défi et une chance pour les services de renseignement
1. Un cadre juridique qui protège l’action des agents des services de renseignement
C. La mise en œuvre d’un dialogue de qualité avec la CNCTR
1. La mise en œuvre d’un dialogue avec l’autorité administrative de contrôle
III. Des contrôles nombreux et exigeants
A. L’existence de plusieurs niveaux de contrôle interne
1. L’autorisation par le Premier ministre
2. La centralisation par le groupement interministériel de contrôle (GIC) : une garantie essentielle
3. L’inspection des services de renseignement
4. Le contrôle interne aux services de renseignement
5. Un mécanisme de lanceur d’alerte qui n’a encore jamais trouvé à s’appliquer
B. La montée en puissance des organes de contrôle externe
1. La Commission nationale de contrôle des techniques de renseignement (CNCTR)
2. La montée en puissance du contrôle parlementaire
a. La délégation parlementaire au renseignement
b. Les perspectives d’évolution
3. Le contrôle de la Cour des comptes
b. L’organisation de la formation spécialisée
c. Les spécificités de la procédure devant la formation spécialisée
d. Un premier bilan satisfaisant même si des améliorations sont souhaitables
a. Une solution au problème de l’explosion de la quantité de données
b. Une multiplicité d’usages possibles
B. Les modalités de communication évoluent avec le chiffrement et le déploiement à venir de la 5G
1. La remise en cause de l’usage des IMSI-catchers par le déploiement à venir de la 5G
b. Une technologie remettant en cause l’usage des IMSI-catchers
c. Imposer de nouvelles obligations aux opérateurs ?
3. La position de la mission d’information
C. La reconnaissance biométrique, une technologie dont l’utilisation doit être encadrée
1. Une technologie d’authentification et d’identification
2. Des usages et des finalités multiples
a. Des risques potentiels très importants pour les libertés publiques
D. Les fichiers : un outil stratégique dont il faut clarifier le régime juridique
1. Le régime dérogatoire applicable aux fichiers des services de renseignement
c. La complexité du contentieux du droit d’accès aux fichiers intéressant la sûreté de l’État
b. Un outil réactif, précis et fiable
4. La consultation du traitement d’antécédents judiciaires
5. L’inaccessibilité de certains fichiers pourtant nécessaires aux services
6. L’interconnexion des fichiers
a. L’interconnexion : définition et objectifs
b. La nécessité d’assortir les interconnexions de fichiers de certaines garanties
b. Les exigences de clarté, d’accessibilité et de prévisibilité de la loi
2. L’évolution de la jurisprudence de la CEDH et son influence sur l’élaboration de la loi de 2015
b. La jurisprudence de la CEDH, cadre conventionnel de l’élaboration de la loi du 24 juillet 2015
a. L’interception massive de communications
b. L’obtention de données de communication auprès de fournisseurs de services de communication
c. Le partage de renseignements avec les États étrangers
b. Les termes de l’arrêt Tele2 Sverige AB
2. Une décision aux conséquences opérationnelles redoutées par la communauté du renseignement
c. Des conséquences extrêmement préoccupantes
3. Une décision ayant suscité plusieurs questions préjudicielles des juridictions nationales
a. La réaffirmation du raisonnement suivi par la CJUE
b. Un certain infléchissement par rapport à la jurisprudence Tele2
c. Des conclusions qui ne lient pas la CJUE
a. Faire évoluer la relation entre l’État et les opérateurs de télécommunications ?
c. Modifier le droit primaire ?
A. Le contrôle des échanges internationaux : une réforme inopportune
1. Une mesure proposée par la CNCTR
3. Les comparaisons internationales sont peu pertinentes
4. La mission propose d’écarter cette proposition
B. le contrôle a priori par le GIC des demandes d’identification d’abonnés
1. Une proposition de la CNCTR tenant au caractère peu intrusif de la technique d’annuaire inversé
II. La mission propose deux évolutions permettant de renforcer le contrôle
B. Acter le renforcement de la centralisation : une garantie supplémentaire en matière de contrôle
A. Les incertitudes du droit en vigueur
1. Les dispositions de l’article L. 863-2 du code de la sécurité intérieure
2. Un décret d’application qui n’a jamais été publié
3. Une disposition ayant donné lieu à un recours pendant devant le Conseil d’État
IV. la mission propose de retenir quatre ajustements techniques, consensuels et opérationnels
B. Une simplification de la procédure permettant de retirer un dispositif technique dans un domicile
C. L’allongement de la durée d’autorisation de la surveillance internationale
D. Une harmonisation à la marge des durées d’autorisation
A. Clarifier les dispositions applicables en matière de droit d’accès aux fichiers
B. Renforcer l’accessibilité des fichiers aux services de renseignement
C. Renforcer les possibilités d’interconnexion des fichiers des services de renseignement
VII. la mission juge nécessaire de proroger la technique de l’algorithme
A. Prolonger la mise en œuvre de l’algorithme : une nécessité opérationnelle
1. Une mise en œuvre encore limitée, mais qui commence à produire des résultats
2. Une nécessaire prolongation de l’algorithme
B. Conserver les grands équilibres du dispositif actuel
1. Une procédure dorénavant rodée
2. Étendre les finalités justifiant la mise en œuvre de l’algorithme ?
C. Étendre l’algorithme aux URL
1. La question du périmètre des données de connexion
2. L’extension de l’algorithme aux URL
Liste des propositions de la mission d’information
Annexe n° 1 : Personnes auditionnées, déplacement et contributions écrites
Annexe n° 2 : Échéancier de mise en application de la loi
Annexe n° 3 : Les lois ayant modifié la loi du 24 juillet 2015
Annexe n° 4 : LES FINALITÉS PERMETTANT L’UTILISATION DE TECHNIQUES DE RENSEIGNEMENT
Annexe n° 5 : Les TECHNIQUES DE recueil de RENSEIGNEMENT
Annexe n° 6 : Les caractéristiques des techniques de renseignement
Annexe n° 7 : les durées d’autorisation et durées de conservation
Annexe n° 8 : Le fichier ACCReD (décret n° 2017-1224 du 3 août 2017 ())
« Il faut l’avouer, je crois peu aux lois. Trop dures, on les enfreint, et avec raison. Trop compliquées, l’ingéniosité humaine trouve facilement à se glisser entre les mailles de cette masse traînante et fragile. » « J’ai effectué moi-même quelques-unes de ces réformes partielles qui sont les seules durables. » « Je me proposais pour but une prudente absence de lois superflues, un petit groupe fermement promulgué de décisions sages. »
Marguerite Yourcenar, Mémoires d’Hadrien.
— 1 —
Cinq années se seront bientôt écoulées depuis l’adoption de la loi du 24 juillet 2015 relative au renseignement ([2]). Conformément aux prescriptions de son article 27, les commissions des Lois et de la Défense ont donc institué, le 30 octobre dernier, une mission d’évaluation de l’application des dispositions de cette loi consensuelle et fondatrice.
Consensuelle, car elle a été élaborée en réunissant, au Parlement, une très large majorité de suffrages ([3]), fédérant la plupart des députés siégeant parmi les groupes émanant des partis de gouvernement. Dès la présentation du projet de loi à l’Assemblée nationale par le Premier ministre Manuel Valls, le rapporteur Jean-Jacques Urvoas soulignait combien « la nécessité de donner un cadre à l’activité des services » faisait désormais « consensus », « au nom du renforcement de l’État de droit », « au nom de la protection des libertés individuelles » et « au nom de l’efficacité des services. » ([4]) De même, le président de votre mission d’information justifiait alors le soutien du groupe de l’UMP en exposant la nécessité d’assurer « la continuité de l’État » et de « mieux protéger les Français dans le respect de ce que nous sommes, à savoir un État de droit qui garantit l’exercice des libertés. » « L’État de droit doit être fort. S’il est faible, il n’est plus l’État et il n’y a plus de droits. » ([5])
Fondatrice, car elle poursuivait deux ambitions majeures : faciliter l’action opérationnelle et consolider le cadre juridique des services de renseignement, qui sont engagés dans la défense de la démocratie française et de nos concitoyens.
Faciliter l’action opérationnelle des services apparaissait comme une nécessité impérieuse à l’heure où les menaces qui pesaient sur la France, et en particulier la menace terroriste islamiste, se manifestaient avec une violence inouïe. La loi du 24 juillet 2015 n’est ni une loi de circonstance ni une loi spécifiquement antiterroriste, mais elle a été débattue dans les mois qui ont suivi les attentats de Charlie Hebdo et a été particulièrement marquée par la nécessité de donner aux services de renseignement les moyens juridiques de lutter le plus efficacement possible contre le terrorisme islamiste. Il convenait donc de leur octroyer des ressources adaptées au but poursuivi – des moyens humains, matériels, technologiques, mais aussi des instruments juridiques.
Consolider le cadre juridique des services de renseignement, pour renforcer l’État de droit, a été l’autre objectif majeur de cette loi.
Certains observateurs, dans les années précédentes, avaient pu souligner, à bon droit, « l’opacité qui entoure les services dits " secrets " et qui tend à inquiéter davantage qu’elle ne rassure, même si les raisons en sont comprises » ([6]). Il apparaissait désormais nécessaire que la loi – qui, selon l’article 34 de la Constitution fixe les garanties fondamentales accordées aux citoyens – vienne définir le cadre juridique régissant l’ensemble de l’action et les missions des services de renseignement. Un contrôle approfondi et précis, dans ses différentes composantes (interne et externe ; administrative, parlementaire et juridictionnelle) est en effet la nécessaire contrepartie de la discrétion et, souvent, du secret qui caractérisent l’activité des services et des moyens qu’ils sont autorisés à utiliser, en tant qu’ils dérogent, par nature, au respect des libertés individuelles.
Même si les services du renseignement, avant la loi de 2015, respectaient des procédures, « l’association du mot droit à celui de renseignement est plus inédite [que pour la plupart des politiques publiques] ou du moins plus récente », comme le soulignait récemment M. Laurent Nuñez, secrétaire d’État auprès du ministre de l’intérieur ([7]). En effet, « sous la Ve République, le renseignement est resté jusque tardivement à l’écart, comme interdit de cité, de la vie démocratique et de la décision publique en France. (…) Longtemps, le rapport de l’espionnage, puis du renseignement au droit s’en tint essentiellement à la raison d’État. » ([8])
Plusieurs lois sont intervenues à compter des années 1990 pour régir certaines techniques de renseignement, mais sans élaborer un cadre global. C’est le cas de la loi n° 91-646 du 10 juillet 1991 ([9]), sur l’initiative du Premier ministre Michel Rocard, qui est venue encadrer l’utilisation des interceptions de sécurité, puis de la loi du 23 janvier 2006 ([10]) présentée par le ministre d’État, ministre de l’intérieur Nicolas Sarkozy, s’agissant du recueil des données techniques de connexion.
La loi du 24 juillet 2015 est donc le fruit d’une lente maturation et d’une évolution de l’encadrement juridique des pratiques de renseignement en France, dans un environnement européen attentif.
L’enjeu de cette loi était de taille car il s’agissait de concilier deux impératifs : la protection de la vie privée des citoyens d’un côté, et la protection des intérêts fondamentaux de la nation de l’autre.
La loi du 24 juillet 2015 a été conçue comme une loi-cadre, c’est-à-dire une loi conçue pour durer et échapper à toute obsolescence programmée.
Elle a institué en préambule du livre VIII du code de la sécurité intérieure consacré au renseignement, l’article L. 801–1, article de principe qui rappelle notamment que le respect de la vie privée est garanti par la loi ([11]) et qu’il n’est possible d’y porter atteinte que dans les conditions prévues par la loi. Cette dernière s’articule autour de cinq principes fondamentaux que sont la proportionnalité, la subsidiarité, l’individualisation, la centralisation et la territorialité.
Depuis 2015, la politique publique du renseignement a pris, notamment du fait de la menace terroriste, une place de plus en plus prégnante. Cela s’est traduit par une nette augmentation des crédits, qui ont crû d’environ 32 % au cours des cinq dernières années ([12]) et par une hausse conséquente des effectifs des services.
Crédits de paiement consacrés à la politique publique du renseignement ([13])
En millions d’euros
Source : Délégation parlementaire au renseignement, rapport n° 1869 de Mme Yaël Braun–Pivet relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2018, avril 2019, p. 30
Évolution des effectifs des services spécialisés de renseignement
|
2014 |
2015 |
2016 |
2017 |
2018 |
DGSE |
5 112 |
5 216 |
5 335 |
5 372 |
5 627 |
DGSI |
3 250 |
3 548 |
3 812 |
3 999 |
4 043 |
DRM |
1 557 |
1 640 |
1 722 |
1 808 |
1 861 |
DRSD |
1 076 |
1 142 |
1 189 |
1 242 |
1 330 |
DNRED |
726 |
737 |
760 |
774 |
763 |
TRACFIN |
104 |
119 |
133 |
151 |
166 |
Total Services spécialisés |
11 825 |
12 402 |
12 951 |
13 346 |
13 790 |
GIC |
138 |
126,5 |
134 |
162,5 |
197 |
Source : Délégation parlementaire au renseignement, rapport n° 1869 de Mme Yaël Braun–Pivet relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2018, avril 2019, p. 94.
La loi du 24 juillet 2015 est en application depuis presque cinq ans, l’essentiel de ses dispositions ayant été mises en place en octobre 2015. Les membres de la mission d’information, au terme des travaux qu’ils ont menés, en partie dans le contexte particulier de confinement imposé par la nécessité d’enrayer la propagation de l’épidémie de covid–19, font le constat que cette loi donne aujourd’hui largement satisfaction.
Tant les services de renseignement que l’autorité administrative indépendante chargée du contrôle, la commission nationale de contrôle des techniques de renseignement (CNCTR), ont fait part aux membres de la mission de leur attachement au cadre général posé par la loi du 24 juillet 2015, amendée depuis à plusieurs reprises.
M. Francis Delon, président de la CNCTR, a ainsi indiqué ne pas avoir détecté de « problème majeur », en ajoutant qu’« il y a[vait] des imperfections » mais que « le cadre légal a[vait] constitué un très net progrès par rapport à auparavant : avant, ce cadre était très limité tandis qu’aujourd’hui, il est assez global » ([14]).
Le taux d’avis défavorables de la CNCTR aux demandes de techniques de renseignement s’établit en 2019 à 1,4 %, en recul constant depuis l’entrée en vigueur du nouveau cadre légal en 2015, et ce, alors même que le nombre de techniques de renseignement ne cesse d’augmenter ([15]). Il ne faut donc pas voir dans ce faible taux d’avis défavorables la conséquence d’une autocensure des services de renseignement, mais le résultat d’un dialogue de qualité avec l’autorité en charge du contrôle.
C’est d’autant plus remarquable que les services de renseignement ont connu des évolutions majeures au cours des dernières années. La révolution numérique a « bouleversé les modalités d’action des services confrontés au défi du ciblage des données, aux cyberattaques et aux promesses de l’intelligence artificielle » ([16]), la France a connu des attaques terroristes d’une ampleur dramatique et doit faire face au retour de djihadistes sur le territoire national et à la sortie de prison de détenus radicalisés.
Le législateur est déjà intervenu à plusieurs reprises afin de modifier des dispositions du code de la sécurité intérieure issues de la loi du 24 juillet 2015. Ces modifications visaient soit à faire face à des censures du Conseil constitutionnel, soit à compléter des dispositions prévues en 2015 en particulier pour mieux prendre en compte l’évolution de la menace terroriste. Ce régime juridique est dorénavant largement stabilisé, et les services de renseignement, qui ont fourni des efforts importants pour s’y conformer, se sont désormais bien approprié la loi du 24 juillet 2015.
Les membres de la mission d’information ont pris acte de ce point d’équilibre. En responsabilité, il leur a semblé qu’il ne fallait donc pas appeler à un big bang mais procéder aux ajustements nécessaires.
En conséquence, la mission a structuré sa réflexion autour de trois axes.
Elle a, dans une première partie, procédé à un bilan du cadre juridique régissant les services de renseignement depuis la loi du 24 juillet 2015 telle qu’elle a été modifiée. Dans une deuxième partie, elle a examiné les deux grands enjeux auxquels les services de renseignement sont confrontés : jurisprudentiels et technologiques. Enfin, dans une troisième partie, elle a proposé des modifications qui pourraient être apportées pour améliorer l’efficacité opérationnelle des services de renseignement, dans le respect de la conciliation entre garanties des droits des citoyens et protection de la nation.
— 1 —
Première partie : la loi du 24 juillet 2015 :
une nouvelle architecture du renseignement,
éprouvée et approuvée
La loi du 24 juillet 2015 a consacré l’existence d’une politique publique du renseignement, qui concourt à la stratégie de sécurité nationale ainsi qu’à la défense et à la promotion des intérêts fondamentaux de la nation. Par ce choix, la loi a entériné le fait que l’État ne recourt pas au renseignement, pour reprendre les termes du professeur Bertrand Warusfel, « comme à une pratique périphérique ou honteuse mais comme une politique officielle qu’il assume et qui fait partie de son cœur de métier ». ([17])
Elle n’a pas seulement affirmé l’existence de cette politique publique, elle en a également défini le périmètre d’intervention de manière précise, en créant un livre VIII consacré au renseignement au sein du code de la sécurité intérieure.
Ce cadre juridique a, d’une part, rassemblé des dispositions préexistantes éparses liées à certaines techniques de renseignement et a, d’autre part, innové en dotant les services de renseignement de nouveaux outils (I). Il a fait l’objet d’un certain nombre de modifications au cours des dernières années, liées notamment à plusieurs censures du Conseil constitutionnel et à diverses extensions du champ initialement prévu en 2015, mais il paraît néanmoins désormais largement stabilisé. Les services de renseignement, qui ont dû s’adapter pour se conformer aux nouvelles exigences posées par la loi, se sont bien approprié la loi du 24 juillet 2015 et y sont très attachés (II).
En donnant un cadre général aux activités de renseignement, la loi du 24 juillet 2015 a également renforcé le contrôle, en particulier externe, qui s’exerce sur certaines des activités de renseignement (III). Si une partie de ces contrôles préexistaient à la loi relative au renseignement, ils se sont nettement développés depuis.
Dans ses grands principes, la loi du 24 juillet 2015 a donc été approuvée et éprouvée. Elle comporte des garanties qui n’existaient pas auparavant dans un contexte de crise sécuritaire de grande ampleur.
I. Un cadre juridique novateur qui a déjà connu huit modifications
La loi du 24 juillet 2015, reprenant sur de nombreux points la loi du 10 juillet 1991 sur les interceptions de correspondances précitée, a institué des finalités justifiant la mise en œuvre de techniques de recueil de renseignement (A), défini les techniques – certaines préexistant à la loi, d’autres, nouvelles – pouvant être mises en œuvre par les services du premier cercle et sous certaines conditions par ceux du second cercle (B), en les enserrant dans une procédure permettant un contrôle à différents niveaux (C). Par ailleurs, les durées d’autorisation de mise en œuvre et de conservation des données recueillies grâce à la mise en œuvre de techniques de renseignement ont également fait l’objet d’un encadrement (D).
Ce cadre juridique novateur à bien des égards a été retouché à huit reprises ([18]). Les modifications apportées par le législateur l’ont été pour trois raisons principales :
– remédier aux censures du Conseil constitutionnel de certains aspects de la loi du 24 juillet 2015 ([19]) ou d’autres dispositions relatives au renseignement ([20]) ;
– étendre le champ de certaines dispositions, en particulier pour adapter les moyens des services de renseignement à l’évolution des menaces pesant sur le pays, en particulier la menace terroriste ([21]) ;
– procéder à des ajustements techniques ([22]).
A. Les finalités justifiant la mise en œuvre de techniques de renseignement
Si la loi du 24 juillet 2015, à l’article L. 801–1 du code de la sécurité intérieure, énonce une règle générale de respect de la vie privée dans toutes ses composantes, elle pose parallèlement le principe d’une exception autorisant l’autorité publique à y porter atteinte dans les seuls cas de nécessité d’intérêt public qu’elle énumère. Ce faisant, elle se rapproche d’autres textes internationaux – Constitution de l’Union internationale des télécommunications, Pacte international relatif aux droits civils et politiques, Convention de sauvegarde des droits de l’homme et des libertés fondamentales – qui reprennent également le modèle d’une règle générale garantissant les libertés individuelles et d’une exception autorisant les États parties à y déroger sous certaines conditions ([23]).
1. Les différentes finalités prévues à l’article L. 811-3 du code de la sécurité intérieure
Le recours aux techniques de renseignement s’exerce dans un cadre contraint. La première de ces contraintes est le nombre limité de finalités pouvant justifier le recours aux techniques de renseignement. Aux termes de l’article L. 811-3 du code de la sécurité intérieure, il doit s’agir de recueillir des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants:
– l’indépendance et la défense nationales, l’intégrité du territoire (1°) ;
– les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère (2°). Sont ainsi visés la contribution des services à vocation extérieure à la diplomatie française et le contre–espionnage ;
– les intérêts économiques, industriels et scientifiques majeurs français (3°). Cela permet notamment de lutter contre l’espionnage industriel et de promouvoir les intérêts économiques français face à des pratiques déloyales de concurrents étrangers ;
– la prévention du terrorisme (4°). Cette notion s’apprécie par référence aux articles 421–1 et suivants du code pénal, qui définissent les actes de terrorisme ;
– la prévention des atteintes à la forme républicaine des institutions (a), des actions tendant au maintien ou à la reconstitution de groupements dissous (b) et des violences collectives de nature à porter gravement atteinte à la paix publique (c) (5°). Ces différentes notions font en particulier référence à diverses incriminations pénales et aux dispositions de l’article L. 212–1 du code de la sécurité intérieure ;
– la prévention de la criminalité et de la délinquance organisées (6°). Cette notion renvoie aux incriminations pénales énumérées à l’article 706–73 du code de procédure pénale, précisées par la jurisprudence de la Cour de cassation ([24]) ;
– la prévention de la prolifération des armes de destruction massive (7°), faisant référence aux incriminations pénales définies aux articles L. 2339–14 et suivants du code de la défense.
Cette liste a permis de compléter la rédaction qui prévalait antérieurement s’agissant des interceptions de sécurité ([25]). Plusieurs changements ont ainsi été introduits par la loi du 24 juillet 2015 :
– le plus notable est la substitution des termes « défense et promotion » à celui de « sauvegarde » utilisé depuis 1991, afin d’acter la dimension offensive du renseignement aux côtés de sa dimension défensive. Comme l’a souligné le rapport sur le projet de loi de notre ancien collègue Jean–Jacques Urvoas, « il paraissait indispensable d’assurer une démarche de collecte de renseignements au profit de certains secteurs vitaux pour notre pays, notamment dans le domaine économique, à l’instar de ce que pratiquent tous les services de renseignement de nos partenaires (souvent à notre détriment). » ([26])
– la suppression du concept de sécurité nationale introduit en 1991 par référence à l’article 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, au profit des notions d’indépendance nationale, d’intégrité nationale et de défense nationale figurant dans la Constitution à ses articles 5 et 21 ;
– le passage d’« essentiels » à « majeurs » pour définir les intérêts économiques, industriels et scientifiques défendus, confirmant l’intérêt du renseignement et de l’intelligence économiques ([27]) ;
– l’ajout ou l’explicitation de trois critères : les intérêts majeurs de la politique étrangère, la lutte contre les violences collectives antirépublicaines ainsi que la prévention de la prolifération des armes de destruction massive.
En outre, il faut noter que depuis la loi du 28 février 2017 ([28]), le service national du renseignement pénitentiaire peut, en application de l’article L. 855‑1, recourir aux techniques de renseignement en application de certaines finalités qui lui sont propres :
– prévention des évasions ;
– organisation de la sécurité des établissements pénitentiaires ou des établissements de santé destinés à recevoir des personnes détenues.
Cette liste marque en creux les domaines qui n’entrent pas dans le champ des finalités justifiant la mise en œuvre de techniques de renseignement, en particulier le renseignement politique ([29]). La CNCTR a d’ailleurs formulé un rappel en 2018 s’agissant des demandes de mise en œuvre de techniques de renseignement en matière de prévention des violences collectives de nature à porter gravement atteinte à la paix publique en indiquant « qu’elle se montre particulièrement vigilante sur les demandes fondées sur cette finalité, considérant que la prévention de violences collectives ne saurait être interprétée comme permettant la pénétration d’un milieu syndical ou politique ou la limitation du droit constitutionnel de manifester ses opinions, même extrêmes, tant que le risque d’une atteinte grave à la paix publique n’est pas avéré » ([30]) .
Le Conseil constitutionnel, dans sa décision n° 2015–713 DC du 23 juillet 2015, a estimé que les finalités retenues par le législateur faisaient référence soit à des incriminations pénales existantes soit à des dispositions du code de la sécurité intérieure, du code des douanes ou du code de la défense et a donc estimé infondé le grief selon lequel elles seraient insuffisamment définies ([31]).
2. La place prépondérante de la finalité antiterroriste
Comme l’a montré la CNCTR dans son dernier rapport annuel, les différentes finalités de l’article L. 811–3 sont très diversement invoquées par les services de renseignement à l’appui de leurs demandes.
Avant 2015, la finalité de la prévention de la criminalité organisée, qui était déjà mentionnée dans la loi du 10 juillet 1991 précitée, constituait le premier motif de recours aux interceptions de sécurité ([32]). C’est au mois de janvier 2015 que la prévention du terrorisme a, pour la première fois, été le fondement légal le plus fréquemment invoqué ([33]).
CNCTR, rapport d’activité 2016, p. 69.
Elle est demeurée les années suivantes très nettement prédominante lorsqu’on considère les demandes portant sur l’ensemble des techniques de renseignement ([34]). Ainsi, cette finalité est invoquée dans 38 % des demandes en 2019. Cela s’explique par la prégnance de la menace terroriste, principalement endogène depuis le recul territorial de l’organisation dite « État islamique » dans la zone irako-syrienne.
Elle est en net recul relatif par rapport à 2018, où elle représentait 45 % des demandes ([35]) et 49 % en 2017.
La place de la prévention du terrorisme dans la loi du 24 juillet 2015
La loi du 24 juillet 2015, qui n’est pas une loi antiterroriste, accorde cependant une place particulière à la prévention du terrorisme.
La procédure d’urgence absolue, qui permet d’autoriser une technique de renseignement sans l’avis préalable de la CNCTR, peut notamment être enclenchée sur le fondement de la prévention du terrorisme ([36]).
La prévention du terrorisme est la seule finalité qui peut être invoquée pour l’ensemble des techniques de renseignement. Certaines techniques peuvent être évoquées pour toutes les finalités, d’autres pour certaines finalités seulement ([37]), d’autres enfin, ne peuvent être utilisées que dans le cadre de la finalité de prévention du terrorisme : c’est le cas du recueil de données de connexion en temps réel, de l’algorithme et des vérifications ponctuelles sur des identifiants techniques rattachables au territoire français s’agissant de la surveillance des communications internationales (articles L. 851–2, L. 851–3 et IV du L. 854–2).
3. Des finalités diversement invoquées
Loin derrière la prévention du terrorisme, les finalités les plus invoquées, chacune dans moins de 20 % des demandes, sont la prévention de la criminalité et de la délinquance organisée et le groupe de finalités relevant des intérêts géostratégiques de la France ([38]).
Viennent ensuite deux finalités : la défense et la promotion des intérêts économiques, industriels et scientifiques majeurs de la France et la prévention d’activités particulièrement déstabilisatrices de l’ordre public, telles que les violences collectives de nature à porter gravement atteinte à la paix publique. Cette dernière finalité a été davantage invoquée au cours des deux dernières années, son poids relatif passant de 6 à 14 %.
S’agissant des finalités spécifiques au renseignement pénitentiaire, elles n’ont été invoquées en 2019 que dans 0,08% des demandes.
CNCTR, rapport d’activité 2019, p. 55
CNCTR, rapport d’activité 2019, p. 59
Comme l’a souligné la CNCTR, les différences de valeurs entre les deux diagrammes présentés ci–dessus reflètent le nombre de techniques employées pour surveiller une personne. Si 35 % des personnes surveillées en 2019 l’ont été au titre de la prévention du terrorisme, tandis que 38 % des demandes de techniques de renseignement étaient fondées sur cette finalité, c’est parce que les personnes suspectées d’être impliquées dans un projet terroriste font, en moyenne, l’objet de davantage de techniques que les personnes surveillées sur le fondement d’autres finalités.
B. Les techniques de recueil de renseignement
Les techniques de recueil de renseignement ([39]) font l’objet du titre V du livre VIII du code de la sécurité intérieure. Elles sont énoncées, en application du principe de subsidiarité, de la moins intrusive à plus intrusive.
1. Les accès administratifs aux données de connexion
Plusieurs techniques de renseignement prévues par la loi du 24 juillet 2015 sont relatives aux accès administratifs aux données de connexion. Ces données sont très larges. Il peut s’agir des données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnements ou de connexion d’une personne désignée, à la localisation d’équipements terminaux, à la liste de numéros appelés ou appelants, à la durée et à la date des communications.
Ces informations ou documents ne peuvent porter sur le contenu des correspondances échangées ou des informations consultées, ainsi que le précise l’article R. 851–5 du code de la sécurité intérieure. Le Conseil constitutionnel l’a d’ailleurs rappelé dans sa décision n° 2015–713 DC du 23 juillet 2015, en estimant que « le législateur a suffisamment défini les données de connexion, qui ne peuvent porter sur le contenu des correspondances ou les informations consultées » ([40]).
a. Le régime juridique de la loi du 24 juillet 2015
Cette technique de réquisitions administrative des données de connexion, qu’il s’agisse de données relatives aux communications passées (les factures détaillées ou « fadettes ») ou à la localisation des équipements permettant ces communications, bénéficiait déjà d’un cadre légal antérieurement à la loi du 24 juillet 2015.
Si cette technique a été instaurée dès 1991 comme un préalable possible aux interceptions de sécurité ([41]), elle a été instituée en technique autonome en 2006 ([42]) et bénéficiait d’un régime unifié depuis 2013 ([43]).
La loi du 24 juillet 2015 a distingué plusieurs techniques permettant l’accès aux données de connexion :
– le recueil et la transmission, sur sollicitation des opérateurs, en temps différé, des données de connexion, autorisés pour l’ensemble des finalités des activités de renseignement dans les conditions de droit commun de mise en œuvre des techniques de renseignement (article L. 851–1 du code de la sécurité intérieure). Cette technique de renseignement est souvent présentée comme un préalable à la mise en œuvre d’une autre technique de renseignement, dans la mesure où elle permet de recueillir des informations sur une personne avant la mise en œuvre d’une mise en œuvre d’une technique plus invasive ;
– l’accès en temps réel de toutes les données de connexion de personnes préalablement identifiées comme présentant une menace, pour les seuls besoins de la prévention du terrorisme (article L. 851–2 du CSI). Plus intrusive que l’accès aux données de connexion en temps différé, cette technique reste moins attentatoire à la vie privée qu’une interception de sécurité puisqu’elle ne permet pas d’écouter ou de lire des correspondances ;
– la technique dite de l’algorithme (article L. 851–3 du CSI), qui fait l’objet d’un développement infra.
Elle a également inclus :
– la géolocalisation en temps réel des équipements terminaux (article L. 851–4 du CSI).
– le balisage, permettant la localisation en temps réel d’une personne, d’un véhicule ou d’un objet (article L. 851–5 du CSI). Cette disposition est une création de la loi du 24 juillet 2015, même si elle existait déjà dans le domaine judiciaire ([44]) ;
– le recours au dispositif de proximité dit « IMSI–catcher » (article L. 851–6 du CSI), qui fait l’objet d’un développement infra.
b. Les évolutions postérieures à la loi du 24 juillet 2015
La loi du 21 juillet 2016 de prorogation de l’état d’urgence ([45]) a élargi le champ des personnes visées par la technique d’accès en temps réel des données de connexion. La référence à « la personne préalablement identifiée comme présentant une menace » a été remplacée par la référence à « la personne préalablement identifiée susceptible d’être en lien avec une menace » et l’entourage de la personne a été inclus dans le dispositif. Enfin, la durée de l’autorisation de recueil a été portée de deux à quatre mois.
Dans sa décision n° 2017-648 QPC du 4 août 2017, le Conseil constitutionnel a estimé que cette nouvelle rédaction n’opérait pas une juste conciliation entre la prévention des atteintes à l’ordre public et le droit au respect de la vie privée.
Il a considéré que cette disposition, insuffisamment précise, permettait « que fasse l’objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit ». Il a également relevé que, contrairement aux interceptions de correspondances des personnes appartenant à l’entourage d’une personne concernée par une autorisation d’interception, le nombre d’individus susceptibles de voir leurs données de connexion recueillies en temps réel n’était pas limité en quantité.
Le Conseil constitutionnel a cependant reporté les effets de sa décision d’abrogation de la disposition au 1er novembre 2017. En conséquence, la loi du 30 octobre 2017 relative à la sécurité intérieure et à la lutte contre le terrorisme, dite « SILT » ([46]), a modifié le dispositif issu de la loi du 21 juillet 2016, en prévoyant que le Premier ministre arrête le nombre maximal des autorisations de procéder au recueil, après avis de la CNCTR.
En pratique, comme l’a noté notre collègue Raphaël Gauvain dans son rapport sur le projet de loi SILT, « il appartien[t] au Premier ministre, après avis de la CNCTR, de s’assurer que la personne concernée par la demande de recueil appartient bien à l’entourage d’une personne préalablement identifiée comme représentant une menace au regard de la nature des liens, de leur intensité, de leur régularité et de tout autre élément de nature à justifier le bien-fondé de la mesure. » ([47])
c. Les dispositifs techniques de proximité, ou « IMSI-catchers »
Pour l’ensemble des finalités de l’article L. 811-3, les données de connexion, et dans certaines conditions restrictives, les correspondances, peuvent être recueillies par le biais de dispositifs techniques de proximité, plus communément appelés « IMSI-catchers » (article L. 851–6 du CSI).
Ce dispositif peut être défini comme une antenne relais mobile factice qui se substitue, dans un périmètre donné, aux antennes relais des opérateurs permettant ainsi aux services de renseignement de disposer d’informations sur les terminaux qui s’y sont connectés. Il permet de recueillir :
– les données techniques nécessaires à l’identification d’un équipement terminal ou du numéro d’abonnement de l’utilisateur, c’est-à-dire le numéro identificateur d’usager mobile (International Mobile Subscriber Identity [IMSI]), qui peut se définir comme un numéro unique, stocké dans la carte SIM, permettant à un réseau mobile d’identifier un usager et le numéro international de l’équipement mobile (International Mobile Equipment Identity [IMEI]), qui est le numéro unique de l’équipement mobile ;
– les données techniques relatives à la localisation des équipements terminaux utilisés ;
– les correspondances. Cette dernière utilisation, définie à l’article L. 852‑1 du CSI est néanmoins très encadrée (voir infra).
Le nombre d’IMSI-catchers utilisés simultanément est contingenté ([48]).
Lors de l’examen du projet de loi relatif au renseignement, les IMSI-catchers avaient concentré une large part des débats au sein de l’hémicycle.
Comme cela a été confirmé aux membres de la mission d’information au cours de ses auditions, cette technique de renseignement était en réalité utilisée depuis plus de quinze ans, sans qu’il existe un cadre juridique régissant spécifiquement son utilisation. Au demeurant, à cette époque, d’autres puissances – les États-Unis, le Royaume-Uni, Israël notamment – y avaient également recours.
Cette technique de renseignement est en revanche largement menacée par le déploiement de la 5G ([49]).
d. Des techniques de renseignement très utilisées
Le rapport annuel de la CNCTR fournit des indications sur l’utilisation par les services de renseignement de ces différentes techniques de renseignement.
L’accès aux données de connexion en temps différé (article L. 851–1 du CSI) demeure, de très loin, la technique de renseignement la plus utilisée, tout en étant la moins intrusive de toutes. Ces demandes ont connu une baisse de 14 % en 2019, s’établissant à :
– 25 051 s’agissant des demandes d’identification d’abonnés ou de recensement de numéros d’abonnement ;
– 14 568 s’agissant des demandes de factures détaillées (fadettes).
Dans son rapport, la CNCTR précise « que les demandes comptabilisées au titre de cet article peuvent porter sur plusieurs accès à la fois. Ainsi, une même demande de recensement de numéros d’abonnement téléphonique d’une personne peut entraîner le recueil de plusieurs numéros auprès de plusieurs opérateurs de communications électroniques. Le nombre de demandes examinées par la CNCTR représente donc un ensemble de dossiers comportant un ou plusieurs accès à des données de connexion en temps différé. » ([50])
répartition des demandes d’accès aux données de connexion en temps différé
Source : rapport d’activité de la CNCTR, 2019, p. 51.
La géolocalisation en temps réel semble être la technique auquel le recours a le plus progressé. D’après les données de la CNCTR, le recours à cette technique a augmenté de :
– 87 % en 2016 ;
– 55 % en 2017 ;
– 38 % en 2018 :
– 46,4 % en 2019, soit 7 601 demandes.
Les données relatives aux autres techniques ne sont pas publiques.
● Le contingentement du recueil des données de connexion par IMSI-catcher : un contigent stable depuis 2015
Par un arrêté du 15 janvier 2016, le Premier ministre a fixé et réparti le contingent fixant le nombre maximal d’IMSI-catchers pouvant être utilisés simultanément en suivant les recommandations de la commission.
Le contingent n’a pas été modifié depuis lors. Comme l’a fait remarquer la CNCTR dans son rapport d’activité pour l’année 2018, les services chargés du renseignement pénitentiaire peuvent, depuis le 1er février 2017, former des demandes tendant au recueil de données de connexion par IMSI-catcher. Mais cette technique ne peut être directement mise en œuvre par eux, tant que le contingent n’a pas été modifié pour prévoir un nombre maximal d’autorisations en vigueur simultanément pour les services relevant du ministère de la Justice ([51]).
Répartition par ministère du contingent de recueil de données de connexion par IMSI–catcher
Ministère |
2016 |
Intérieur |
35 |
Défense |
20 |
Douanes |
5 |
Total |
60 |
Source : CNCTR, rapport d’activité 2019, p. 40
● Le contingentement du recueil de données de connexion en temps réel : une mesure récente
Par une décision du 8 janvier 2018, le Premier ministre avait initialement fixé le contingent à 500.
Une augmentation de ce contingent a été décidée le 25 novembre 2019, après avis favorable de la CNCTR ([52]) .
Répartition par ministère du contingent de recueil de données de connexion en temps réel
|
2018 |
2019 |
Intérieur |
430 |
650 |
Défense |
50 |
50 |
Douanes |
20 |
20 |
Total |
500 |
720 |
Source : CNCTR, rapport d’activité 2019, p. 36
2. L’algorithme
a. Un outil de détection des signaux de faible intensité
Adoptée dans le contexte de l’affaire Snowden, la loi du 24 juillet 2015 a promu l’individualisation des techniques de renseignement s’agissant de leur cible, qui concerne essentiellement une personne spécifiquement désignée ou son entourage immédiat.
La technique de renseignement dite de l’« algorithme », prévue à l’article L. 851–3 du CSI, fait figure d’exception, même si elle est très rigoureusement encadrée.
Comme l’a souligné le rapporteur du projet de loi, notre ancien collègue Jean–Jacques Urvoas : « l’objectif poursuivi est donc bien, pour l’État, de pouvoir recueillir, traiter, analyser et recouper un grand nombre d’éléments techniques anonymes pour détecter des signaux de faible intensité sur les données brutes qui témoigneraient d’une menace pesant sur la sécurité nationale. Cette disposition n’impose donc pas aux prestataires de services sur Internet une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites, ce que prohibe l’article 15 de la directive sur le commerce électronique. » ([53])
Le I de cet article prévoit que le Premier ministre peut, après avis de la CNCTR, imposer aux opérateurs de communications électroniques et aux fournisseurs de services sur internet la mise en œuvre sur leurs réseaux de traitements automatisés destinés à détecter des connexions susceptibles de révéler une menace terroriste. Les algorithmes ne peuvent porter que sur des données de connexion et ne doivent pas permettre l’identification des personnes auxquelles ces données se rapportent.
C’est uniquement si l’algorithme détecte des données susceptibles de caractériser l’existence d’une menace à caractère terroriste que le Premier ministre peut autoriser, après un nouvel avis de la CNCTR, l’identification des personnes concernées et le recueil des données afférentes (IV de l’article L. 853–1 du CSI).
La nécessité d’un tel outil est apparue dans le sillage de la montée en puissance de l’antiterrorisme qui, « en accroissant très fortement le nombre de cibles potentielles à surveiller, a poussé les services intérieurs (et non plus seulement extérieurs) à vouloir recourir massivement aux moyens de surveillance électronique, alors que traditionnellement le renseignement humain était la pratique dominante des services tels que la DST ou les RG. Tandis que le renseignement extérieur ou de contre-espionnage implique une pénétration longue et progressive dans le but d’utiliser sur le moyen et le long terme des sources fiables, la nécessité impérieuse de détecter en quasi-temps réel le potentiel passage à l’acte du terroriste amène à rechercher un instrument qui puisse effectuer presque automatiquement du " décèlement précoce ". Les nouvelles technologies numériques (données mobiles, big data, algorithmes, deeplearning…) sont donc arrivées à point nommé dans les dernières années pour développer un cyber-renseignement dont les lois de 2015 ont été la reconnaissance officielle, après que quelques textes antérieurs leur ont ouvert la voie, comme en 2006 avec la collecte des données de connexion en matière anti-terroriste ou le recueil en temps réel de ces mêmes métadonnées à partir de la loi du 18 décembre 2013. » ([54])
b. Une mise en œuvre strictement encadrée par la loi et par le contrôle de la CNCTR
La loi du 24 juillet 2015 a entouré cet outil de nombreuses garanties :
– une limitation à la seule finalité de la prévention du terrorisme ;
– un avis de la CNCTR sur la demande d’autorisation, sur les paramètres de détection retenus et sur la levée de l’anonymat en cas de détection d’une menace ;
– une autorisation initiale limitée à deux mois ;
– une levée de l’anonymat uniquement en cas de menace caractérisée ;
– une destruction des données exploitées dans un délai de 60 jours à compter du recueil, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste.
c. Une application effective depuis 2017 seulement
La CNCTR a été consultée sur le projet d’architecture générale et a rendu une délibération classifiée le 28 juillet 2016. Cet avis était favorable « sous réserve du respect de garanties renforçant la protection de la vie privée, des observations et des recommandations avaient été formulées sur la procédure de collecte des données de connexion, les caractéristiques des données collectées, la durée de leur conservation, les conditions de leur stockage et la traçabilité des accès. » ([55]) Elle avait notamment préconisé que l’architecture générale du dispositif fût placée sous la responsabilité du groupement interministériel de contrôle (GIC).
Dans une décision classifiée du 27 avril 2017, le Premier ministre a fixé les règles générales de mise en œuvre des algorithmes, en reprenant « l’ensemble des observations et des recommandations formulées par la CNCTR ». ([56])
Le 18 juillet 2017, la CNCTR a été saisie d’une première demande tendant à la mise en œuvre d’un algorithme. Elle a examiné cette demande sous l’angle juridique (afin de vérifier que le traitement envisagé correspondait bien à la définition légale donnée par l’article L. 851-3) et technique (afin de vérifier ses fonctions effectives, la commission s’étant assurée que l’algorithme, et notamment son code source, était conforme à la description qu’en faisait la demande). La commission a estimé que cette demande ne respectait pas les garanties préconisées dans son avis du 28 juillet 2016 et fixées par le Premier ministre dans sa décision du 27 avril 2017. Elle a donc émis un avis défavorable à cette première demande.
Le 25 septembre 2017, la CNCTR a été saisie d’une demande rectificative portant sur le même algorithme : elle a pris acte des mesures prises pour renforcer les garanties présentées par l’architecture générale de mise en œuvre du traitement envisagé et a émis un avis favorable à cette demande.
Le Premier ministre a suivi l’avis de la commission en autorisant la mise en œuvre de l’algorithme le 12 octobre 2017.
Le premier algorithme a donc été autorisé par le Premier ministre le 12 octobre 2017 seulement. À l’issue des deux premiers mois de fonctionnement, la CNCTR a émis un avis favorable à un premier renouvellement pour une durée de deux mois ([57]), puis à de nouveaux renouvellements dans le cadre du droit commun, pour une durée de quatre mois. Il est toujours en fonctionnement aujourd’hui.
Depuis la mise en œuvre de cet algorithme, la CNCTR a été conduite à rendre plusieurs avis sur des demandes d’accès à des données détectées ainsi que d’identification des personnes concernées.
Deux nouvelles autorisations ont été accordées en 2018.
Cet outil fait l’objet d’une mise en œuvre très limitée puisqu’à la fin de l’année 2018, trois algorithmes avaient été mis en œuvre depuis l’entrée en vigueur de la loi du 24 juillet 2015 et étaient en fonctionnement.
d. Un dispositif expérimental, prolongé une première fois en 2017
Le caractère très novateur de cette technique a conduit le législateur à prévoir, à l’article 25 de la loi relative au renseignement, une application temporaire de ce dispositif, jusqu’au 31 décembre 2018, son renouvellement devant être autorisé par la loi. Afin d’en évaluer la pertinence et d’éclairer le Parlement sur l’opportunité d’en proroger l’usage, cet article prévoyait un rapport sur son application au plus tard le 30 juin 2018.
Eu égard à la mise en œuvre tardive du premier algorithme, la loi du 30 octobre 2017 précitée a prorogé de deux années l’expérimentation en cours de cette technique et, en conséquence, a reporté au 30 juin 2020 la remise du rapport d’application.
Pour le Gouvernement, « la date de 2018 retenue par le législateur au moment de l’examen du projet de loi relatif au renseignement sembl[ait] (…) prématurée et il appara[issait] que le bilan qui pourrait être tiré de la mise en œuvre de cette technique (…) au 30 juin 2018 ne permettra[it] pas au Parlement de se prononcer de manière satisfaisante sur l’opportunité de pérenniser cette technique ou d’y mettre fin » ([58]).
La CNCTR, dans son rapport d’activité 2017, a recommandé au Gouvernement d’informer le Parlement, sans attendre l’échéance légale, par un rapport déposé après une première année de mise en œuvre de l’algorithme.
e. Des mises en œuvre intéressantes mais limitées aux données de connexion téléphoniques
D’après les informations qui ont été transmises à la mission d’information, les trois algorithmes ont fourni des résultats intéressants. Ils sont néanmoins moins probants qu’ils ne pourraient l’être eu égard au champ relativement limité des données qui peuvent faire l’objet de l’algorithme. Les données pouvant nourrir l’algorithme sont en effet limitées aux seules données de connexion ne révélant aucun contenu, à l’exception donc des URL ([59]).
Les membres de la mission d’information ont donc envisagé plusieurs pistes de réflexion permettant d’améliorer l’efficacité des algorithmes ([60]).
3. Les interceptions de sécurité
Les interceptions de sécurité permettent d’accéder au contenu des communications et aux données de connexion qui y sont associées.
a. Un cadre juridique dont les fondements ont été définis par la loi du 10 juillet 1991
Avant l’entrée en vigueur de la loi du 24 juillet 2015, le régime des interceptions de correspondances était défini par la loi du 10 juillet 1991 précitée, codifié dans le code de la sécurité intérieure. Les demandes d’interceptions étaient adressées au Premier ministre par les ministres concernés. L’autorisation était accordée pour une durée de quatre mois renouvelable.
En application de l’article L. 243-8 du code de la sécurité intérieure, une autorité administrative indépendante, la Commission nationale de contrôle des interceptions de sécurité (CNCIS) assurait un contrôle a posteriori de l’autorisation par le Premier ministre, en ayant la possibilité d’adresser des recommandations au Premier ministre en cas d’autorisation accordée en contradiction avec les dispositions applicables aux interceptions de sécurité.
Toutefois, une pratique différente, plus protectrice, s’est rapidement établie, sans qu’aucun Premier ministre ne la remette en cause : la CNCIS formulait son avis a priori, avant que le Premier ministre autorise la mesure, celui-ci se conformant en outre à l’avis rendu, à l’exception de quelques cas très exceptionnels.
L’exécution des opérations relatives aux interceptions de sécurité était centralisée au sein d’un service placé auprès du Premier ministre, le GIC.
Le nombre d’interceptions de sécurité pouvant être simultanément menées était contingenté par un arrêté du Premier ministre.
b. Un cadre juridique largement repris par la loi du 24 juillet 2015
La loi du 24 juillet 2015 a peu modifié le régime des interceptions de sécurité, qui, comme on vient de le voir, faisaient déjà l’objet d’un régime juridique précis et d’un contrôle par la CNCIS. Elles font désormais l’objet d’un chapitre dédié au sein du titre V.
La plupart des modalités du régime actuel relatif aux interceptions de sécurité ont donc été maintenues, à trois grandes exceptions près :
– la pratique préexistante d’un avis préalable de l’autorité chargée du contrôle a été consacrée dans la loi ;
– le principe d’un contingentement a été renforcé, puisque l’arrêté du Premier ministre de fixation du contingentement est pris après avis de la CNCTR ;
– la possibilité de demander l’interception des communications de personnes, qui, sans présenter par elles-mêmes une menace, appartiennent à l’entourage de la personne faisant l’objet d’une mesure de surveillance et sont « susceptibles de fournir des informations au titre de la finalité qui motive l’autorisation ».
Cette dernière disposition était une innovation par rapport à la doctrine constante de la CNCIS, qui s’était toujours refusée à accorder des autorisations d’interception pour des personnes appartenant à l’entourage de personnes suivies, mais ne justifiant pas elles-mêmes une écoute, en exigeant une présomption d’implication directe et personnelle dans un projet en lien avec l’une des finalités permettant l’interception de la personne avec les faits motivant la demande d’écoute.
Les interceptions de sécurité peuvent être réalisées par le biais d’IMSI–catchers, mais pour certaines finalités uniquement ([61]).
c. La création d’une nouvelle modalité d’interception de sécurité après la loi du 24 juillet 2015 : les écoutes hertziennes
En 1991, le législateur a autorisé les services de renseignement à prendre les mesures « pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne » ([62]) sans les soumettre au régime juridique d’autorisation préalable ou de contrôle des interceptions de sécurité décidées par l’autorité administrative.
Les activités concernaient des mesures générales et non ciblées de surveillance et de contrôle des transmissions empruntant la voie hertzienne, c’est-à-dire les communications sans support filaire utilisant le champ électromagnétique pour transmettre un message entre deux antennes. Il s’agit des communications radio très longue distance (de type VLF ou très basses fréquences), longue distance (de type HF ou hautes fréquences) et courte distance (de type V/UHF ou très et ultra hautes fréquences, comme les talkies walkies). Ces mesures sont généralement utiles pour identifier, en amont d’une interception, une menace potentielle.
L’application à ces activités d’un régime dérogatoire du droit commun s’expliquait compte tenu de leurs modalités techniques – elles ne visent pas des communications individualisables, localisées et quantifiables – et de la nature de leurs cibles. En effet, les communications hertziennes consistent en des signaux envoyés depuis une antenne émettrice qui peuvent être captés par toute antenne réceptrice située dans le périmètre d’émission ; dans la mesure où aucun opérateur de communications électroniques n’intervient, le message émis ne comporte pas, en principe, d’informations sur l’identification ou la localisation de l’émetteur et du destinataire.
Ces dispositions, codifiées en 2012 à l’article L. 241-3 du code de la sécurité intérieure puis transférées en 2015 à l’article L. 811-5 du même code ([63]), sont demeurées inchangées, hors du cadre juridique applicable aux activités de surveillance des communications de droit commun.
Ce dispositif dérogatoire faisait l’objet d’une interprétation stricte de la part de la CNCIS puis de la CNCTR. La CNCIS a ainsi, dès 1998, exclu que ce régime puisse autoriser des recherches ciblées destinées à intercepter des communications individualisables et serve de fondement légal à l’interception de communications échangées par un téléphone mobile, même si une partie de celles-ci est acheminée par voie hertzienne, entre le terminal et l’antenne-relais.
Le Conseil constitutionnel, par sa décision n° 2016-590 QPC du 21 octobre 2016, a déclaré contraires à la Constitution ces dispositions, qui permettent, au moins en théorie, aux pouvoirs publics de surveiller toute transmission empruntant la voie hertzienne sans exclure l’interception de communications individualisables. Il a estimé que, « faute de garanties appropriées » – finalités des mesures envisagées, techniques utilisées, définition des conditions de fond ou de procédure préalables au recours à ces techniques –, l’article L. 811‑5 précité portait « une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances résultant de l’article 2 de la Déclaration de 1789 » ([64]).
En conséquence, la loi SILT précitée a créé dans le code de la sécurité intérieure, outre un régime de l’hertzien ouvert (voir infra), un article L. 852–2 relatif à l’interception de correspondances au sein d’un réseau hertzien privatif et n’impliquant pas l’intervention d’un opérateur de communications électroniques. Ce régime obéit aux mêmes règles de procédure que les interceptions de correspondances classiques.
d. L’utilisation croissante des interceptions de sécurité
Cela peut sembler paradoxal car internet est très majoritairement chiffré et de plus en plus impénétrable mais les interceptions de sécurité – non seulement de voix mais aussi de flux internet – connaissent une forte croissance. Le recours aux interceptions de sécurité a ainsi crû en 2019, de façon importante, dans un contexte marqué par une menace terroriste persistante ainsi que par la nécessité de prévenir des violences collectives de nature à porter gravement atteinte à la paix publique. Le taux d’augmentation s’élève à 19 %. Par comparaison, les taux d’augmentation des trois années précédentes étaient également significatifs :
– + 5,6 % en 2016 ;
– + 7,6 % en 2017 ;
– + 20 % en 2018
Saisie par le Premier ministre le 15 mai 2019 d’un projet d’augmentation d’environ 11 % du contingent applicable aux interceptions de sécurité, précédemment fixé à 3 600 par une décision du 28 juin 2018, la CNCTR s’est prononcée par une délibération classifiée adoptée en formation plénière le 6 juin 2019. Après avoir constaté, comme lors des deux précédentes augmentations du contingent en 2017 et 2018, que le nombre maximal d’autorisations simultanément en vigueur était proche d’être atteint, elle a estimé avéré le besoin d’augmenter une nouvelle fois le contingent au regard notamment de la persistance, à un niveau élevé, de la menace terroriste.
Par une décision du 5 juillet 2019, le Premier ministre a fixé et réparti le nouveau contingent comme suit.
RÉPARTITION PAR MINISTÈRE DU CONTINGENT D’INTERCEPTION DE SÉCURITÉ
|
1991 |
1997 |
2003 |
2005 |
2009 |
2014 |
2015 |
2017 |
2018 |
2019 |
Intérieur |
928 |
1190 |
1190 |
1290 |
1455 |
1785 |
2235 |
2545 |
3000 |
3050 |
Défense |
232 |
330 |
400 |
450 |
285 |
285 |
320 |
320 |
400 |
550 |
Douanes |
20 |
20 |
80 |
100 |
100 |
120 |
145 |
145 |
150 |
150 |
Justice |
|
|
|
|
|
|
|
30 |
50 |
50 |
Total |
1180 |
1540 |
1670 |
1840 |
1840 |
2190 |
2700 |
3040 |
3600 |
3800 |
Source : CNCTR, rapport d’activité 2019, p. 34
Les révisions du contingent sont de plus en plus fréquentes, il s’agit de la quatrième en cinq ans, alors qu’il n’y en avait eu que cinq entre 1991 et 2014.
4. La sonorisation de certains lieux et véhicules et la captation d’images et de données informatiques
a. Un cadre juridique novateur, inspiré du cadre judiciaire
La loi du 24 juillet 2015 a repris dans le cadre de la police administrative un certain nombre de techniques utilisées en police judiciaire ([65]), introduites par la loi dite « Perben II » ([66]) et par loi dite « LOPPSI 2 » ([67]) :
– la sonorisation de certains lieux et véhicules et la fixation d’image (article L. 853–1) ;
– le recueil de données informatiques et la captation de données informatiques, qui permet d’accéder à des données informatiques telles qu’elles s’affichent sur un écran pour l’utilisateur de données (article L. 853–2) ;
– l’introduction dans un lieu privé ou dans un véhicule pour mettre en place, utiliser ou retirer un dispositif technique (balise, sonorisation ou fixation d’image, recueil de données informatiques, captation de données informatiques) (article L. 853–3).
Eu égard à leur caractère intrusif, le recours à ces techniques est subsidiaire : les services de renseignement ne peuvent y recourir que si les renseignements ne peuvent être recueillis par un autre moyen légalement autorisé.
On remarquera que ces différentes techniques requièrent d’importants moyens techniques et matériels. Dans le cadre des consultations du livre blanc sur la sécurité intérieure, l’hypothèse de la création d’un service inspiré du service technique national de captation judiciaire ([68]), afin de répondre aux besoins des services du second cercle en la matière, a pu être évoquée.
b. Une évolution à la marge de la captation de données informatiques
Seule la technique de la captation de données informatiques a fait l’objet d’une modification depuis la loi du 24 juillet 2015.
En effet, l’article 15 de la loi du 30 octobre 2017 précitée a clarifié le champ d’application de l’article L. 853-2 du code de la sécurité intérieure afin d’anticiper les évolutions opérationnelles de la technique de captation de données informatiques émises ou reçues par tout type de périphérique, et pas seulement par les périphériques audiovisuels. Le rapporteur de la loi, notre collègue Raphaël Gauvain, a indiqué que « cette disposition avait en pratique pour effet d’intégrer le recueil de certaines transmissions hertziennes, notamment les transmissions par protocoles de communication sans fil tels que le wifi, dans le champ d’application de la technique de captation de données informatiques. » ([69]) Cette disposition a, en particulier, permis de donner une base légale à la captation de données informatiques échangées via des objets connectés.
5. Les mesures de surveillance internationale
La surveillance des communications internationales vise les communications qui sont émises de ou reçues à l’étranger. Elle peut concerner à la fois les données de connexion et les interceptions de correspondances.
Le législateur de 2015 a promu un principe de territorialité en différenciant les mécanismes d’autorisation et de contrôle selon que la technique vise ou non une surveillance nationale. Pour les membres de la mission d’information, cette distinction s’impose pour des raisons en particulier tactiques, nos homologues mettant également en œuvrent cette dichotomie.
a. La censure du dispositif prévu par la loi du 24 juillet 2015 par le Conseil constitutionnel pour incompétence négative du législateur
S’agissant des mesures de surveillance internationale, la loi relative au renseignement prévoyait un chapitre IV autonome du code de la sécurité intérieure, composé d’un article unique L. 854-1.
Dans sa décision n° 2015-713 DC du 23 juillet 2015, le Conseil constitutionnel, sans se prononcer sur le fait de savoir si l’atteinte au droit au respect de la vie privée portée par les mesures de surveillance internationale était manifestement excessive, a procédé à une censure de ces dispositions. Il a en effet estimé qu’en ne « définissant dans la loi ni les conditions d’exploitation, de conservation et de destruction des renseignements collectés en application de l’article L. 854-1, ni celles du contrôle par la commission nationale de contrôle des techniques de renseignement de la légalité des autorisations délivrées en application de ce même article et de leurs conditions de mise en œuvre, le législateur n’a pas déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ».
Comme l’a souligné le président de la commission des Lois du Sénat Philippe Bas dans son rapport sur le projet de loi relatif aux mesures de surveillance des communications électroniques internationales, « dès lors que ces dispositions n’ont pas vocation à permettre l’interception de communications émises ou reçues sur le territoire national, il aurait également été possible d’en conclure, comme l’a souligné le Gouvernement dans ses observations complémentaires, que les exigences liées à l’exercice des libertés fondamentales peuvent ne pas être les mêmes pour un résident français et pour une personne résidant à l’étranger, à l’instar du raisonnement suivi par le juge constitutionnel dans une décision de 2012, par laquelle il a estimé que certaines obligations constitutionnelles ne s’imposaient pas à l’État hors du territoire de la République. » ([70])
Une proposition de loi a été déposée par la présidente de la commission de la Défense d’alors, Mme Patricia Adam. Elle a été adoptée par le Parlement et a été promulguée le 30 novembre 2015 ([71]). Elle reprend l’économie générale des dispositions de l’article L. 854-1 de CSI tel qu’initialement adopté par le Parlement tout en répondant aux motifs de la censure du Conseil constitutionnel.
Les mesures de surveillance des communications électroniques internationales restent régies exclusivement par les articles L. 854–1 et L. 854–2, étoffés par rapport à la version initiale. Ils détaillent l’objet des mesures de surveillance internationale, ainsi que la procédure et le contenu des autorisations de mise en œuvre de ces mesures délivrées par le Premier ministre. Surtout, ils précisent le contenu du contrôle opéré a posteriori par la CNCTR sur ces mesures, lequel contrôle est rendu identique à celui exercé sur la mise en œuvre des techniques de renseignement sur le territoire national.
Les mesures de surveillance des communications internationales supposent deux types d’autorisations successives, l’une d’interception ([72]), l’autre d’exploitation. Cette dernière autorisation diffère selon qu’elle permet une exploitation :
– non individualisée, auquel cas elle est limitée à des données de connexion ([73]) ;
– individualisée, auquel cas elle peut porter sur des correspondances et des données de connexion. En revanche, elle doit dans ce cas désigner la finalité poursuivie, les motifs des mesures, les zones géographiques, les organisations, les groupes de personnes ou personnes concernés, le service spécialisé en charge de l’exploitation ([74]).
Ce nouveau régime juridique de la surveillance des communications internationales a été déclaré conforme à la Constitution par le Conseil constitutionnel dans sa décision n° 2015-722 DC du 26 novembre 2015. Le Conseil constitutionnel a notamment relevé́ « que le législateur a précisément défini les conditions de mise en œuvre de mesures de surveillance des communications électroniques internationales, celles d’exploitation, de conservation et de destruction des renseignements collectes ainsi que celles du contrôle exercé par la commission nationale de contrôle des techniques de renseignement ».
À cet égard, il a souligné « que le législateur a prévu que la commission nationale de contrôle des techniques de renseignement reçoit communication de toutes les décisions et autorisations du Premier ministre mentionnées à l’article L. 854-2 et qu’elle dispose d’un accès permanent, complet et direct aux dispositifs de traçabilité́, aux renseignements collectés, transcriptions et extractions réalisées ainsi qu’aux relevés mentionnés au quatrième alinéa de l’article L. 854-6 retraçant les opérations de destruction, de transcription et d’extraction ; que la commission peut solliciter du Premier ministre tous les éléments nécessaires à l’accomplissement de sa mission ; que sont applicables aux contrôles pratiques par la commission sur les mesures de surveillance internationale les dispositions de l’article L. 833-3 qui réprime de peines délictuelles les actes d’entrave à l’action de la commission » (cons. 14).
Le Conseil en a déduit que l’ensemble des dispositions examinées « ne portent pas d’atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances » (cons. 15). S’agissant enfin du contrôle juridictionnel, il a jugé « que la personne faisant l’objet d’une mesure de surveillance internationale ne peut saisir un juge pour contester la régularité́ de cette mesure ; qu’en prévoyant que la commission peut former un recours à l’encontre d’une mesure de surveillance internationale, le législateur a assuré une conciliation qui n’est pas manifestement disproportionnée entre le droit à un recours juridictionnel effectif et le secret de la défense nationale », admettant ainsi que le recours susceptible d’être formé à l’encontre de mesures de surveillance internationale, qui présente un caractère intermédié, ne porte pas atteinte aux principes constitutionnels.
c. Des compléments substantiels apportés en 2018
Ces articles ont été substantiellement complétés par la loi du 13 juillet 2018 de programmation militaire ([75]), du fait de l’adoption au Sénat d’un amendement du Gouvernement visant à tirer les conséquences de l’intensification des menaces pesant sur les intérêts fondamentaux de la Nation.
Dans le dispositif imaginé en 2015, les interactions entre les deux régimes de surveillance nationale et de surveillance internationale étaient résiduelles : l’exploitation des communications vers ou depuis l’étranger liées à un numéro ou un identifiant français n’était possible que si son utilisateur était à l’étranger et présentait une menace avérée pour les intérêts fondamentaux de la Nation.
Il n’était donc pas possible d’exploiter les données légalement recueillies au titre de la surveillance des communications internationales pour apprécier la menace que présente un résident français en France du fait de ses liens hors du territoire national. L’expérience des années 2015-2018 a conduit à évaluer différemment le caractère transnational de la menace, qu’il s’agisse de terrorisme, de criminalité organisée ou de cyberattaques. La ministre des armées, Mme Florence Parly, a montré les difficultés opérationnelles posées par le cadre de la loi de 2015 : « Il est donc difficilement compréhensible que l’on se coupe ainsi de données légalement recueillies. Par exemple, un résident français qui planifierait un attentat depuis le Yémen peut être surveillé. En revanche, ses complices, qui font des allers-retours entre la France et la Belgique, ne peuvent pas l’être. »
● Les vérifications ponctuelles
Les services de renseignement peuvent désormais procéder à des vérifications ponctuelles sur les données de connexion légalement interceptées dans le cadre de la surveillance des communications internationales aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, des organisations ou des personnes faisant l’objet d’une surveillance internationale ([76]).
Ces vérifications ponctuelles prennent la forme d’opérations très rapides (quelques minutes), non répétées, et susceptibles de mettre en évidence un graphe relationnel ou la présence à l’étranger d’une personne. En permettant de confirmer ou, au contraire, d’infirmer l’existence d’une menace pour les intérêts fondamentaux de la Nation, elles offrent un élément d’appréciation supplémentaire pour décider de la mise en œuvre, à bon escient, des techniques de renseignement.
Ainsi que l’ont confirmé le Conseil d’État dans l’avis rendu le 4 mai 2018 et la CNCTR dans sa délibération du 9 mai suivant, des levées de doute ainsi délimitées ne caractérisent pas une surveillance individuelle, notion mentionnée au troisième alinéa de l’article L. 854-1 du code de la sécurité intérieure pour délimiter étroitement les liens entre surveillances nationale et internationale.
Une vérification ainsi délimitée n’apparaissant toutefois pas nécessairement suffisante au regard des enjeux posés par certaines menaces aux intérêts fondamentaux de la Nation, deux exceptions sont prévues qui permettent d’effectuer des vérifications ponctuelles sur des correspondances :
– pour prévenir des menaces terroristes urgentes, les services doivent pouvoir orienter plus précisément leurs investigations. Dans ce cadre, les vérifications ponctuelles ont une obligation de traçabilité renforcée (transmission immédiate des numéros et identifiants concernés au Premier ministre et à la CNCTR) ;
– pour détecter les cyberattaques qui sont susceptibles de mettre en cause l’indépendance nationale ou les intérêts de la défense nationale. La démarche est, dans ce cadre, très différente dès lors qu’il ne s’agit pas de mettre en évidence la menace ou la vulnérabilité que présente un individu du fait de son comportement ou de ses relations, mais des marqueurs techniques de flux malveillants circulant entre des machines victimes ou relais de l’attaque informatique.
Quel que soit le type de vérifications, et dès lors que celles-ci font apparaître la nécessité d’une surveillance, l’exploitation des communications ne peut être poursuivie que via les techniques de renseignement mises en œuvre sur le territoire national ou dans le cadre du régime de la surveillance des communications internationales.
● Une nouvelle mesure de surveillance individuelle
La loi du 13 juillet 2018 a créé une nouvelle mesure de surveillance individuelle, permettant l’exploitation des données de connexion et des correspondances d’un identifiant technique rattachable au territoire national interceptées dans le cadre de la surveillance des communications internationales alors même que son utilisateur est en France ([77]).
Cette mesure est strictement encadrée :
– elle ne peut être demandée que pour la promotion et la défense de certains des intérêts fondamentaux de la Nation ([78]) ;
– elle requiert une autorisation du Premier ministre, après avis de la CNCTR ;
– lorsqu’elles portent sur des correspondances, les autorisations d’exploitation en vigueur simultanément ne pourront être accordées que dans la limite d’un contingent défini par le Premier ministre, après avis de la CNCTR.
● Une mise en cohérence de l’exploitation de certaines données
La même démarche de réévaluation de la frontière entre les régimes de surveillance applicables sur le territoire national et à l’étranger a par ailleurs conduit le législateur à mettre fin à une situation peu cohérente, afin que certaines techniques de renseignement autorisées sur le territoire national puissent permettre l’exploitation des données strictement correspondantes interceptées dans le cadre de la surveillance des communications internationales, lorsque l’autorisation de mise en œuvre de ces techniques le prévoit (article L. 854–1).
● L’extension du contrôle a priori de la CNCTR
La loi du 13 juillet 2018 a inscrit dans la loi l’obligation pour le Premier ministre de recueillir un avis a priori de la CNCTR avant d’accorder toute autorisation d’exploitation ou de seules données de connexion interceptées, sur le fondement des III et V de l’article L. 854–2.
Pratiquée depuis mai 2016, d’abord à titre expérimental puis pérenne, en application d’un accord entre le Premier ministre et la CNCTR, cette consultation préalable, a, selon la CNCTR « prouvé son utilité pour garantir la légalité, en particulier le caractère proportionné, des atteintes portées à la vie privée par les mesures de surveillance des communications électroniques internationales » ([79]).
d. Usage des mesures de surveillance des communications internationales
● Une forte augmentation des demandes tendant à l’exploitation de communications internationales
En 2019, la commission a rendu 2 133 avis sur des demandes tendant à l’exploitation de communications internationales interceptées, contre 971 en 2018.
La CNCTR, dans son dernier rapport d’activité explique cette forte hausse par deux motifs. Le premier correspond à une modification de la pratique des services demandeurs, préconisée par la CNCTR, consistant à solliciter des autorisations d’exploitation plus circonscrites et plus précises. Elle conduit, corrélativement, à une augmentation du nombre de demandes d’autorisation soumises à l’examen de la commission, sans que cela corresponde à une extension du champ de la surveillance.
Le second et principal motif d’augmentation du nombre des demandes est lié à l’entrée en vigueur des dispositions du V de l’article L. 854-2 du code de la sécurité intérieure qui permet désormais aux services habilités à cet effet de solliciter, pour les seules finalités et dans les conditions prévues par ce texte, des autorisations d’exploitation concernant des identifiants techniques rattachables au territoire national, d’où communique l’utilisateur.
● L’augmentation du contingent de la mesure de surveillance internationale du V de l’article L. 854–2
Saisie par le Premier ministre le 15 janvier 2019 d’un projet fixant le nombre maximal d’autorisations simultanément en vigueur accordées sur le fondement du V de l’article L. 854-2 du code de la sécurité intérieure, la CNCTR s’est prononcée par une délibération classifiée adoptée en formation plénière le 7 février 2019. Elle a considéré que le contingent initialement proposé n’était pas suffisamment proportionné au regard des intérêts fondamentaux de la Nation susceptibles d’être invoqués pour recourir à cette mesure de surveillance individuelle et de l’atteinte que celle-ci porte au droit au respect de la vie privée. Elle a proposé de le limiter à 1 000 ([80]) .
Par une décision du 19 avril 2019, le Premier ministre a suivi l’avis de la CNCTR. Il a fixé et réparti le contingent de la manière suivante :
contingent de la mesure de surveillance internationale du V de l’article L. 854–2
|
2019 |
Intérieur |
750 |
Défense |
210 |
Douanes |
40 |
Total |
1000 |
Source : CNCTR, rapport d’activité 2019, p. 39
6. Les mesures de surveillance de certaines communications hertziennes
Conséquence de la décision n° 2016-590 QPC du 21 octobre 2016, la loi du 30 octobre 2017 précitée a complété le champ des techniques de recueil de renseignement soumis à autorisation institué par la loi du 24 juillet 2015 par un régime légal – et résiduel – d’interception et d’exploitation des communications hertziennes échangées sur un réseau public.
Sont visées par ce nouveau régime « l’interception et (…) l’exploitation des communications électroniques empruntant exclusivement la voie hertzienne et n’impliquant pas l’intervention d’un opérateur de communications électroniques lorsque cette interception et cette exploitation n’entrent dans le champ d’application d’aucune des techniques de renseignement ». En pratique, est concerné par ce régime le trafic des radioamateurs, des cibis et talkies-walkies analogiques, soumis à aucun chiffrement et ouvert à toute antenne réceptrice réglée sur la bonne fréquence, ainsi que les communications radio longue et très longue distances (de type VLF et HF). En revanche, ne sont pas concernés par cette technique les réseaux gérés par un opérateur de communications électroniques (téléphone portable, réseau wifi, trafic des abonnées par satellite…).
En application de l’article L. 855–1 A du CSI, le régime encadrant le recours à cette technique est allégé par rapport au droit commun des techniques de recueil de renseignements.
Toutefois, certaines garanties sont prévues, qui répondent aux exigences posées par le Conseil constitutionnel :
– les écoutes hertziennes sont réservées à la finalité de défense et de promotion des intérêts fondamentaux de la Nation au sens de l’article L. 811-3 du même code ;
– seuls peuvent y avoir recours les services spécialisés de renseignement – dits du « premier cercle » – et ceux des services non spécialisés – dits du « deuxième cercle » – habilités par décret, pour des finalités précises.
L’article L. 855-1 C dote la CNCTR d’un pouvoir de contrôle global des mesures de surveillance des communications hertziennes au travers d’un droit d’information et de communication, d’un droit d’inspection sur place et d’un droit d’alerte auprès du Premier ministre et de la délégation parlementaire au renseignement. L’objectif de ce pouvoir de contrôle est notamment de mettre la CNCTR en mesure de vérifier le respect du champ d’application, d’une part, des interceptions des correspondances échangées au sein d’un réseau privé de communications électroniques hertziennes et, d’autre part, des communications hertziennes échangées sur un réseau public.
C. Les différentes procédures d’autorisation
La loi du 24 juillet 2015 a fixé le cadre légal régissant les procédures d’autorisation permettant la mise en œuvre d’une technique de renseignement, en prévoyant une procédure de droit commun et une procédure d’exception, dite de « l’urgence absolue ».
1. La procédure de droit commun
Les articles L. 821-1 et suivants détaillent la procédure d’autorisation de droit commun, qui n’a pas évolué depuis la loi du 24 juillet 2015, à l’exception d’ajustements rédactionnels.
La mise en œuvre sur le territoire national des techniques de recueil de renseignement est soumise à autorisation préalable du Premier ministre, délivrée après avis de la CNCTR.
Cette autorisation est délivrée sur demande écrite et motivée du ministre concerné ([81]). La demande doit préciser un certain nombre d’éléments ([82]).
L’exercice du contrôle a priori de la CNCTR est enserré dans des délais de procédure contraignants : la commission dispose d’un délai de vingt-quatre heures pour statuer, si l’avis est rendu par un seul de ses membres. Le délai est porté à soixante-douze heures, si la commission se prononce en formation collégiale. Comme l’a souligné le président de la CNCTR aux membres de la mission d’information, ces contraintes légales ont conduit la commission à organiser un dispositif de permanence lui permettant de statuer à tout moment et dans des conditions adaptées à l’urgence de certaines demandes, urgence qui peut imposer de les traiter dans des délais inférieurs au délai légal.
Les avis sont communiqués sans délai au Premier ministre. En l’absence d’avis rendu dans les délais, celui-ci est réputé donné. Ce cas ne s’est cependant jamais produit, la commission ayant toujours rendu un avis exprès.
Lorsque l’autorisation est donnée après un avis défavorable de la CNCTR, elle indique les motifs pour lesquels cet avis n’a pas été suivi. Cette situation ne s’est encore jamais présentée d’après les informations transmises aux membres de la mission d’information.
Certaines professions ou mandats – parlementaire, magistrat, avocat, journaliste – font l’objet d’une procédure particulière. Ils ne peuvent pas faire l’objet d’une demande de mise en œuvre de technique de renseignement à raison de l’exercice de leurs fonctions. Si une demande de technique de renseignement les concerne, elle est alors examinée par la CNCTR en formation plénière. Ils ne peuvent faire l’objet d’une technique de renseignement en application de la procédure d’urgence absolue (cf. infra).
2. Une utilisation exceptionnelle de la procédure de l’urgence absolue
L’article L. 821-5 permet la mise en œuvre d’une procédure dérogatoire, en cas d’urgence absolue et pour certaines finalités limitativement énumérées ([83]).
Dans cette situation, le Premier ministre peut délivrer de manière exceptionnelle l’autorisation de mise en œuvre d’une technique de renseignement, sans avis préalable de la CNCTR. Il doit en informer cette dernière sans délai et par tout moyen.
Le Premier ministre doit lui faire parvenir, dans un délai maximal de 24 heures à compter de la délivrance de l’autorisation, tous les éléments de motivation et ceux justifiant le caractère d’urgence absolue.
Le Conseil constitutionnel, dans sa décision n° 2015-713 DC du 23 juillet 2015, a jugé cette procédure conforme à la Constitution, notamment car elle n’est pas applicable lorsque la mise en œuvre des techniques de renseignement implique l’introduction dans un lieu privé à usage d’habitation et « n’est donc pas susceptible d’affecter l’inviolabilité du domicile » ([84]).
Comme l’a souligné le président Delon, « cette exception, très encadrée, est circonscrite à des cas exceptionnels d’extrême urgence et à la prévention d’atteintes particulièrement graves à l’ordre public et n’a eu, en plus de trois ans, à s’appliquer qu’une seule et unique fois, en décembre 2015, alors qu’un risque imminent d’attentat terroriste était suspecté. On peut donc aujourd’hui affirmer que le contrôle préalable de la CNCTR est réellement la règle. » ([85])
3. La censure de la procédure dite de « l’urgence opérationnelle »
Une deuxième procédure dérogatoire était initialement prévue par la loi du 24 juillet 2015, celle dite de « l’urgence opérationnelle », à l’article L. 821-6.
En cas d’urgence liée à une menace imminente ou à un risque très élevé de ne pouvoir effectuer l’opération ultérieurement, des balises et des IMSI-catchers pouvaient, de manière exceptionnelle, être installés, utilisés et exploités sans autorisation préalable par des agents individuellement désignés et habilités. Le Premier ministre, le ministre concerné et la CNCTR en étaient informés sans délai et par tout moyen. Le Premier ministre pouvait ordonner à tout moment que la mise en œuvre de la technique concernée soit interrompue et que les renseignements collectés soient détruits sans délai.
Cette procédure s’inspirait de la procédure judiciaire, puisqu’un officier de police judiciaire peut, d’initiative, poser des balises de géolocalisation, en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens, et solliciter immédiatement auprès du magistrat la validation de cet acte technique (article 230-35 du code de procédure pénale).
Elle a été déclarée contraire à la Constitution par la décision du Conseil constitutionnel n° 2015-713 DC du 23 juillet 2015. Le Conseil a en effet estimé que ces dispositions, qui ne prévoyaient ni autorisation ni même information préalable du Premier ministre et de la CNCTR portaient « une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances » ([86]).
Cette procédure n’est donc jamais entrée en vigueur. Son inexistence, au demeurant, n’a jamais été mentionnée, au cours des travaux de la mission d’information, comme devant susciter une évolution juridique.
D. L’encadrement des durées d’autorisation et de conservation
Aux termes de l’article L. 821-4 du CSI, la durée de droit commun de l’autorisation de mise en œuvre d’une technique de renseignement délivrée par le Premier ministre est de quatre mois ([87]).
Il existe néanmoins un certain nombre de techniques – plus intrusives – pour lesquelles l’autorisation est abaissée à deux mois : IMSI-catcher, sonorisation et fixation d’image, captation de données informatiques. S’agissant de l’algorithme, la première autorisation de mise en œuvre est délivrée pour une durée de deux mois. Les renouvellements sont ensuite autorisés pour quatre mois maximum.
Pour les techniques les plus attentatoires à la vie privée, les délais d’autorisation sont encore plus courts :
– 30 jours pour le recueil de données informatiques et l’introduction dans un lieu privé ;
– 48 heures s’agissant de l’utilisation de l’IMSI-catcher pour intercepter des correspondances.
S’agissant des mesures de surveillance des communications internationales, l’exploitation non individualisée de données de connexion est autorisée pour une durée maximale d’un an.
2. Les durées de conservation des données
Aux termes de l’article L. 822-2 du CSI, les durées de conservation des données à compter de leur recueil sont les suivantes ([88]) :
– 30 jours pour les interceptions de sécurité et pour les paroles captées ;
– 120 jours pour les fixations d’image, le recueil des données informatiques et la captation de données informatiques ;
– 4 ans pour les données de connexion.
Certaines dérogations à ces durées sont prévues :
– la durée maximale est de six ans à compter du recueil pour les renseignements chiffrés ;
– les renseignements collectés qui contiennent des éléments de cyberattaque ou qui sont chiffrés ne font pas l’objet d’une limitation de durée. Néanmoins, de strictes garanties sont prévues, ces renseignements sont conservés dans une mesure strictement nécessaire aux besoins de l’analyse technique et à l’exclusion de toute utilisation pour la surveillance des personnes concernées ([89]) ;
– les renseignements qui concernent une requête dont le Conseil d’État a été saisi ne peuvent pas être détruits mais ils sont conservés pour les seuls besoins de la procédure ;
– les données désanonymisées de l’algorithme sont exploitées dans un délai de 60 jours et sont détruites, passé ce délai, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste attachée à l’une ou plusieurs des personnes concernées ;
– les données recueillies par le biais des IMSI-catchers sont conservées dans les conditions de droit commun si elles se rapportent à l’autorisation de mise en œuvre. Elles ne sont conservées que 90 jours si elles ne s’y rapportent pas ;
– les renseignements collectés sur l’hertzien ouvert sont détruits à l’issue d’une durée de 6 ans à compter de leur recueil, 8 ans s’ils sont chiffrés.
Les renseignements collectés en application de la surveillance des communications internationales sont détruits à l’issue d’une durée de :
– 6 mois à compter de leur recueil pour les correspondances renvoyant à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national ;
– 12 mois à compter de leur première exploitation pour les correspondances, dans la limite de quatre ans à compter de leur recueil ;
– 6 ans à compter de leur recueil pour les données de connexion ;
– 8 ans à compter de leur recueil pour les renseignements chiffrés.
Lors des auditions menées par les membres de la mission d’information, la critique la plus récurrente portée au cadre juridique actuel a été celle de la différence de traitement en matière de durée de conservation entre les images et le son. Les images peuvent être conservées 120 jours alors que les paroles ne peuvent l’être que 30 jours. Cela aboutit à des situations inopportunes où une même vidéo ne peut plus être exploitée après 30 jours que sans le son.
La durée de 30 jours est calquée sur celle des interceptions de sécurité, mais il paraîtrait logique d’harmoniser, à la hausse, cette durée s’agissant de la sonorisation avec celle de la fixation d’image.
Au demeurant, la CNCTR, dans son rapport annuel de 2018, avait également pointé cette incohérence et plaidé pour une harmonisation, sans toutefois exprimer de préférence pour la durée à retenir ([90]).
II. L’appropriation du cadre juridique par les acteurs du renseignement
Si la loi du 24 juillet 2015 n’a pas eu d’impact direct sur la structuration de la communauté du renseignement (A), elle a néanmoins consacré la distinction entre les services spécialisés du renseignement du premier cercle et ceux du second cercle. Surtout, elle a nécessité une véritable acculturation des services au nouveau cadre légal (B) et à la doctrine de la CNCTR (C).
L’expérience a montré que cette assimilation est désormais très largement acquise et que les services sont attachés à l’architecture de la loi du 24 juillet 2015 modifiée, qui a amplement contribué à sécuriser leur action et à renforcer la protection à laquelle ils ont droit.
A. La structuration de la communauté du renseignement
1. Une approche par l’autorisation de recourir aux techniques de renseignement qui s’est imposée
La loi du 24 juillet 2015 n’a pas eu d’impact sur la structuration de la communauté du renseignement, qui relève essentiellement du domaine réglementaire – il n’appartient pas à la loi de définir quels sont les services spécialisés de renseignement. C’est la raison pour laquelle l’article L. 811-2 du CSI renvoie cette liste à un décret en Conseil d’État. Cette appartenance ou non à la catégorie des « services spécialisés » a toutefois un impact dans la mesure où ce sont ces services qui peuvent avoir accès, pour le seul exercice de leurs missions, aux techniques de renseignement.
a. Les services du premier cercle : six services clairement identifiés
Aux termes du décret du 28 septembre 2015 ([91]) – codifié à l’article R. 811‑1 du CSI – les services spécialisés de renseignement sont :
– la direction générale de la sécurité extérieure (DGSE), qui relève du ministère des armées;
– la direction du renseignement et de la sécurité de la défense (DRSD), qui relève du ministère des armées;
– la direction du renseignement militaire (DRM), qui relève du ministère des armées;
– la direction générale de la sécurité intérieure (DGSI), qui relève du ministère de l’intérieur ;
– le service à compétence nationale dénommé « direction nationale du renseignement et des enquêtes douanières » (DNDRED), qui relève du ministère de l’économie et des finances ;
– le service à compétence nationale dénommé « traitement du renseignement et action contre les circuits financiers clandestins » (TRACFIN), qui relève du ministère de l’économie et des finances.
Textes réglementaires relatifs aux services spécialisés de renseignement
– DGSI : décret n° 2014-445 du 30 avril 2014 relatif aux missions et à l’organisation de la direction générale de la sécurité intérieure ;
– DGSE : articles D. 3126-1 à D. 3126-4 du code de la défense ;
– DRSD : articles D. 3126-5 à D. 3126-9 du code de la défense ;
– DRM : articles D. 3126-10 à D. 3126-14 du code de la défense ;
– DNRED : arrêté du 29 octobre 2007 portant création d’un service à compétence nationale dénommé « direction nationale du renseignement et des enquêtes douanières » ;
– TRACFIN : articles R. 561-33 à R. 561-37 du code monétaire et financier.
À l’exception de la DRM et de TRACFIN, ces services ont vocation à accéder à l’ensemble des techniques de renseignement prévues par le livre VIII du code de la sécurité intérieure ([92]).
b. Les services du second cercle : un ensemble très hétérogène
La loi du 24 juillet 2015 a également prévu que certains autres services, communément appelés services du « second cercle », peuvent recourir aux techniques de renseignement (article L. 811-4 du CSI). Ils sont désignés par décret en Conseil d’État, pris après avis de la CNCTR. Ce décret précise, pour chaque service, les finalités et les techniques qui peuvent donner lieu à autorisation.
L’article R. 811-4 du CSI établit la liste de ces services ([93]), reproduite ci-dessous :
Direction générale |
Direction |
Service |
Finalité |
Direction générale de la police nationale (Ministère de l’Intérieur) |
Direction centrale de la police judiciaire |
Service central des courses et jeux |
Prévention de la criminalité et de la délinquance organisées
|
Office anti–stupéfiants |
|||
Sous-direction de la lutte contre la criminalité organisée |
|||
Sous-direction de la lutte contre la criminalité financière |
|||
Sous-direction anti–terroriste |
Prévention du terrorisme |
||
Sous-direction de la lutte contre la cyber–criminalité |
Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées
|
||
Directions interrégionales et régionales de police judiciaire, services régionaux de police judiciaire et antennes de PJ |
|||
Direction centrale de la police aux frontières |
Unités chargées de la PJ au sein des directions déconcentrées de la police aux frontières et des directions de la police aux frontières d’Orly et de Roissy |
Prévention de la criminalité et de la délinquance organisées
|
|
Brigades mobiles de recherche zonale |
|||
Office central pour la répression de l’immigration irrégulière et de l’emploi des étrangers sans titre |
|||
Unité judiciaire du service national de la police ferroviaire |
|||
|
Direction centrale de la sécurité publique |
Service du renseignement territorial |
Indépendance nationale Prévention du terrorisme Prévention : a) Des atteintes à la forme républicaine des institutions b) Des actions tendant au maintien ou à la reconstitution de groupements dissous c) Des violences collectives de nature à porter gravement atteinte à la paix publique Prévention de la criminalité et de la délinquance organisées |
Sûretés départementales |
Prévention de la criminalité et de la délinquance organisées |
||
Direction générale de la gendarmerie nationale (Ministère de l’Intérieur) |
Direction des opérations et de l’emploi |
Sous-direction de l’anticipation opérationnelle |
Indépendance nationale Prévention du terrorisme Prévention : a) Des atteintes à la forme républicaine des institutions b) Des actions tendant au maintien ou à la reconstitution de groupements dissous c) Des violences collectives de nature à porter gravement atteinte à la paix publique |
Sous-direction de la PJ |
Indépendance nationale, Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées |
||
Sections de recherche |
Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées |
||
Préfecture de police (Ministère de l’Intérieur) |
Direction du renseignement |
Sous– direction de la sécurité intérieure |
Indépendance nationale, Prévention du terrorisme Prévention : a) Des atteintes à la forme républicaine des institutions b) Des actions tendant au maintien ou à la reconstitution de groupements dissous c) Des violences collectives de nature à porter gravement atteinte à la paix publique Prévention de la criminalité et de la délinquance organisées |
Sous-direction du renseignement territorial |
|||
Direction régionale de la PJ |
Sous-direction des brigades centrales |
Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées |
|
Sous-direction des affaires économiques et financières |
Prévention de la criminalité et de la délinquance organisées |
||
Sous-direction des services territoriaux |
Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées |
||
Direction de la sécurité de proximité de l’agglomération de Paris |
Sûretés territoriales |
Prévention de la criminalité et de la délinquance organisées |
|
Sous-direction spécialisée dans la lutte contre l’immigration irrégulière |
|||
Ministère de la Défense |
Section de recherche de la gendarmerie maritime |
Indépendance nationale, Prévention du terrorisme Prévention de la criminalité et de la délinquance organisées |
|
Section de recherche de la gendarmerie de l’air |
|||
Section de recherche de la gendarmerie de l’armement |
|||
Ministère de la justice |
Directeur de l’administration pénitentiaire |
Service national du renseignement pénitentiaire |
Prévention du terrorisme Prévention : a) Des atteintes à la forme républicaine des institutions b) Des actions tendant au maintien ou à la reconstitution de groupements dissous c) Des violences collectives de nature à porter gravement atteinte à la paix publique Prévention de la criminalité et de la délinquance organisées + finalités spécifiques |
On relèvera que l’activité de quatre de ces services est exclusivement ou essentiellement consacrée au renseignement : c’est le cas du service central du renseignement territorial (SCRT) (au sein de la direction générale de la police nationale), de la sous-direction de l’anticipation opérationnelle (SDAO) (au sein de la direction générale de la gendarmerie nationale), de la direction du renseignement (DRPP) (au sein de la préfecture de police de Paris) ainsi que du service national du renseignement pénitentiaire (SNRP) (au sein du ministère de la justice). Les autres services n’ont pas cette caractéristique, de sorte que le paysage du « second cercle » apparaît très hétérogène ([94]).
Les finalités pouvant être invoquées par ces services du second cercle sont principalement :
–la prévention de la criminalité et de la délinquance organisées (24 services) ;
– la prévention du terrorisme (15 services) ;
– l’indépendance nationale, l’intégrité du territoire et la défense nationale (8 services).
c. La question du positionnement des quatre services de renseignement du second cercle
La question du positionnement du SCRT, du SNRP, de la DRPP et du SDAO, qui concourent à titre principal à des activités de renseignement, a été évoquée devant les membres de la mission d’information.
M. Olivier Forcade a montré l’ancienneté de ce débat : « Les tenants d’une " communauté restreinte " ont fait valoir que seuls les services spécialisés dans le renseignement fermé devaient être inclus : si la gendarmerie fait du renseignement, celui-ci ne serait pas systématiquement collecté selon un plan de recherche et ne procéderait pas essentiellement des opérations secrètes. Quant à la DRPP, elle consacrait alors bien un quart de ses moyens humains au renseignement, mais assumait des missions de sécurité plus larges qui n’englobent pas nécessairement le renseignement. En 2019, pour ne pas être d’actualité, le débat n’est pas totalement refermé quant à l’évolution éventuelle du périmètre de la communauté française du renseignement opérant une distinction entre les services relevant tantôt du " premier ", tantôt du " second " cercle de la communauté, face à des enjeux de sécurité intérieure. » ([95])
Les membres de la mission n’estiment ni opportun ni nécessaire, à ce stade, de préconiser une évolution du périmètre, qui distinguerait explicitement trois cercles au sein de la communauté du renseignement, ou qui reverrait la ligne de partage entre les premier et second cercles. Même s’il est parfois tentant de dessiner un jardin à la française, cette catégorisation nouvelle n’aurait pas de valeur ajoutée opérationnelle certaine, alors même qu’elle susciterait des interrogations dont l’opportunité n’est pas démontrée. Au demeurant, cette question ne relève pas du domaine de la loi et il est souhaitable que le pouvoir exécutif conserve la responsabilité de la définition organique et fonctionnelle des services, puisqu’il a seul la charge d’en assurer la direction opérationnelle.
2. La création et la montée en puissance du renseignement pénitentiaire
a. L’intégration de l’administration pénitentiaire parmi les services de renseignement du second cercle
Créé en 2003 à l’initiative de M. Dominique Perben, alors garde des Sceaux, le bureau du renseignement pénitentiaire, initialement dénommé « EMS 3 » avait pour mission de surveiller les détenus difficiles puis, à partir de 2005, de sécuriser les établissements et prévenir les évasions ou mutineries. Ses compétences se sont étendues, en 2015, à la surveillance, « en liaison avec les autres services compétents de l’État (…) [de] l’évolution de certaines formes de criminalité et de radicalisation violente » ([96]).
Dès avant les attentats de 2015, dans un avis présenté en octobre 2014 à la commission des Lois ([97]), le président de votre mission d’information avait plaidé pour « faire du renseignement pénitentiaire un acteur à part entière de la communauté du renseignement. » La loi de 2015 n’avait malheureusement pas permis de régler ce problème : si un amendement du président de votre mission d’information tendant à créer un service de renseignement pénitentiaire avait été voté en première lecture par l’Assemblée nationale (avec l’avis favorable du rapporteur Jean-Jacques Urvoas et malgré l’avis défavorable de la garde des sceaux Christiane Taubira ([98]), il n’avait pu prospérer.
Il a fallu attendre la loi du 3 juin 2016 précitée pour renforcer les moyens juridiques à la disposition de l’administration pénitentiaire afin de la doter de capacités de renseignement utiles et efficaces, à des fins administratives et judiciaires : l’article L. 811-4 du code de la sécurité intérieure, sur les services du second cercle, a été amendé pour qu’il puisse concerner des services relevant du ministre de la justice, cette modification ayant pour objet d’autoriser l’administration pénitentiaire à utiliser certaines techniques du renseignement, pour autant que le décret en Conseil d’État le prévoie. C’est le décret n° 2017-36 du 16 janvier 2017, pris sur le rapport du garde des sceaux Jean-Jacques Urvoas, qui a fait naître ce service de renseignement.
Par un arrêté du 29 mai 2019, la garde des sceaux, ministre de la justice a décidé la création d’un service à compétence nationale dénommé « service national du renseignement pénitentiaire » en remplacement du bureau central du renseignement pénitentiaire ([99]) .
b. La création de finalités spécifiques
Deux lois – la loi du 28 février 2017 ([100]) et la loi du 23 mars 2019 ([101]) – sont venues renforcer le corpus législatif applicable au renseignement pénitentiaire. Elles ont étendu la mise en œuvre de techniques de renseignement à vocation administrative par l’administration pénitentiaire pour deux finalités :
– la prévention des évasions ;
– la sécurité des établissements pénitentiaires ou des établissements de santé destinés à recevoir des détenus.
Par exception par rapport aux autres services de renseignement, spécialisés ou non, les techniques de renseignement qui peuvent être mises en œuvre par le service national du renseignement pénitentiaire pour ces finalités sont énumérées par l’article L. 855-1 du CSI. Il s’agit des accès aux données de connexion en temps différé, de la géolocalisation en temps réel, du balisage, des IMSI-catchers, des interceptions de correspondances (sans usage des IMSI-catchers), des écoutes hertziennes, de la sonorisation de lieux et de la fixation d’image, de l’introduction dans un lieu privé.
Les écoutes hertziennes, la captation de paroles prononcées à titre privé, la captation d’images dans un lieu privé et l’introduction dans un lieu privé sont soumises à un contingentement. Chacun de ces trois contingents a été fixé à 20 par une décision du Premier ministre en date du 17 juillet 2019 ([102]) .
La coexistence de deux régimes juridiques distincts pour la prévention des évasions et le maintien de la sécurité et du bon ordre des établissements pénitentiaires
L’article 727-1 du code de procédure pénale prévoit qu’aux fins de prévenir les évasions et d’assurer la sécurité et le bon ordre au sein des établissements pénitentiaires ou des établissements de santé destinés à recevoir des personnes détenues, le ministre de la justice peut autoriser les agents individuellement désignés et habilités de l’administration pénitentiaire à :
1° Intercepter, enregistrer, transcrire ou interrompre les correspondances de personnes détenues émises par la voie des communications électroniques et autorisées en détention, à l’exception de celles avec leur avocat, et conserver les données de connexion y afférentes ;
2° Accéder aux données stockées dans un équipement terminal ou un système informatique qu’utilise une personne détenue et dont l’utilisation est autorisée en détention, les enregistrer, les conserver et les transmettre.
Les personnes détenues ainsi que leurs correspondants sont informés au préalable des dispositions du présent article.
L’autorisation est délivrée pour une durée maximale d’un an, renouvelable.
Comme l’a noté la CNCTR, la coexistence de ces deux cadres juridiques s’explique par la différence de nature entre les mesures de surveillance qu’ils régissent. Les techniques prévues à l’article L. 855-1 du code de la sécurité intérieure constituent des moyens de recueillir des renseignements à l’insu des personnes concernées. Aussi sont-elles entourées de toutes les garanties que ce caractère secret rend nécessaires pour s’assurer du respect de la légalité. Les mesures prévues à l’article 727-1 du code de procédure pénale, en revanche, sont mises en œuvre après information des personnes détenues, soit que celles-ci aient été averties que leurs communications licites pourraient être écoutées, soit qu’elles aient reçu notification que les données stockées dans des matériels informatiques illicites ayant été saisis seraient collectées par l’administration pénitentiaire. ([103])
Depuis la loi du 23 mars 2019, l’utilisation des techniques de renseignement n’est plus limitée aux seules personnes détenues ([104]).
Plusieurs garanties destinées à assurer la proportionnalité de ce dispositif ont été apportées, à l’initiative de la présidente de la commission des Lois, Mme Yaël Braun–Pivet ([105]) :
– la mise en œuvre des techniques de sonorisation ou de captation d’images dans des lieux privés est restreinte aux seules personnes détenues dont il existe des raisons sérieuses de penser que leur comportement constitue une menace d’une particulière gravité pour la sécurité au sein des établissements ;
– aucune technique ne peut être mise en œuvre à l’occasion des communications ou des entretiens entre une personne détenue et son avocat ;
– le nombre de sonorisations ou captations d’images, d’écoutes hertziennes et de dispositifs d’introduction dans des véhicules ou des lieux privés susceptibles d’être mis en œuvre simultanément est contingenté par le Premier ministre ;
– l’usage de ces techniques est soumis au droit commun de la mise en œuvre des techniques de renseignement, en particulier l’exigence d’un avis préalable de la CNCTR.
Le Conseil constitutionnel a jugé conforme à la Constitution les dispositions issues de la loi du 23 mars 2019, estimant que le « législateur a[vait] assorti les dispositions contestées de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée, l'inviolabilité du domicile et le secret des correspondances. » ([106])
B. L'application du cadre légal de 2015 : un défi et une chance pour les services de renseignement
1. Un cadre juridique qui protège l’action des agents des services de renseignement
La loi du 24 juillet 2015 est aujourd’hui vécue comme un réel atout par les services de renseignement, qui ont tous insisté sur le changement de paradigme que son adoption avait entraîné. Elle a considérablement sécurisé l’action des agents des services de renseignement.
En effet, l’absence d’un corpus juridique encadrant l’activité des services de renseignement exposait la France à méconnaître les stipulations de la Convention européenne de sauvegarde des droits et libertés fondamentales (CEDH). Déjà, la loi de 1991 relative aux interceptions de sécurité avait répondu à la condamnation de la France par l’arrêt Kruslin ([107]) pour non-respect de l’article 8 de la CEDH sur le droit au respect de la vie privée et familiale, appliquant à notre pays la jurisprudence que la Cour avait déjà énoncée depuis la fin des années 1970, s’agissant du champ des atteintes portées au respect de la vie privée en matière d’écoutes téléphoniques, à l’occasion des arrêts Klass ([108]) et Malone ([109]).
Ce cadre juridique morcelé, composé de « rustines » empiriquement posées ([110]) pour reprendre l’expression du rapporteur du projet de loi relatif au renseignement, constituait également un risque pour les fonctionnaires de ces services qui, hors les techniques reconnues par la loi, étaient dans une situation qui les exposaient.
Comme le soulignait l’ancien président de la commission des Lois, Jean-Jacques Urvoas « ces services ne doivent pas être considérés comme " spéciaux " ou " secrets ". Certes la presse les qualifie souvent ainsi sans doute parce qu’ils perdent en précision ce qu’ils gagnent en capacité à susciter immédiatement un certain mystère. Mais la direction générale de la sécurité extérieure (DGSE) ou la direction générale de la sécurité intérieure (DGSI) ne sont pas des institutions secrètes : les sites internet de leurs ministères respectifs leur dédient des espaces, leurs directeurs généraux publient parfois des entrevues ou des tribunes. Les services ne sont pas plus spéciaux, sauf peut-être en raison d’un rattachement fonctionnel à l’autorité politique quelque peu original lié à une architecture découlant de la dyarchie de l’exécutif que l’on doit à la Constitution de la Ve République.
Par contre, à rebours de toute logique, ils continuent d’inscrire leurs activités dans un environnement " para-légal ", " extra-légal " voire " a-légal " (selon les points de vue) qui n’apporte pas de garanties suffisantes pour les citoyens comme les agents des services spécialisés. Vivant au rythme des crises qu’ils suscitent ou subissent, les services qui lui sont dédiés travaillent au profit de la République, mais dans les limbes du droit et des exigences démocratiques. Et, alors qu’il compte parmi les plus anciennes des nations démocratiques, notre pays est également le dernier à ne pas avoir établi un cadre normatif adapté. » ([111])
La loi du 24 juillet 2015 en encadrant l’usage d’un certain nombre de techniques, a donc sécurisé l’action des agents de service de renseignement.
En outre, la protection des agents a été renforcée par différentes dispositions de la loi du 24 juillet 2015 :
– anonymat des agents (article L. 861-1 du CSI) ;
– excuse pénale s’agissant de l’usage d’une identité d’emprunt ou d’une fausse qualité (article L. 861-2), des relations avec des personnes susceptibles de porter atteinte aux intérêts fondamentaux de la Nation, de l’extraction de contenus provoquant directement à la commission d’actes de terrorisme ou en faisant l’apologie (article L. 863-1) ;
– statut de lanceur d’alerte pour un agent qui a connaissance, dans l’exercice de ses fonctions, de faits susceptibles de constituer une violation manifeste de la loi (article L. 861-3) ;
– procédure particulière s’agissant des actes commis hors du territoire national (article L. 862-1). À l’initiative de M. Philippe Nauche, rapporteur pour avis de la commission de la défense de l’Assemblée nationale, les dispositions de l’article 698-1 du code de procédure pénale, qui impose au procureur de la République de solliciter préalablement un avis du ministre de la défense avant de poursuivre pénalement un militaire, ont été étendues aux personnels civils des services de renseignement ;
– protection juridique des agents qui bénéficient de l’irresponsabilité pénale s’agissant des actes prescrits ou autorisés par des dispositions législatives ou réglementaires (article L. 862-2).
Les différentes auditions menées par les membres de la mission d’information ont permis de faire ressortir que les directeurs de services se félicitaient, de manière générale, des améliorations qu’avait entraînées pour leurs agents l’adoption de la loi du 24 juillet 2015.
Un regret a été évoqué lors d’une audition : l’article L. 861-2 subordonne, s’agissant des services du second cercle, le recours à une identité d’emprunt à la publication d’un arrêté du Premier ministre qui n’a jamais été pris. Or, l’anonymisation des déplacements en province des agents devant effectuer des techniques de renseignement, notamment en ce qui concerne les réservations d’hôtels, est largement perfectible.
2. Un changement majeur pour les services de renseignement qui doivent consacrer des moyens humains et techniques à son respect
Tous les services de renseignement qui ont été auditionnés par les membres de la mission d’information ont eu l’occasion de rappeler le changement culturel qu’avait représenté la loi du 24 juillet 2015.
Ce passage de l’ombre à la lumière, même tamisée, a nécessité une réorganisation en profondeur des services pour s’assurer du respect du nouveau cadre légal. Cette culture juridique nouvelle a aujourd’hui « irrigué » les services. Une mobilisation des ressources humaines a été conduite : des personnels ont été spécialisés sur les sujets procéduraux et, de manière générale, les personnels des services de renseignement ont été formés à ces questions. La DGSE estime ainsi que 10 % du temps des agents est alloué à la constitution des dossiers. En outre, des moyens administratifs ont été mis en œuvre de manière à assurer le bon contrôle par la CNCTR. Dans les grands services, il y a entre six et huit niveaux hiérarchiques entre l’enquêteur et l’autorité qui prend la décision.
Mais comme l’a indiqué M. Nicolas Lerner, directeur général de la sécurité intérieure, « c’est le prix de la sécurisation » des procédures d’autorisation.
Les membres de la mission d’information ont entendu les contraintes objectives engendrées par la mise en œuvre de la loi relative au renseignement, mais ils soulignent que jamais cette contrainte n’a été présentée de manière négative. Tous les services ont souligné l’immense apport de la loi relative au renseignement dans l’exercice quotidien de leurs missions. Comme l’a rappelé le coordonnateur national du renseignement lors de son audition, « il faut garder à l’esprit que le respect du cadre légal et réglementaire est très coûteux en temps et en ressources humaines mais que si c’est le prix à payer pour rassurer les concitoyens, les services le supportent volontiers car cela leur offre une grande sécurité dans la mise en œuvre des techniques de renseignement. »
C. La mise en œuvre d’un dialogue de qualité avec la CNCTR
1. La mise en œuvre d’un dialogue avec l’autorité administrative de contrôle
La procédure d’autorisation de mise en œuvre de techniques de renseignement est précisément décrite aux articles L. 821-1 et suivants du code de la sécurité intérieure (voir supra). Si cette procédure fonctionne de manière aussi fluide, de l’avis unanime des acteurs auditionnés par les membres de la mission d’information, c’est grâce à la mise en œuvre d’un dialogue riche, exigeant et de qualité entre les services de renseignement et l’autorité de contrôle.
La CNCTR se voit comme un tiers de confiance entre les services de renseignement, leur tutelle et le public.
Le président de la CNCTR, M. Francis Delon, a explicité les différentes manières par lesquelles la commission s’efforce d’être prévisible et d’aider les services et leur autorité de tutelle à déterminer ce qu’ils sont autorisés à faire :
– les demandes complémentaires : « si la motivation [d’une demande] parait insuffisante, [la CNCTR] peut demander des renseignements complémentaires par tous moyens, y compris par l’audition de représentants du service dans des cas complexes » ;
– la motivation des avis : « la commission ne se borne pas à donner un avis favorable ou défavorable. Elle assortit souvent ses avis favorables d’observations et de restrictions qui peuvent tenir à la durée de mise en œuvre de la technique, plus courte que celle demandée par le service, voire aux conditions de cette mise en œuvre s’il s’agit d’une technique très intrusive. Elle pourra s’assurer, dans le cadre de l’exercice de son contrôle a posteriori, que ces conditions ont effectivement été respectées par le service. Elle motive ses avis défavorables pour permettre au service demandeur d’être informé du raisonnement suivi par la commission et d’en tenir compte pour ses demandes futures » ;
– l’élaboration d’une doctrine : « à travers ses avis, la commission forge sa doctrine et veille à la porter à la connaissance des services de renseignement, de leurs ministres de tutelle et du Premier ministre. » ([112])
La CNCTR dispose de 24 heures pour se prononcer ou de 72 heures lorsqu’elle doit se prononcer en formation collégiale. Ces délais légaux sont respectés et, au-delà même des délais prévus par la loi, les services de renseignement ont des besoins opérationnels dont la CNCTR sait tenir compte en pratique. Cela la conduit à prendre des décisions dans des délais bien inférieurs à 24 heures. Le format du dialogue s’adapte aux circonstances, de sorte à pouvoir traiter les demandes en quelques heures si c’est nécessaire.
En 2019, la CNCTR a adressé 1 732 demandes de renseignements complémentaires aux services, soit pour environ 2 % des demandes de techniques de renseignement soumises pour avis ([113]).
Depuis 2017, chaque service de renseignement est plus particulièrement suivi par deux ou trois référents attitrés parmi les agents du secrétariat général de la CNCTR. Le rôle de ces référents est de faciliter le dialogue quotidien avec les services afin de prévenir les irrégularités ([114]) .
2. Un dialogue qui porte ses fruits : la diminution du taux de refus de demandes de techniques de renseignement
L’un des critères qui permet de mesurer la qualité du dialogue établi entre les services de renseignement et la CNCTR est la nette diminution au fil des ans du taux de refus opposé aux demandes de mise en œuvre d’une technique de recueil de renseignement. Il était de 6,9 % la première année, ce qui était important au regard de la pratique de la CNCIS qui émettait moins d’1 % d’avis défavorables. Ce taux est retombé à 3,6 % en 2017, à 2,1 % en 2018 et il est 1,4 % 2019.
De l’avis de la CNCTR, ce recul est imputable au fait que les services de renseignement se conforment mieux à la doctrine de la CNCTR, en présentant des demandes mieux proportionnées aux finalités justifiant le recours aux techniques de renseignement, et « renoncent à présenter des demandes vouées à la désapprobation de [la CNCTR] » ([115]). Dans le même temps, le nombre de demandes augmente régulièrement. Cela signifie que les services se sont bien adaptés au cadre légal sans pour autant s’autocensurer.
La CNCTR a en outre rendu, en 2019, 78 avis défavorables sur les demandes d’accès aux données de connexion en temps différé, soit environ 0,2 % du nombre d’avis rendus sur des demandes concernant cette technique. Ce taux était de 0,1 % en 2018.
De manière générale, le président de la CNCTR, lors de son audition par les membres de la mission d’information, a indiqué ne pas avoir décelé de volonté des services de renseignement de contourner la loi, simplement des erreurs et des incompréhensions.
Depuis l’entrée en vigueur de la loi du 24 juillet 2015, le Premier ministre n’a jamais accordé une autorisation après un avis défavorable de la CNCTR ([116]).
III. Des contrôles nombreux et exigeants
La loi du 24 juillet 2015, en légitimant la politique publique du renseignement, s’est traduite par un renforcement de ses moyens techniques et juridiques, renforcement qui s’est accompagné d’une forte logique de contrôle ([117]), tant interne (A) qu’externe (B).
En effet, comme l’indiquait récemment le secrétaire d’État auprès du ministère de l’intérieur et ancien directeur de la DGSI, M. Laurent Nuñez, « la discrétion comme la clandestinité n’excluent pas la traçabilité et la légalité. C’est même tout le contraire. (…) Pour respecter une déontologie, un droit, on a besoin du regard d’autrui. Cela revient à considérer que celles et ceux qui exercent leur métier dans la discrétion voire le secret ont besoin d’un cadre juridique et parfois de regards extérieurs. » ([118])
Progressivement, plusieurs niveaux de contrôle, internes et externes, se sont mis en place de manière à vérifier le respect du cadre légal, avec chacun leur légitimité et leur angle d’approche. Les formes du contrôle peuvent porter sur l’efficacité des organismes, y compris dans l’affectation des ressources, ou encore sur la conformité des activités de renseignement avec la loi, voire sur leur régularité déontologique.
Schéma des responsabilités dans le domaine du renseignement