« Après hésitation, réflexion, lectures et échanges, j’ai décidé de soutenir la loi sur le renseignement. Vous trouverez ci-joint un certain nombre de réponses et commentaires aux questions soulevées par ce texte.

Chacun en convient, il était urgent de légiférer afin d’encadrer les activités de renseignements dans notre pays, de fixer des règles claires, alors qu’elles se déroulaient dans une grande opacité et parfois en marge de la loi donnant tout son sens à la qualification de « boîte noire ». Il fallait également prendre en compte la caducité d’une législation ancienne et inadaptée à l’évolution des risques et des technologies utilisées parfois à mauvais escient mais que la force publique a la responsabilité de faire siennes sous certaines conditions.

Les questions de l’efficacité  des dispositifs prévus et de leur impact sur les libertés sont tout à fait pertinentes. Les parlementaires se sont employés à les intégrer dans le texte en renforçant les moyens de contrôle. Et le débat reste ouvert au-delà du vote de notre Assemblée, notamment au Sénat. Il le restera d’ailleurs après son adoption définitive, ne serait-ce que pour en évaluer l’impact réel. La saisie par le Conseil constitutionnel par le Président de la République peut être de nature à revoir le cas échéant des articles jugés attentatoires aux libertés ou à rassurer sur d’autres.

Je ne néglige pas non plus le fait qu’un certain nombre de personnes ou d’organisations ont tout intérêt à ne pas voir se développer des systèmes d’informations susceptibles de menacer des activités déloyales, frauduleuses, crapuleuses voire criminelles,  notamment dans les champs économique et politique.

Bref, Les risques de manipulation sur ces sujets sont réels et présents de toute part.

Sachez que je suis tout autant que vous attaché à la préservation des libertés, des libertés de tous nos concitoyens, y compris de celles et ceux qui, faute de sécurité, les voient aujourd’hui réduites.

C’est dans cet esprit que les écologistes, vous le savez,  sont engagés dans divers combats pour faire valoir la transparence, seule à même de mettre à bas des pratiques condamnables, notamment dans le domaine financier.

Il est décidément difficile de tout concilier et nécessaire de rester prudent et vigilant. Je m’y engage avec votre aide. »

 

Eric Alauzet

Député du Doubs

 

 

 

Projet de loi renseignement

L’examen – en première lecture et en procédure accélérée – du projet de loi relatif au renseignement s’est achevé jeudi 13 avril après trois jours de vifs débats. Certains points du texte ont suscité la mobilisation d’associations de défense des libertés numériques, de syndicats de magistrats, ou encore de magistrats anti-terroristes, au motif qu’ils sont attentatoires aux libertés. Afin de préparer les échéances politiques et parlementaires relatives à ce texte, et de dissiper certaines approximations techniques, nous retiendrons les principaux éléments suivants.

 

1. Sur l’esprit du texte.

Le projet de loi relatif au renseignement vise à renforcer l’arsenal des services de renseignement tout en améliorant le contrôle de leurs activités.

Il amorce un tournant juridique dans la mesure où il fixe un cadre légal aux activités de renseignement. Si les techniques prévues par le texte sont utilisées depuis longtemps par les services de façon « clandestine », elles seront désormais légalisées mais contrôlées.

Ce texte permet également d’adapter notre Droit aux évolutions numériques. Jusqu’à présent, l’encadrement des interceptions était régi par une loi de 1991, date à laquelle internet n’existait pas.

En outre, ce texte acte une clarification administrative et politique, dans la mesure où il réaffirme que le renseignement est une politique publique qui « relève de la compétence exclusive de l’Etat ».

Enfin, si l’inscription de ce projet de loi à l’ordre du jour a été avancée suite aux attaques terroristes du mois de janvier, et si la procédure accélérée limite le temps séparant l’inscription du texte à l’ordre du jour de son examen en séance publique, le rapporteur travaille sur ce sujet depuis 2007 et a pu réaliser près de quarante auditions d’associations, de syndicats de magistrats administratifs et judiciaires, d’autorités constitutionnelles et administratives.

 

2. Sur les finalités du renseignement.

Le texte définit huit finalités légitimant le recours aux techniques d’enquête dont certaines ont fait l’objet d’interprétations polémiques. Par exemple, dans un article du 20 mars dernier, le journaliste du Monde Franck Joannès s’inquiétait que la « prévention des violences collectives de nature à porter atteinte à la paix publique» puisse s’appliquer aux manifestants de Sivens ou de Notre Dame des Landes.

Cette finalité a été précisée pour dissiper toute ambiguïté. Le texte évoque désormais la « prévention des violences collectives de nature à porter atteinte à la sécurité nationale ». La notion de « sécurité nationale » fait référence à l’article L 1111-1 du code de la défense qui dispose que « la stratégie de sécurité nationale a pour objet d’identifier l’ensemble des menaces et des risques susceptibles d’affecter la vie de la Nation, notamment en ce qui concerne la protection de la population, l’intégrité du territoire et la permanence des institutions de la République ». Il est clair que les manifestations d’opposants aux grands projets dits « inutiles » ne remplissent pas les critères évoqués dans cet article. Les missions de maintien de l’ordre – fussent-elles brutales – ne sont pas concernées par cette disposition.

Et si d’aventure, certains estimait que la référence à la sécurité nationale ne préserve pas des risques contre la répression vis-à-vis de mouvements ou d’actions publiques, alors on pourra considérer que ce texte ne change rien à une situation qui préexistait en faisant déjà référence à l’atteinte à la sécurité nationale

Quoiqu’il en soit, la technique devra être « proportionnée » à l’objectif invoqué et ne sera donc autorisée que si elle permet d’atteindre l’objectif en l’absence d’autres moyens moins intrusifs.

 

3. Sur le contrôle par la commission nationale de contrôle des techniques de renseignement (CNCTR).

La CNCTR est l’autorité administrative indépendante qui encadrera le recours aux techniques de renseignement (en remplacement de la CNCIS). Elle se compose 13 membres: six parlementaires (3 sénateurs, trois députés), six magistrats (trois du Conseil d’Etat, trois de la Cour de Cassation), et une personnalité qualifiée par sa connaissance en matière de communications électroniques.

3.1 .Moyens de la CNCTR.

Lors de la publication de la version initiale du projet de loi, le président de la CNCIS, Jean-Marc Delarue, avait critiqué la faiblesse de la nouvelle autorité administrative, soulignant notamment :

• Qu’elle manquerait de moyens budgétaires et humains.
• Qu’elle disposerait de plus faibles leviers de contrôle a posteriori, puisqu’elle n’aurait pas un accès direct aux données collectées mais devrait passer par des registres mis à sa disposition – sur demande- par les services.
• Que la multiplication des registres – donc la fin de la centralisation des données – compliquerait le contrôle.

Entre temps, les moyens de contrôle de la CNCTR ont été considérablement renforcés en commission :

• La CNTCR disposera des « moyens humains et techniques nécessaires à ses missions». Selon plusieurs sources convergentes (Delarue, Urvoas), la future commission devrait disposer de 25 salariés, contre 6 actuellement, dont une dizaine d’ingénieurs spécialistes des télécommunications.
• A la demande d’Urvoas, Morin, et Coronado, elle recevra non seulement les « demandes d’autorisations » mais aussi les « décisions d’autorisation », elle aura un « accès permanent aux registres, renseignements, transcriptions, et extractions », elle pourra contrôler « la traçabilité des renseignements mis en place par chaque service de renseignement » et contrôler « tous les locaux dans lesquels s’exerce la centralisation des renseignements ». Elle pourra « solliciter auprès du Premier ministre tous les éléments relatifs à ses missions » et « consulter l’Autorité de régulation des communications électroniques et des postes (ARCEP) ».
• Les données recueillies seront centralisées par le Premier ministre et la CNCTR y aura un accès permanent. Cette centralisation apporte une double garantie, celle de la prééminence du contrôle politique et celle de l’exhaustivité de l’information alors que l’information risquait d’être dispersée entre les différentes administrations sans contrôle politique. Le contrôle à postériori ne sera donc pas supprimé comme cela a pu être dit mais au contraire renforcé ; il se réalisera dans de meilleures conditions et de manière plus rigoureuse par la mise en cause directe du premier ministre à travers sa responsabilité de déterminer les modalités de centralisation des relevés de mise en œuvre des autorisations. Il ne s’agit pas de consacrer la supposée toute puissance du premier ministre mais bien sa responsabilité

L’avis préalable de la CNCTR est désormais obligatoire alors qu’il ne l’était pas antérieurement ce qui rend par définition exceptionnelle la possibilité d’y déroger au motif de l’urgence

3.2 Compétences de la CNCTR.

Un débat a porté sur la capacité technique de la CNCTR à contrôler le recours à certaines méthodes d’enquête telles que les algorithmes. En cause, la sous-représentation d’experts en télécommunications dans la plénière de la commission (un seul membre nommé sur la base de ses compétence). Ce débat est fondé sur une confusion entre la plénière de la CNCTR et son personnel. Si, comme cela est envisagé, sur les 25 membres de la CNCTR, 10 sont ingénieurs en télécommunications, l’encadrement technique des algorithmes ne sera pas un problème.

 

4. Sur l’autorisation du recours aux techniques.

4.1 Modalités d’autorisation du recours aux techniques de renseignement.

Dans la très grande majorité des cas, la mise en œuvre des techniques de recueil de renseignement est soumise à autorisation préalable du Premier ministre après avis de la commission nationale de contrôle des techniques de renseignement (CNCTR). Les demandes d’autorisation, émanant des ministres de la défense, de l’intérieur, de la justice, de l’économie, ou du budget sont motivées par écrit (la motivation fait généralement deux ou trois pages) et précisent la technique mise en œuvre, la finalité poursuivie, les lieux et la durée de validité de l’autorisation. Si le Premier ministre ne suit pas l’avis de la CNCTR, il est tenu d’indiquer pour quels motifs. La CNCTR peut ensuite adresser une recommandation au Premier ministre, et, s’il ne donne pas suite à cette recommandation, saisir le Conseil d’Etat. Pour autant, cette procédure arbitrale doit rester exceptionnelle sachant que le premier ministre n’a aucun intérêt à s’exposer à un désaveu du Conseil d’Etat qui peut être saisi par seulement deux membres de la CNCTR dans le cas de mesures intrusives. Le Premier ministre peut ordonner à tout moment l’interruption de la procédure et la suppression des données collectées.

4.2 « L’urgence ».

Un second point de crispation concerne les « cas d’urgence » dans lesquels le recours aux techniques peut être envisagé sans avais préalable de la CNCTR. Là encore, le contrôle a été renforcé.

D’abord, ce ne sont plus les chefs de services de renseignement qui autorisent le recours aux techniques mais le Premier ministre où l’une des personnes déléguées par lui. Ensuite, l’urgence ne pourra être « qu’exceptionnelle ». Enfin, la CNCTR est informée « sans délais, dès que l’acte a été effectué » et le premier ministre dispose de 24 heures pour motiver sa décision selon la procédure habituelle. Comme indiqué précédemment, le recours désormais systématique à l’accord préalable de l’ CNCTR rend la procédure d’urgence rare par nature. En outre, la CNCTR et le Premier ministre peuvent interrompre à tout moment la procédure et demander la suppression des données recueillies.

 

5. Sur l’extension du ciblage.

Certaines associations ont regretté que les interceptions puissent s’appliquer non seulement aux « personnes ayant un lien personnel et direct » avec une infraction présumée mais également aux « personnes intermédiaires ». En réalité, cela était déjà autorisé par la loi de 1991 même si la CNCIS avait restreint cette possibilité. La loi de de 91 autorisait effectivement les interceptions « ayant pour objet de rechercher des renseignements intéressants », il n’y a donc pas de suppression du critère de l’implication directe et personnelle ». La seule nouveauté concerne le fait que les personnes susceptibles de jouer un rôle d’intermédiaire involontairement peuvent désormais faire l’objet d’un suivi particulier. Au gré de l’examen du projet de loi, plusieurs amendements sont venus encadrer cette possibilité: le texte précise que ces personnes ne peuvent faire l’objet d’un suivi particulier que « lorsqu’il existe des raisons sérieuses de croire » qu’elles sont susceptibles de jouer un rôle d’intermédiaire (amendement écolo), ce qui signifie que l’autorisation ne peut être systématique et doit faire l’objet d’un surcroît de motivation. Depuis la commission, le projet de loi prévoit également la nécessité d’une autorisation expresse pour intercepter les correspondances de ces personnes, ce qu’a salué la CNIL. Il apparaît effectivement dans certaines situations, que l’accès aux informations détenues ou véhiculées par certaines personnes proches de la personne directement soumise à surveillance permette d’agir efficacement pour prévenir un acte terroriste.

Par ailleurs, certaines voix se sont élevées pour dénoncer le caractère trop flou de la notion de « personnes préalablement identifiées comme représentant une menace », qui conditionne le ciblage du recueil des informations « en temps réel sur les réseaux » (boîtes noires) dans le cadre exclusif de la lutte contre le terrorisme. Or en la matière, l’expérience de la CNCIS nous donne accès à une jurisprudence de 25 ans. Sont considérées comme « menaces » les personnes dont les comportements récurrents qualifient une démarchent terroriste. Par exemple, si une personne « fréquente assidument le réseau des Buttes- Chaumont » et « s’est rendue à trois reprises en Syrie au cours des dernières années » elle sera considérée comme une menace. C’est la conjonction des critères qui fait la menace. D’une manière générale, la CNCIS est réputée avoir une interprétation rigoriste des motivations.

 

6. Sur les techniques.

Les associations opposées au texte ont dénoncé une forme de résignation face à l’utilisation de certaines techniques d’enquête considérées comme particulièrement attentatoires aux libertés. Elles regrettent « la fascination » de certains acteurs devant les moyens technologiques employés par les services de renseignement.

Les deux principales techniques qui posent problème sont l’IMSI Catcher et le recueil des données techniques de connexion « en temps réel sur les réseaux » (les fameuses boites noires).

6.1 L’IMSI Catcher.

L’IMSI Catcher est une boite de la taille d’une valise qui simule un relais téléphonique pour que les téléphones mobiles situés dans son rayon d’action se connectent à lui. Il permet d’identifier l’IMSI (International Mobile Subscriber Identity), numéro de la carte SIM, et l’IMEI (International Mobile Equipment Identity), numéro du terminal mobile. Il sert à découvrir le numéro de téléphone qu’une personne porte sur elle, et / ou à localiser une personne dont le numéro de téléphone est connu des services.

En commission puis en séance, l’encadrement de l’utilisation de l’IMSI Catcher a été renforcé :

• il est désormais inscrit dans la loi que les données recueillies grâce à l’IMSI Catcher seront centralisées, et les données non-pertinentes écrasées,
• que le nombre d’IMSI pouvant être utilisé est limité (amendement écolo)
• que l’utilisation des IMSI Catcher fait l’objet d’un suivi en temps réel (au niveau du groupement interministériel de contrôle) auquel a accès la CNCTR.

Enfin, « de manière exceptionnelle », l’IMSI Catcher peut être utilisé pour intercepter des communications. Dans ce cas, son utilisation passe dans le champ des techniques d’interception (et s’expose à l’encadrement prévu pour ces techniques).

6.2 Le recueil des données techniques de connexion « en temps réel sur les réseaux »

Pour le gouvernement, les attaques terroristes de janvier ont révélé les limites d’un système de renseignement fondé sur la collecte de données de connexion a posteriori auprès des opérateurs. Le texte autorise désormais « pour les seuls besoins de la prévention du terrorisme :

• Le recueil d’informations, en temps réel, sur les réseaux des opérateurs, des informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces.
• La mise en œuvre sur les réseaux, pour une durée de quatre mois renouvelable, d’un dispositif destiné à détecter une menace terroriste sur la base de traitement automatisé de la totalité des données de connexion.

Plusieurs opposants au texte se sont inquiétés que ces « données et informations » puissent inclure des contenus, et ont comparé – sur cette base – les algorithmes au Deep Packet Inspection (DPI) américain (qui donne accès aux contenus). Or, à la lecture des récentes évolutions de notre Droit, il apparaît manifeste que cette interprétation est erronée. En effet, le décret d’application de l’article 20 de la loi de programmation militaire, publié le 24 décembre 2014, énumère très précisément les données de connexion qui rentrent dans cette catégorie. Il s’agit : des données permettant d’identifier l’origine de la communication ; les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; les données à caractère technique permettant d’identifier le ou les destinataires de la communication ; les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs, les informations permettant d’identifier l’utilisateur ; les données relatives aux équipements terminaux de communication utilisés ; les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; les données permettant d’identifier le ou les destinataires de la communication. Il est ainsi incontestable qu’aucun contenu n’est concerné par cette disposition. A l’époque, la CNIL avait d’ailleurs salué cette clarification. L’anonymat ne sera levé que si une menace terroriste est identifiée. le projet de loi prévoit que l’usage des dispositifs de proximité puisse être autorisé pour recueillir , à proximité immédiate d’une cible le numéro IMSI (« puce ») et le numéro IMEI (appareil) et que l’interception des correspondances par un tel dispositif ne peut intervenir que pour prévenir un acte terroriste, sur autorisation du premier ministre, pour une durée de 72h. Cette technique peut permettre de surveiller des personnes qui utilisent plusieurs sources personnelles ou dans leur entourage

S’agissant du traitement automatisé des données de connexions : durant toute la procédure, la recherche est anonyme. La levée de l’anonymat n’est possible que dès lorsqu’un utilisateur est considéré comme une menace. Par exemple, lorsqu’un site est bloqué administrativement, ses utilisateurs s’envoient des méthodes pour forcer le blocage. Cette méthode de connexion indique un comportement douteux. De même, dans le cas d’une publication de vidéo de décapitation, l’algorithme permettrait de repérer les premières connexions sur le site émanant de complices qui chercheraient à s’assurer de sa mise en ligne.

Depuis le passage du texte en séance, plusieurs amendements sont venus renforcer l’encadrement de cette technique. Ils prévoient :

• que l’autorisation du recours aux algorithmes se fait « dans le respect du principe de proportionnalité »,
• que le traitement automatisé de données ne donne droit à aucune identification,
• que la CNCTR est informée de toute modification de l’algorithme,
• et surtout que le recours à la procédure d’urgence n’est pas autorisé pour cette technique.

Dès lors il est infondé d’affirmer que ce dispositif pourrait conduire à espionner les téléphones et les réseaux internet par exemple de tous les Arméniens ou iraniens de France, des membres d’une association écologiste ou des Bretons. La surveillance en temps réel ne sera possible qu’après identification d’une personne précise et accord de la CNTR au titre d’une menace terroriste. La surveillance est donc bien individuelle et ciblée.

Par ailleurs, face à l’inquiétude des hébergeurs de perte de confidentialité pour leurs clients, le Gouvernement a fait adopter un amendement à l’article 2 qui les a semble-t-il en grande partie rassurés. Cet amendement 437 a conduit Laurent Allard, directeur général d’OVH à commenter « Nous allons pouvoir garantir à nos clients que leur données ne seront pas copiées massivement, ou utilisées à des fins commerciales ». En effet, l’exposé des motifs de l’amendement indique que les opérateurs pourront « s’assurer par eux-mêmes que les données de contenu seront exclues de la mise en œuvre de ces traitements. Octave Klaba, fondateur d’OVH a explicité les assurances données par le gouvernement, notamment quant aux fameuses « boîtes noires » à installer dans les réseaux pour capter les données. « On ne parle plus de boîtes noires, installées en permanence sur l’ensemble du trafic. Dans la limite de la capacité technique, l’exécution de la requête est effectuée par l’hébergeur qui ne fournira que les métadonnées. L’exécution de la demande ne relève plus du cadre d’urgence c’est-à-dire que la commission de contrôle doit avoir donné son avis avant ».

 

7. Sur la durée de conservation des données.

D’une manière générale, le texte étend la durée de conservation des données, notamment en précisant que les délais sont « à compter de la première exploitation ». Les délais sont de :

• 30 jours à compter de la première exploitation, dans un délai maximal de six mois, pour les correspondances interceptées.
• 90 jours à compter de la première exploitation, dans un délai maximal de six mois, pour les renseignements collectés grâce aux nouvelles techniques.
• 5 ans, à compter du recueil pour les données de connexion (la durée de cinq ans a été décidée en cohérence avec la durée prévue pour la conservation des PNR).

Sur cet aspect du texte, les écologistes ont soutenu le rapporteur qui prônait une réduction des délais de conservation

Pour autant, il n’y a pas de remise en cause du Conseil d’ETAT contrairement à ce qui a pu être dit et écrit.

 

8. Sur la possibilité des recours.

Le texte prévoit, et c’est une nouveauté, la possibilité pour tout citoyen considérant avoir fait l’objet d’une observation abusive par les services, d’engager un recours du Conseil d’Etat, y compris en référé.

Pour les associations, cette saisine est jugée « illusoire » car une personne suivie par les services est rarement informée de cette procédure, et déséquilibrée sur le plan du contradictoire, car adaptée au secret-défense (anonymat des agents, plaignants et services entendus séparément).

On peut légitimement s’interroger sur le climat de suspicion généralisée à l’égard de la police administrative, du juge administratif et singulièrement du Conseil d’Etat, auquel a donné lieu le débat sur ce projet de loi. L’expérience prouve notamment que les écoutes administratives sont dix fois moins nombreuses que les écoutes judiciaires et qu’elles sont bien plus rigoureusement contrôlées. En outre, la compétence du Conseil d’Etat en matière de contentieux relatif au renseignement semble relever du bon sens.

 

9. Sur les professions protégées.

Depuis le passage du texte en commission, il est prévu que la procédure d’urgence ne peut s’appliquer aux avocats, aux journalistes et aux parlementaires. Le recours aux techniques se fait donc sur autorisation du PM après avis de la CNCTR réunie au complet.