C. EN DÉPIT DE L'ÉQUILIBRE ATTEINT, DES ÉVOLUTIONS A LA MARGE DU CADRE LÉGAL APPARAISSENT SOUHAITABLES
1. La nécessité de préserver l'équilibre atteint
Près de cinq ans après l'entrée en vigueur de la loi du 24 juillet 2015, il semble que l'objectif poursuivi par le législateur d'offrir un encadrement légal à l'activité des services sans contraindre excessivement leur action ait été atteint.
De fait, les définitions données par la loi aux différentes techniques ou catégories de techniques, nécessaires pour donner un cadre suffisamment précis aux actions de recueil de renseignement, conformément d'ailleurs aux exigences posées par la jurisprudence de la CEDH, se sont révélées suffisamment larges pour absorber les évolutions technologiques sans qu'il ait été nécessaire de revenir systématiquement devant le parlement.
A cet égard, l'on ne peut d'ailleurs que se féliciter que la CNCTR, dans le cadre de l'exercice de son contrôle a posteriori , ait fait preuve de souplesse et développé une jurisprudence relativement englobante . *****.Dans ce contexte, les acteurs de la communauté du renseignement appellent, à l'unanimité, à faire preuve de prudence dans la révision de la loi et à ne pas fragiliser l'équilibre atteint entre efficacité des services et protection des droits individuels. Ils revendiquent, en particulier, de ne pas remettre en cause la philosophie adoptée par le législateur en 2015.
C'est également la position de la délégation, qui a toujours revendiqué l'adoption d'un cadre suffisamment large pour ne pas risquer d'être rendu obsolète par une évolution technologique par essence plus rapide que l'action du législateur.
2. Des ajustements ponctuels de certaines techniques pour répondre à des besoins opérationnels
Ceci étant, tout en s'opposant à une rénovation profonde du cadre légal instauré en 2015, les services de renseignement ont fait état devant la délégation, outre des assouplissements procéduraux précédemment développés (voir partie II, I), de plusieurs souhaits d'évolution de certaines techniques, destinés à renforcer l'efficacité de leur action .
Il ne fait aucun doute que tous répondent à un besoin opérationnel avéré. Comme elle a eu l'occasion de le rappeler, la délégation estime néanmoins indispensable d'appréhender ces demandes d'ajustement avec le souci permanent de garantir la protection du respect de la vie privée et du secret des correspondances, au risque, à défaut, de déstabiliser l'équilibre constitutionnel auquel le législateur est parvenu.
La délégation a fait le choix de l'exhaustivité et présente donc toutes les propositions qui lui ont été remontées. Elle n'a toutefois pas choisi de reprendre à son compte l'ensemble d'entre elles, dont certaines lui paraissent porter une atteinte non proportionnée aux droits individuels.
a) Un élargissement des techniques ouvertes pour la finalité économique
Plusieurs services ont exprimé le souhait d'élargir le champ des techniques susceptibles d'être mise en oeuvre dans le cadre de la finalité de préservation et de promotion des intérêts économiques, industriels et scientifiques majeurs de la Nation.
Ils revendiquent notamment une extension à cette finalité des autorisations d'exploitation, à des fins de surveillance de personnes situées sur le territoire national, des données collectées dans le cadre de la surveillance internationale 51 ( * ) , qui ne peuvent actuellement être demandées que pour cinq des sept finalités du renseignement.
La délégation a déjà eu l'occasion, dans son rapport d'activité pour l'année 2017, de souligner toute l'importance de l'action des services de renseignement pour préserver le patrimoine économique de notre pays. Elle ne s'est, de même, jamais opposée à ce que les techniques de recueil de renseignement puissent être mises en oeuvre non seulement à des fins défensives, mais également dans le cadre d'une action offensive. En 2014, avant même l'adoption de la loi relative au renseignement, elle affirmait ainsi : « notre appareil de renseignement ne saurait revêtir une dimension purement défensive (...) ; il doit faire montre de capacités analytiques et prospectives afin de s'insérer pleinement dans le processus décisionnel politique ».
Au regard du caractère par nature international des menaces pesant sur les intérêts économiques de la France, la délégation est donc favorable à l'extension souhaitée , dès lors d'une part, que des techniques très intrusives, en particulier les interceptions de sécurité et le recueil de données informatiques, peuvent déjà être mises en oeuvre pour la finalité économique et, d'autre part, que l'exploitation de données collectées dans le cadre d'une surveillance internationale est entourée de garanties identiques à celles prévues pour la mise en oeuvre de ces techniques sur le territoire national. La délégation observe notamment que les demandes d'exploitation seraient soumises à un avis préalable de la CNCTR, qui s'assurera du respect du cadre légal.
Recommandation n° 9 : Etendre à la finalité de préservation et de promotion des intérêts économiques, industriels et scientifiques majeurs de la Nation le champ de l'autorisation d'exploitation de données collectées dans le cadre d'une surveillance internationale, à des fins de surveillance d'une personne située sur le territoire national.
b) Une rationalisation nécessaire des durées de conservation des données collectées
Les durées de conservation des données collectées dans le cadre des techniques de renseignement ont été définies, en 2015, selon deux principaux critères : la nature des données collectées et leur durée d'intrusivité, d'une part ; le niveau de complexité et, par conséquent, la durée moyenne pour procéder à leur exploitation, d'autre part.
Bien que pertinents, ces critères n'ont pas permis d'aboutir à un dispositif totalement satisfaisant.
A l'instar de la CNCTR, la délégation reconnaît en effet qu'il existe une incohérence dans le dispositif adopté par le législateur en 2015 s'agissant de la conservation des images et des paroles collectées en application de l'article L. 853-1 du code de la sécurité intérieure. Sur le plan opérationnel en effet, la fixation de durées de conservation distinctes pour ces deux catégories de données, 120 jours pour les images et 30 jours pour les paroles, bien qu'elle se justifie au regard de leur degré d'intrusivité, complexifie le travail d'exploitation lorsque les services ne disposent, au-delà de 30 jours, plus que des images sans la parole.
Par ailleurs, il semble, en particulier pour les services de taille plus modeste disposant de moins de personnels, que la durée maximale de conservation des données de communication, actuellement fixée à 30 jours, se révèle parfois trop courte pour permettre leur exploitation dans de bonnes conditions . Le SNRP a par exemple fait état de sa difficulté à procéder à l'exploitation des sonorisations réalisées par le biais de dispositifs déconnectés placés dans les cellules de détenus, dont la récupération peut se révéler complexe.
Afin de répondre à ces problématiques, la délégation estime souhaitable de repenser l'échelle de ces durées de conservation , sans toutefois remettre en cause son caractère gradué, sur lequel le Conseil constitutionnel s'est d'ailleurs appuyé pour reconnaître la conformité à la Constitution du dispositif de conservation 52 ( * ) .
Elle propose ainsi trois niveaux de durée 53 ( * ) :
• une durée maximale de 60 jours pour l'ensemble des données portant sur le contenu des communications , c'est-à-dire les données collectées dans le cadre des interceptions de sécurité, réalisées par le biais d'un opérateur ou par un dispositif technique IMSI-catcher ainsi que les données recueillies dans le cadre d'interceptions de communications empruntant la voie hertzienne privative.
Seraient également alignés sur cette durée les enregistrements audio ainsi que les images captées. La délégation est consciente, sur ce point, qu'elle ne satisfait pas complètement les souhaits des services de renseignement, qui appelaient à un alignement à 120 jours de la durée maximale de conservation.
Elle rappelle toutefois qu'en 2015, le choix avait été fait d'assimiler la captation de paroles prononcées à titre privé ou confidentiel, technique jugée très intrusive, à une interception de sécurité et de leur appliquer, dès lors, des garanties identiques, notamment en termes de durée de conservation. L'augmentation de 30 à 120 jours de la durée de conservation des enregistrements sonores, comme de celles des interceptions de sécurité, serait, de l'avis de la délégation, susceptible d'être jugée disproportionnée par le Conseil constitutionnel. C'est pourquoi il lui apparaît plus raisonnable d'envisager une durée intermédiaire de 60 jours.
De fait, cette réorganisation conduirait à abaisser la durée de conservation des images captées. L'exploitation de ces données n'apparaissant toutefois pas plus complexe que les enregistrements sonores, la délégation ne voit pas d'obstacle opérationnel à cette évolution, dès lors qu'elle permet d'assurer une plus grande cohérence du dispositif ;
• une durée maximale de 120 jours pour les données collectées dans le cadre d'un recueil ou d'une captation de données informatiques, le maintien d'une telle durée se justifiant par les difficultés d'exploitation spécifiques à ce type de données et à leur volume ;
• enfin, une durée maximale maintenue 4 ans pour les données de connexion .
Evolution proposée de l'échelle des durées de conservation des données collectées dans le cadre des techniques de renseignement soumises à autorisation sur le territoire nationale
|
Technique |
Référence législative |
Durée de conservation actuelle |
Durée de conservation proposée |
|
Accès aux données de connexion en temps différé |
L. 851-1 |
4 ans |
4 ans |
|
Donnée de connexion en temps réel |
L. 851-2 |
4 ans |
4 ans |
|
Géolocalisation en temps réel |
L. 851-4 |
4 ans |
4 ans |
|
Balisage |
L.851-5 |
4 ans |
4 ans |
|
Recueil de données de connexion par IMSI-catchers |
L. 851-6 |
4 ans |
4 ans |
|
Détection par algorithme |
L. 851-3 |
60 jours |
60 jours |
|
Interceptions de sécurité |
L. 852-1 |
30 jours |
60 jours |
|
Interceptions de correspondance par IMSI-catchers |
L. 852-1 |
30 jours |
60 jours |
|
Interceptions de correspondance empruntant la voie hertzienne privative |
L. 852-2 |
30 jours |
60 jours |
|
Enregistrements de parole |
L. 853-1 |
30 jours |
60 jours |
|
Enregistrements d'images |
L. 853-1 |
120 jours |
60 jours |
|
Recueil de données informatiques |
L. 853-2 |
120 jours |
120 jours |
|
Captation de données informatiques |
L. 853-2 |
120 jours |
120 jours |
Recommandation n° 10 : Réviser l'échelle des durées de conservation des données collectées dans le cadre des techniques de renseignement afin de tenir compte des contraintes opérationnelles liées à l'exploitation des données, sans toutefois remettre en cause le principe de graduation prévu par le législateur en 2015.
c) L'élargissement du champ d'application de certaines techniques à l'entourage
En l'état du droit, seules deux techniques de renseignement peuvent être mises en oeuvre à l'encontre de l'entourage des cibles surveillées, à savoir les interceptions de sécurité et, depuis 2016 54 ( * ) , le recueil en temps réel des données de connexion.
Plusieurs services ont émis le souhait d'étendre plusieurs autres techniques de renseignement à l'entourage des personnes susceptibles d'être en lien avec une menace, en particulier la technique de géolocalisation en temps réel, le balisage, la captation d'images ou de paroles ou encore le recueil de données informatiques . Selon les indications fournies à la délégation, cette évolution présenterait un avantage sur le plan opérationnel, en permettant aux services de localiser plus facilement la personne surveillée, d'anticiper ses déplacements ou encore de recueillir des informations à son encontre.
La délégation ne voit pas d'obstacle de principe à ce qu'il soit procédé à l'extension à l'entourage de la géolocalisation en temps réel , l'ingérence dans la vie privée permise par cette technique n'étant pas plus importante que dans le cadre d'un accès en temps réel aux données de connexion.
Au regard de l'atteinte portée à la vie privée des personnes concernées, une telle évolution nécessiterait toutefois, pour être constitutionnelle, d'être encadrée par l'instauration d'un contingentement . Dans sa décision n° 2017-648 QPC du 4 août 2017, le Conseil constitutionnel, se prononçant sur l'extension à l'entourage de la technique de recueil de données de connexion en temps réel, a en effet estimé que « faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le respect de la vie privée ».
S'agissant en revanche des autres techniques précédemment mentionnées, la délégation estime que leur extension à l'entourage pourrait se révéler plus fragile sur le plan constitutionnel. Dès lors qu'elles impliquent le recueil de données de correspondance, et non plus seulement de connexion et qu'elles peuvent au demeurant justifier, pour leur déploiement, l'introduction dans un lieu privé, ces techniques impliquent en effet un degré d'ingérence plus fort dans la vie privée, qui pourrait être jugé disproportionné pour des individus qui ne présentent pas, comme le Conseil constitutionnel a déjà eu l'occasion de le rappeler, de lien nécessairement étroit avec la menace 55 ( * ) .
Recommandation n° 11 : Etendre la technique de géolocalisation en temps réel, définie à l'article L. 851-4 du code de la sécurité intérieure, à l'entourage des personnes surveillées, sous réserve de l'application d'un contingent maximal d'autorisations délivrées simultanément.
d) Un ajustement de la technique de géolocalisation en temps réel à étudier
Le GIC a fait part à la délégation d'une suggestion d' ajustement du cadre légal applicable à la technique de géolocalisation en temps réel .
En l'état du droit, il est prévu que cette technique soit mise en oeuvre sur « sollicitation du réseau » 56 ( * ) de l'opérateur. En pratique, cela consiste, pour l'opérateur, à adresser des messages « invisibles » au terminal mobile placé sous surveillance afin que celui-ci se manifeste et indique l'antenne du réseau mobile à laquelle il est rattaché à un instant « t ». La localisation de l'antenne est transmise au GIC et permet de connaître, de manière approximative, la localisation du terminal surveillé.
*****
Recommandation n° 12 : *****
e) L'extension de la technique accessoire d'introduction dans un lieu privé : une évolution à envisager avec prudence
En vertu de l'article L. 853-3 du code de la sécurité intérieure, l'introduction dans un lieu privé et, a fortiori , dans un lieu d'habitation, ne peut être autorisée que dans le cadre du déploiement de trois techniques de renseignement : le balisage, la captation de paroles ou d'images et le recueil ou la captation de données informatiques.
Certains services estiment que, pour des raisons opérationnelles, la technique de l'accès aux données de connexion par le biais d'un dispositif technique de type Imsi-catcher mériterait également de pouvoir être déployée au sein d'un lieu privé. Il a en effet été indiqué à la délégation qu'en raison de la portée limitée des dispositifs techniques, les services de renseignement étaient susceptibles de rencontrer des difficultés pour intercepter les données, par exemple lorsque la cible est située en étage élevé.
La délégation a pu constater, lors de ses travaux, que l'intérêt opérationnel de l'extension proposée par certains services n'était pas partagé par l'ensemble des services de renseignement.
Or, il doit être rappelé qu'en 2015, le législateur a prévu un principe de subsidiarité et expressément limité l'application de l'introduction dans un lieu privé aux seuls cas où aucun autre moyen légalement autorisé ne permet d'aboutir au même résultat.
Aussi la délégation, soucieuse d'assurer la proportionnalité des moyens accordés aux services de renseignement, n'a-t-elle pas souhaité, en l'absence d'éléments complémentaires justifiant d'un besoin opérationnel impérieux, reprendre à son compte ce souhait d'évolution.
3. Des oublis à corriger
a) L'introduction d'un régime de tests
Le GIC comme les services de renseignement procèdent, sur une base régulière, à la conduite de tests sur les équipements techniques utilisés pour collecter du renseignement. Outre le fait qu'elle est utilisée dans le cadre des processus de formation des agents, la conduite de tests est également essentielle pour vérifier le bon fonctionnement des capacités techniques déployées ainsi que pour expérimenter de nouvelles méthodes de recueil en vue d'assurer leur adaptation permanente aux évolutions technologiques. Les équipements de collecte de renseignement peuvent, en outre, être utilisés par les services à des fins de formation et d'entraînement des agents.
Comme l'a indiqué le GIC à la délégation, la réalisation de ces tests peut induire la collecte de données privées ou l'interception de correspondance, voire, dans certains cas, donner lieu à des réquisitions auprès des opérateurs de communications électroniques. Dans le cas de l'utilisation d'un IMSI-catcher , elle peut également conduire à perturber ponctuellement le fonctionnement d'un réseau mobile.
Or, en 2015, aucun régime juridique n'a été prévu pour encadrer la réalisation des tests et entraînements , apporter des garanties suffisantes aux atteintes à la vie privée et au secret des correspondances susceptibles d'être réalisées dans ces circonstances et, le cas échéant, sécuriser l'action des services.
Le législateur est partiellement revenu sur cet oubli en 2017 , en introduisant dans le code de la défense une disposition nouvelle autorisant la direction générale de l'armement et certaines unités des armées à réaliser des campagnes de test sur des matériels de renseignement 57 ( * ) . Initialement limité aux équipements utilisés pour l'interception des communications empruntant la voie hertzienne, ce régime a été étendu à un spectre plus large de matériels par la dernière loi de programmation militaire 58 ( * ) .
Il apparaît souhaitable de dupliquer ce régime de tests, au sein du code de la sécurité intérieure, pour les autres services de renseignement ainsi que pour le GIC. En effet, l'usage de matériels de renseignement en dehors des cas prévus par le code de la sécurité intérieure demeure particulièrement fragile sur le plan juridique et susceptible de recours en cas d'atteinte portée à la vie privée et au secret des correspondances. Il apparaît, au demeurant, souhaitable de donner un statut aux données collectées dans le cadre de campagnes de tests afin notamment de s'assurer de leur destruction.
Des garanties identiques à celles prévues pour les armées devraient donc être introduites, à savoir :
• la déclaration préalable obligatoire à la CNCTR de tout essai conduit sur un matériel de renseignement ;
• la limitation des personnes autorisées à réaliser des tests aux seuls individus désignés et habilités à cet effet ;
• la destruction immédiate des données collectées une fois les tests achevés.
Au regard des difficultés techniques encore rencontrées par plusieurs services du second cercle, la délégation considère que le régime de tests pourrait, du moins dans un premier temps, n'être ouvert qu'aux services spécialisés de renseignement et au GIC, qui se trouve en première ligne pour l'expérimentation de nombreux matériels.
L'ensemble des matériels utilisés pour la mise en oeuvre pourraient être concernés, qu'il s'agisse des techniques reposant sur un recueil de données auprès des opérateurs comme des techniques consistant en une collecte directe de données par les services.
Recommandation n° 13 : Encadrer législativement la conduite de tests par le GIC et les services de renseignement du premier cercle sur les matériels de collecte de renseignement, à l'instar du régime prévu par l'article L. 2371-2 du code de la défense.
b) La création d'une technique autorisant l'ouverture des lettres et des paquets
Se focalisant sur l'encadrement des techniques de renseignement faisant appel aux outils technologiques les plus avancées, le législateur a, en 2015, omis de créer un régime spécifique encadrant la méthode plus traditionnelle d'ouverture des lettres et des paquets physiques . L'atteinte portée à la vie privée et au secret des correspondances de cette méthode est pourtant assimilable à celle d'autres techniques de renseignement, dès lors qu'elle permet à un service de renseignement d'accéder au contenu d'une correspondance.
La délégation suggère donc que la technique de l'interception de sécurité puisse être étendue et adaptée pour couvrir également les interceptions de communications physiques, avec des garanties identiques, notamment en termes de durée d'autorisation (4 mois) et de durée de conservation des données collectées (30 jours).
L'accès auxdites lettres et courriers peut nécessiter, de la part des services, l'introduction dans un lieu privé, qui devrait, dès lors, être autorisée pour cette nouvelle technique.
Recommandation n° 14 : Créer une nouvelle interception de sécurité pour couvrir la surveillance des correspondances physiques (lettres, paquets, etc .), susceptible, selon les besoins opérationnels, d'être associée à une introduction dans un lieu privé.
c) La nécessité de prévoir un encadrement réglementaire précis des conditions d'échanges de renseignements entre services
L'article L. 863-2 du code de la sécurité intérieure prévoit que les services spécialisés du renseignement et les services relevant du second cercle « peuvent partager toutes les informations utiles à l'accomplissement de leurs missions ».
Les modalités et les conditions dans lesquelles ces échanges peuvent s'effectuer sont renvoyées, par la loi, à un décret en Conseil d'État. Il a été indiqué à la délégation que ce décret n'avait pas été pris à ce jour, faute, pour le législateur, d'avoir prévu qu'il ne serait pas publié.
Ceci étant, il ressort des travaux conduits par la délégation que l'absence de cadre réglementaire n'a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c'est-à-dire d'extractions et de transcriptions, mais également de renseignements collectés, c'est-à-dire de données brutes recueillies dans le cadre d'une technique de renseignement.
La délégation a ainsi été informée de l'existence d'une procédure dite d'extension , qui permet la communication de transcriptions effectuées au sein du GIC 59 ( * ) à un service autre que celui qui a fait la demande initiale de technique de renseignement. En pratique, la communication est effectuée par le GIC, à la demande du service qui a demandé la technique et réalisé la transcription initiale, et donne lieu à une information de la CNCTR. Le service bénéficiaire ne peut se voir transmettre que les renseignements en lien avec une des finalités qui lui sont autorisées par la loi.
La délégation regrette de n'avoir pu obtenir, en revanche, d'informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données brutes . Bien qu'il lui ait été assuré que ceux-ci étaient réalisés dans le respect des principes posés par la loi de 2015, elle n'a pas été en mesure de constater, par elle-même, les conditions dans lesquelles les règles relatives à la conservation des données brutes collectées et à l'utilisation de ces mêmes données étaient assurées.
Elle estime en tout état de cause urgent qu'un encadrement précis de ces échanges soit réalisé , afin de définir les conditions dans lesquelles les renseignements collectés par le biais d'une technique de renseignement peuvent être partagés et exploités par d'autres services. Il s'agit d'une exigence non seulement en termes de protection du droit au respect de la vie privée, mais également pour sécuriser l'action des services.
A cet égard, le renvoi simple à un décret pourrait se révéler insuffisant et placer le législateur en situation d'incompétence négative. La délégation juge en conséquence souhaitable que soient précisées dans la loi certaines garanties minimales, parmi lesquelles les catégories de données susceptibles d'être échangées, les conditions d'utilisation de ces données par les services, en particulier s'agissant des finalités d'utilisation, ainsi que les règles de conservation et de destruction de ces mêmes données.
Les conditions d'application de ces dispositions pourraient être, quant à elles, renvoyées à un décret non publié, qui pourrait être pris après avis de la CNCTR.
Recommandation n° 15 : Donner un cadre légal aux conditions dans lesquelles les renseignements collectés par le biais de techniques de renseignement peuvent être partagés entre services de renseignement. Modifier, en conséquence, l'article L. 863-2 du code de la sécurité intérieure.
d) Une demande de conservation des données collectées à des fins de recherche et développement qui nécessite d'être approfondie
Face au volume important de données collectées dans le cadre des techniques de renseignement se pose, pour les services de renseignement, un défi croissant d'exploitation, qui nécessite le développement de dispositifs techniques de recueil, d'extraction et de transcription de ces données.
Pour ce faire, plusieurs services revendiquent que puisse être autorisée la conservation, à des fins de recherche et développement, des données collectées dans le cadre d'une technique de renseignement , au-delà des durées actuellement prévues par la loi.
Il s'agit de pouvoir disposer d'un volume important de données sur lesquels conduire des études, tests et expérimentations, qui, pour donner des résultats satisfaisants, doivent avoir été recueillies dans des conditions identiques à celles de l'exploitation. A titre d'exemple, il a été indiqué à la délégation que pour développer un outil de discrimination capable d'isoler les images d'une plaque d'immatriculation dans un enregistrement vidéo de plusieurs heures, il était nécessaire d'alimenter l'outil à partir d'images recueillies avec le même outil que celui qui aura été utilisé pour collecter les données destinées à être in fine analysées.
La délégation entend l'intérêt opérationnel de cette demande, à laquelle elle n'est pas, par principe, opposée. Elle estime cependant qu'une telle évolution législative nécessite d'être strictement encadrée et ne saurait, en tout état de cause, concerner de manière systématique l'ensemble des données collectées.
Il lui est, en l'état de l'information dont elle dispose sur les besoins techniques des services, complexe de définir avec précision les garanties minimales qu'il serait nécessaire d'apporter à un tel dispositif.
Il lui apparaît a minima nécessaire qu'une attention particulière soit apportée aux possibilités d'anonymisation des données conservées et qu'une procédure de contrôle renforcé soit instaurée, afin de garantir que les données ainsi conservées ne puissent être utilisées à d'autres fins.
Il mériterait également d'être réfléchi aux conditions dans lesquelles la conservation de données à des fins de recherche et développement pourrait être soumise à une procédure d'autorisation préalable, afin de s'assurer que la conservation des données soit dûment justifiée et soit réalisée de manière ciblée.
4. L'enjeu du passage à la « 5G » : des besoins d'ajustement encore difficiles à appréhender
L'arrivée de la cinquième génération des communications électroniques mobiles, dite « 5G », en raison de l'évolution des réseaux de communication classique qu'elle induit, devrait avoir un impact important sur les conditions de mise en oeuvre de certaines techniques de renseignement.
Il est en particulier probable qu'elle complexifie, voire rende obsolète, la technique de recueil de proximité de données de connexion par les dispositifs de type Imsi-catcher . En effet, dans un réseau classique, les antennes-relais ne servent qu'à retransmettre les flux de données entre les terminaux mobiles des utilisateurs et les coeurs de réseaux des opérateurs. Dans ce modèle, les Imsi-catcher sont donc utilisés comme des antennes factices, qui se substituent, dans un périmètre donné, aux antennes-relais aux fins de collecte de deux catégories de données de connexion :
- d'une part, les données relatives à l'identification d'un équipement terminal ou d'un numéro d'abonnement, c'est-à-dire le numéro identificateur d'usager mobile (IMSI, soit International Mobile Subscriber Identity ), numéro unique figurant dans la carte SIM, et le numéro international de l'équipement mobile (IMEI, soit International Mobile Equipment Identity ), numéro unique du terminal ;
- d'autre part, les données relatives à la localisation technique des terminaux utilisés.
Avec la « 5G », les identifiants électroniques des terminaux qui seront échangés avec les antennes-relais ne seront plus uniques, comme actuellement, mais éphémères. Dans ce système, les terminaux mobiles disposeront toujours de numéros IMSI et IMEI, mais seul l'opérateur disposera des informations permettant de faire le lien entre ces identifiants uniques et les identifiants éphémères échangés sur le réseau.
Au regard de l'enjeu de cette évolution technologique, la délégation a été informée de la création d'un groupe de travail interservices, chargé d'étudier les conséquences du passage à la « 5G » pour le renseignement et les ajustements nécessaires.
La définition des normes techniques du réseau « 5G » n'étant pas complètement aboutie, les conséquences exactes de cette évolution technologique majeure et, partant, les éventuelles évolutions législatives qui pourraient se révéler nécessaires, demeurent encore difficiles à appréhender.
Pour l'heure, il apparaît que si une évolution des modes opératoires des services et du GIC pourrait se révéler nécessaire, la nature des techniques encadrées par la loi pourrait ne pas être modifiée.
5. L'accès aux données de connexion : des techniques qui pourraient être fragilisées par la jurisprudence européenne
Au-delà de la nécessaire adaptation du droit aux évolutions technologiques, le cadre juridique actuel pourrait se voir fortement fragilisé par l'évolution de la jurisprudence de la Cour de justice de l'Union européenne (CJUE).
Par un arrêt Tele2 Sverige du 21 décembre 2016, la Cour de justice de l'Union européenne (CJUE), se prononçant sur le cas de la Suède, a en effet jugé contraire au droit de l'Union 60 ( * ) le principe d'une conservation généralisée et indifférenciée, à des fins préventives, des données de connexion par les opérateurs de communications électroniques et les fournisseurs de services publics en ligne.
Dans les faits, cette décision remet en cause l'existence même des techniques d'accès aux données de connexion en temps différé , non seulement en matière pénale, mais également dans le champ du renseignement, dont la mise en oeuvre repose sur l'obligation légale imposée aux opérateurs de communications électroniques ainsi qu'aux fournisseurs d'accès à internet de conserver, pendant une durée d'une année, l'ensemble des données de connexion transitant par leurs réseaux 61 ( * ) .
Cette jurisprudence, dont les conséquences seraient assurément désastreuses tant pour l'efficacité des enquêtes pénales que de l'activité des services de renseignement, pourrait pourtant se voir prochainement confirmée dans le cadre de son application au droit français.
Saisi de plusieurs contentieux portant sur des actes réglementaires applicables aux activités de renseignement, le Conseil d'État a en effet renvoyé à la CJUE, le 26 juillet 2018, trois questions préjudicielles relatives à la conformité au droit de l'Union des dispositions du code de la sécurité intérieure relatives à la conservation des données de connexion.
Au regard du contexte « marqué par des menaces graves et persistantes pour la sécurité nationale, tenant en particulier au risque terroriste », la juridiction française relève qu' « une telle conservation présente une utilité sans équivalent par rapport au recueil de ces mêmes données à partir du moment où l'individu en cause aurait été identifié comme susceptible de présenter une menace pour la sécurité publique, la défense ou la sûreté de l'État » et interroge les juges européens sur la possibilité qu'une telle obligation imposée aux opérateurs soit regardée, « notamment eu égard aux garanties et contrôles dont sont assortis (...) le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres ».
L'affaire n'a, pour l'heure, pas été définitivement jugée par la CJUE, qui ne devrait rendre son arrêt qu'à l'été 2020 . Au regard toutefois des conclusions rendues par l'avocat général au début du mois de janvier 2020 62 ( * ) , il existe un risque sérieux que l'arrêt Tele2 Sverige soit confirmé . En matière de renseignement, une telle décision aurait pour conséquence de priver de fondement les techniques d'accès aux données de connexion en temps différé de l'article L. 851-1 du code de la sécurité intérieure.
Les conclusions de l'avocat
général
sur les renvois préjudiciels du Conseil
d'État (15 janvier 2020)
Les renvois formés par le Conseil d'État devant la CJUE soulevait, en droit, deux questions distinctes .
La première concerne le champ d'application de la directive relative à la vie et privée et aux communications électroniques en cause et, en particulier, son applicabilité aux activités relevant de la sécurité nationale . La France, comme plusieurs autres états membres de l'Union ayant déposé des mémoires en défense, estimait que l'article 15 de la directive excluait du champ d'application de la directive les activités menées par les pouvoirs publics en vue de préserver la sécurité nationale et estimait, dès lors, que la CJUE n'était pas légitime à se prononcer sur la conformité au droit de l'Union des dispositions du code de la sécurité intérieure.
Dans ses conclusions, l'avocat général auprès de la CJUE rejette ces arguments, estimant quant à lui que si la directive exclut bien de son champ d'application les activités menées, en vue de préserver la sécurité nationale, par les pouvoirs publics pour leur propre compte, tel n'est en revanche pas le cas lorsque le concours d'autres acteurs et, en l'espèce, des opérateurs de communications électroniques, est requis.
La seconde question soulevée par les renvois porte sur la portée de l'autorisation faite par la directive aux États membres d'apporter, à des fins de sécurité nationale, des limitations à l'obligation faite aux opérateurs de garantir la confidentialité des communications .
Sur ce point également, l'avocat général propose de confirmer la jurisprudence Tele2 quant au caractère disproportionné d'une législation ou réglementation imposant aux opérateurs une conservation généralisée et indifférenciée de l'ensemble des données de connexion.
Reconnaissant toutefois l'utilité d'une obligation de conservation des données pour préserver la sécurité nationale et lutter contre la criminalité, il estime en revanche possible d'envisager une conservation limitée et différenciée, soit la conservation, pour une période déterminée, de certaines catégories de données qui seraient considérées comme absolument indispensables pour la prévention de la criminalité et la préservation de la sécurité nationale.
Au vu de ces éléments, l'avocat général conclut à la non-conformité au droit de l'Union européenne des dispositions relatives à l'obligation de conservation généralisée imposée, par la législation et la réglementation françaises, aux opérateurs de communications électroniques, sur laquelle repose l'accès aux données de connexion en temps différé.
En revanche, il estime que la directive ne s'oppose pas à la possibilité d'un recueil en temps réel, par les autorités publiques, des données relatives au trafic et aux données de localisation de certaines personnes ce qui, dès lors, semble préserver les techniques de géolocalisation et d'accès aux données de connexion en temps réel.
Plusieurs services et autorités ministériels ont fait état, devant la délégation, de leurs fortes préoccupations quant aux suites à donner à la décision de la CJUE, si les conclusions de l'avocat général venaient à être suivies.
Pour la France, les possibilités de réaction seraient en effet étroites.
A ce stade, les pouvoirs publics paraissent exclure de suivre la voie choisie par la Suède, qui a consisté à renoncer à toute capacité d'investigation rétroactive, au regard des conséquences qu'elle pourrait avoir sur l'efficacité de l'action des services de renseignement comme de l'action judiciaire.
La révision de la directive susmentionnée ayant été mise sur la table au niveau européen, il est envisagé, à ce stade, de pousser les négociations pour modifier les textes européens dans un sens qui permettrait de neutraliser les conséquences de la jurisprudence de la CJUE.
Compte tenu des délais d'adoption des textes législatifs au niveau européen, la délégation estime possible et souhaitable, dans l'attente, qu'une conservation généralisée des données soit maintenue en matière de renseignement . L'avocat général n'a en effet pas exclu la possibilité que soient conservées temporairement les législations nationales incompatibles avec le droit de l'Union, dès lors que ce maintien serait justifié par des considérations impérieuses de sécurité publique.
En tout état de cause, la délégation demeure fermement attentive à l'évolution de cette jurisprudence et aux évolutions législatives qu'elle pourrait rendre nécessaire.
6. L'encadrement des échanges de renseignement avec des États étrangers : une réflexion à engager
a) Une absence d'encadrement des échanges de renseignement étranger qui interroge et pourrait constituer une source de fragilité juridique
Les échanges de renseignements avec des services étrangers n'ont pas été inclus dans le cadre fixé par le législateur en 2015. La loi du 24 juillet 2015 a d'ailleurs expressément exclu la possibilité pour la CNCTR de connaître des données communiquées par des services étrangers.
Dans le cadre de son rapport d'activité pour l'année 2018, la CNCTR a toutefois rouvert le débat et invité les autorités publiques comme le législateur à engager une réflexion sur un possible encadrement légal de ces échanges, dès lors qu'ils « incluent des données sur des citoyens français ou sur toute personne résidant en France ».
La délégation a estimé souhaitable de se saisir de ce sujet qui, en creux, soulève la question de l'effectivité du cadre légal instauré par le législateur en 2015 .
Il n'est, bien entendu, pas question pour elle de mettre en doute l'intégrité des services de renseignement. Ceci étant, elle observe, à l'instar de la CNCTR, que l'exclusion des échanges avec des services étrangers de tout encadrement légal soulève deux interrogations en termes de respect des droits et libertés constitutionnellement garantis :
- d'une part, celle de l'effectivité de la protection des droits des citoyens français et des individus résidants sur le territoire français dans l'hypothèse où des renseignements issus d'une technique de renseignement seraient communiqués par un service français à un de ses partenaires étrangers (« flux sortants » ). Rien, en l'état du droit, ne garantit en effet que les règles posées par le législateur quant aux règles de conservation des données collectées dans le cadre d'une technique ainsi que des transcriptions et extractions réalisées sont respectées lorsque les données sont communiquées à un service étranger ;
- d'autre part, celle du cadre applicable aux données concernant des citoyens français ou des individus résidant sur le territoire national communiquées , par un service étranger, à un service français (« flux entrants »). A titre d'exemple, aucune règle n'encadre actuellement l'utilisation et la conservation de données de communication collectées par un service étranger sur le territoire français et transmises à un service de renseignement français.
Cette absence complète d'encadrement légal des échanges de renseignements pourrait par ailleurs soulever des difficultés de conformité avec la convention européenne de sauvegarde des droits de l'homme . Dans un arrêt Big Brother Watch c/ Royaume Uni du 13 septembre 2018, la CEDH s'est en effet prononcée, pour la première fois, sur le principe de ces échanges.
Bien qu'il ne soit pas encore définitif, ayant été renvoyé en grande chambre, cet arrêt, qui ne portait que sur le traitement des renseignements entrants, pose un certain nombre de règles. Observant que « si les États contractants jouissaient d'une latitude illimitée pour demander à des États non contractants d'intercepter des communications ou de leur remettre des communications interceptées, ils pourraient aisément contourner les obligations que leur impose la Convention », la Cour indique que « le droit interne doit donc, afin d'éviter les abus de pouvoir, énoncer aussi les circonstances dans lesquelles il est possible de demander à des services de renseignement étrangers des éléments interceptés ».
La CEDH n'exige pas, dans cette hypothèse, que des conditions identiques au droit interne soient prévues, mais impose que le droit interne prévoit des garanties à quatre niveaux : « les circonstances dans lesquelles il est possible de demander des éléments interceptés ; la procédure à suivre pour l'examen, l'utilisation et la conservation des éléments obtenus ; les précautions à prendre pour la communication de ces éléments à d'autres parties ; et les circonstances dans lesquelles ces éléments doivent être effacés ».
b) Un engagement du Gouvernement à mieux formaliser les protocoles d'échanges qui va dans le bon sens
Les services de renseignement s'opposent, majoritairement, à toute forme d'encadrement légal de leurs échanges avec des partenaires étrangers. De leur point de vue, cette coopération relève de la souveraineté de l'État et de son action diplomatique et doit, à ce titre, être couverte par un secret absolu. Ils revendiquent, au demeurant, un risque d'atteinte à la règle du tiers service, en vertu de laquelle un service de renseignement est tenu à la confidentialité absolue sur tout renseignement qui lui serait transmis par un partenaire étranger.
Pour répondre aux préoccupations formulées tant par la CNCTR que par la CEDH, le Gouvernement envisage néanmoins de donner un cadre réglementaire plus formalisé à ces échanges, pour améliorer les conditions dans lesquelles les liaisons avec des partenaires étrangers sont établies .
Pour l'heure, l'échange de renseignements avec les partenaires étrangers relève en effet, dans la majorité des cas, d'accords bilatéraux négociés directement par les chefs de services, dans certains cas formalisés par la signature de protocoles. Selon les informations communiquées à la délégation, des réflexions sont en cours pour évaluer l'opportunité de prévoir que toute ouverture d'une liaison avec un service étranger soit validée au niveau politique, par le ministre de tutelle du service concerné.
Il est également envisagé la rédaction d'une charte , actuellement en cours de préparation par la CNRLT, fixant, à l'égard services de renseignement, un ensemble de principes à respecter dans la « protocolisation de la liaison ». Il a été indiqué à la délégation que pourraient par exemple être prévu qu'une coopération ne puisse être engagée que lorsque les moyens de collecte du renseignement par le partenaire concerné sont conformes à des principes démocratiques.
La délégation ne peut que soutenir le Gouvernement dans cette démarche. Il lui apparaît que ces réformes, bien que ne se traduisant par aucune évolution législative, seraient de nature à apporter une première forme d'encadrement aux échanges de renseignement.
c) Un débat légitime sur le statut des renseignements techniques collectés ou exploités grâce à l'assistance d'un service étranger
En ce qui concerne la question de l'encadrement légal soulevée par la CNCTR, la délégation estime pour l'heure qu'il serait peu opportun, au regard des enjeux diplomatiques en cause et des impératifs opérationnels, de fixer dans la loi des règles plus précises encadrant l'ensemble des échanges de renseignement (qui consisteraient par exemple à imposer que ne puissent être transmis des informations qu'à des partenaires disposant de standards de collecte ou d'exploitation du renseignement similaires à ceux de la loi du 24 juillet 2015).
Une telle évolution risquerait en effet de se traduire par une limitation conséquente des possibilités d'échanges avec certains États, pourtant essentiels dans certains dossiers stratégiques, qu'il s'agisse par exemple de prévention du terrorisme ou d'intérêts militaires.
Ceci étant, elle relève qu'une réflexion mériterait d'être engagée sur le statut des renseignements techniques obtenus grâce à l'assistance d'un partenaire étranger et qui concernent des citoyens français ou des individus résidant sur le territoire national.
Il ne s'agit en aucun cas, pour la délégation, de soulever un risque de contournement volontaire du cadre légal par les services, par exemple pour la mise en oeuvre d'une technique malgré un refus du Premier ministre.
Néanmoins, il lui a été indiqué que, faute de capacités techniques suffisantes, les services de renseignement français pouvaient parfois être amenés à recueillir l'assistance de leurs partenaires étrangers pour la collecte ou l'exploitation de renseignement technique. Cela peut par exemple être le cas *****
Il est donc légitime, de l'avis de la délégation, de s'interroger sur le niveau de protection qui entoure ces pratiques, notamment s'agissant des règles d'autorisation et des conditions de centralisation, de traçabilité et de conservation des données recueillies ou exploitées grâce à l'assistance d'un service étranger. Cette question devra être débattue dans le cadre de l'examen du prochain projet de loi de réforme de la loi renseignement annoncé par le Gouvernement.
Recommandation n° 16 : Engager une réflexion sur le statut des renseignements techniques recueillis ou exploités grâce à l'assistance d'un service de renseignement étranger et sur le niveau de protection qui les entoure.
* 51 Article L. 854-2 du code de la sécurité intérieure, V.
* 52 Dans sa décision n° 2015-713 DC sur la loi relative au renseignement, le Conseil constitutionnel a estimé « qu'en prévoyant de telles durées de conservation en fonction des caractéristiques des renseignements collectés ainsi qu'une durée maximale de conservation de six ans à compter du recueil des données chiffrées (...), le législateur n'a méconnu aucune exigence constitutionnelle ». Il a, en conséquence, jugé que les dispositions de l'article L. 822-2 du code de la sécurité intérieure étaient conformes à la Constitution.
* 53 Hors mesures de surveillance internationale, qui font l'objet de durées de conservation plus longues.
* 54 Loi n° 2016-987 du 21 juillet 2016 prorogeant l'application de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence et portant mesures de renforcement de la lutte antiterroriste.
* 55 Décision n° 2017-648 QPC du 4 août 2017 précitée.
* 56 Art. L. 851-4 du code de la sécurité intérieure.
* 57 Art. L. 2371-2 du code de la défense, créé par la loi n° 2017-1510 du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme.
* 58 Peuvent désormais être testés sur ce fondement les matériels IMSI-catcher, les équipements utilisés pour procéder à des interceptions de sécurité, pour intercepter des communications empruntant la voie hertzienne ainsi que pour des surveillances internationales.
* 59 Cette procédure ne concerne que les transcriptions réalisées au sein du GIC, c'est-à-dire celles qui portent sur des interceptions de sécurité, des exploitations de données collectées dans le cadre de la surveillance internationale et concernant des communications mixtes ou rattachables au territoire national et les captations de paroles, lorsqu'elles sont centralisée par le GIC.
* 60 Directive européenne 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
* 61 Le III de l'article 34-1 du code des postes et des communications électroniques prévoit en effet que
* 62 Conclusions de l'avocat général Campos Sanchez-Bordona dans l'affaire C-623/17 Privacy International, dans les affaires jointes C-511/18 La Quadratude du Net e.a. et C-512/18 French Data Network e.a. ainsi que dans l'affaire C-52D/18 Ordre des barreaux francophones et germanophone e.a.