Projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense

EXAMEN EN COMMISSION

__________

MARDI 13 JUIN 2023

- Présidence de Mme Catherine Di Folco, vice-présidente -

Mme Catherine Di Folco, présidente. - Nous commençons nos travaux par l'examen du rapport pour avis sur le projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.

M. François-Noël Buffet, rapporteur pour avis. - Le projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense, dont la commission des affaires étrangères, de la défense et des forces armées est saisie au fond, est d'abord une loi de programmation budgétaire destinée à renforcer les capacités de nos forces armées.

À ce titre, nous pouvons nous féliciter que les trois services de renseignement relevant du ministère des armées - la direction générale de la sécurité extérieure (DGSE), la direction du renseignement et de la sécurité de la défense (DRSD) et la direction du renseignement militaire (DRM) voient leurs effectifs augmenter et leurs investissements immobiliers et opérationnels financés.

Nous ne sommes donc pas, à l'égard de nos services de renseignement, dans une situation de difficulté de moyens financiers ou d'emplois budgétaires, mais, dans certains cas, en dépit de nos besoins, nous ne parvenons pas à recruter.

Notre commission ne s'est pas saisie pour avis du volet budgétaire du texte, mais de certaines des « diverses dispositions intéressant la défense » : les dispositions concernant les services de renseignement, les dispositions relatives à la sécurité des systèmes d'information et le régime de protection contre les drones malveillants.

Ces dispositions, pour l'essentiel très ponctuelles et techniques, s'inscrivent dans le prolongement des textes antérieurs, que ce soit la loi du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme, dite loi « Silt », et la loi du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement.

Mais on peut également souligner que le projet de loi ne comporte aucune disposition visant à renforcer le contrôle des services de renseignement, et ce alors même que l'équilibre entre l'extension des pouvoirs des services et les instruments de contrôle est essentiel à la conformité de notre régime aux exigences constitutionnelles en matière de protection des libertés et à la jurisprudence européenne. Les amendements que je vous proposerai, en accord avec les autres membres de la délégation parlementaire au renseignement (DPR) représentant le Sénat, à savoir Agnès Canayer, le président Christian Cambon, et Yannick Vaugrenard, entendent porter certaines avancées en ce domaine. Nous déposons, tous les quatre, des amendements identiques, manifestant ainsi la volonté unitaire du Sénat de progresser quant aux pouvoirs octroyés à la DPR.

Quatre articles concernent les services de renseignement.

L'article 19 autorise les services chargés des enquêtes administratives à consulter le bulletin n° 2 du casier judiciaire afin de mieux mesurer les vulnérabilités, voire les risques posés par des personnes susceptibles d'être recrutées ou d'avoir accès à des lieux ou informations protégés.

L'article 21 permet la transmission d'informations figurant dans une procédure judiciaire ouverte pour crime contre l'humanité ou de crime de guerre afin de renforcer la capacité des services à traiter l'évolution de la menace pesant sur la France et sur ses intérêts.

L'article 22 renforce la protection des anciens agents et membres des unités spéciales en leur garantissant l'anonymat lors de leur témoignage dans une procédure judiciaire, dans les mêmes conditions qu'à ceux qui sont actuellement en activité.

Ces mesures n'appellent pas de modification de notre part.

L'article 20, quant à lui, est plus ambitieux. Il marque la volonté de lutter contre les ingérences étrangères et de protéger les intérêts supérieurs de la France. Il met en place un mécanisme de contrôle des activités exercées par les militaires ou anciens militaires et par certains personnels civils ayant occupé des fonctions d'une sensibilité particulière et souhaitant exercer une activité lucrative pour le compte d'un État étranger ou d'une entreprise étrangère ou sous contrôle étranger intervenant dans le domaine de la défense et de la sécurité. Il convient que notre pays soit vigilant à leur égard. Ce mécanisme est intéressant, même si sa portée sera nécessairement limitée. Il sera en effet difficile d'agir contre une personne exerçant à l'étranger avec un contrat de droit étranger, à moins qu'elle ne revienne en France. C'est d'ailleurs sans doute à ce moment-là qu'il faudra s'assurer de son activité à l'étranger, un peu plus que nous ne le faisons aujourd'hui. Je vous proposerai de préciser les modalités d'application de cet article s'agissant des personnels civils.

S'agissant de la sécurité des systèmes d'information, les articles 32 à 35 renforcent la capacité de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) de détecter, d'identifier et de prévenir les attaques informatiques visant les systèmes d'information des autorités publiques, des opérateurs stratégiques ou de leurs sous-traitants.

En ce sens, l'article 32 dote l'ANSSI de la possibilité d'enjoindre aux acteurs du numérique de filtrer ou de rediriger les noms de domaine utilisés par des cyberattaquants en cas de menace pour la défense et la sécurité nationales. Cela permettra à l'ANSSI de neutraliser les noms de domaine de façon à ce qu'ils n'atteignent pas leur cible, ou de saisir le nom de domaine utilisé et de le déporter de façon à observer le mode opératoire employé.

L'article 33 permet de recevoir communication des données de cache - c'est-à-dire l'ensemble des historiques de recherche d'un site - non identifiantes, afin de mieux comprendre les modes opératoires des attaquants.

Enfin, l'article 35 étend à plusieurs titres les données pouvant être recueillies par l'ANSSI. Il rend notamment obligatoire la mise en place de capacités de détection chez les opérateurs de communication électronique d'importance vitale, et supprime l'assermentation des agents de l'ANSSI habilités à analyser les données recueillies.

En outre, les dispositions prévoient de renforcer l'information des victimes des cyberattaques. À cette fin, l'article 34 oblige les éditeurs de logiciels à notifier à l'ANSSI et aux utilisateurs concernés les incidents et vulnérabilités significatives susceptibles de compromettre la sécurité de leurs produits, tandis que l'article 35 élargit aux hébergeurs de données l'obligation de communiquer à l'ANSSI les informations concernant des utilisateurs ou détenteurs de systèmes d'information vulnérables ou attaqués afin de les en informer.

Je vous proposerai de clarifier la rédaction retenue et d'ajuster les dispositifs afin de les rendre pleinement opérationnels, notamment pour que l'ensemble des utilisateurs d'un logiciel présentant une vulnérabilité critique soient informés par l'éditeur de cette dernière, et pas uniquement les seuls utilisateurs professionnels, comme le prévoit le texte issu des travaux de l'Assemblée nationale. Les particuliers peuvent aussi être victimes et donc en droit d'être informés.

S'agissant enfin du régime de lutte contre les drones malveillants, l'article 27 du projet de loi vise à doter les services de l'État des moyens de parer sans délai à une menace imminente pour l'ordre public, la sécurité et la défense nationales ou le service public de la justice, en les autorisant à recourir à tout moyen permettant de « neutraliser » un drone qui représente une menace - cela peut aller jusqu'à la destruction du drone. Il me paraît nécessaire de renforcer les garanties en matière de protection du droit de propriété et du droit à informer. En effet, la plupart du temps, ces moyens seront mis en oeuvre alors que le drone se trouve dans une zone de survol interdit à titre temporaire ou permanent - centrale nucléaire, grand événement sportif, etc. Que le drone soit « neutralisé » alors qu'il se trouve dans une zone interdite de survol ne me paraît pas soulever de difficulté de principe. Mais le dispositif n'exclut pas que ces moyens puissent également être mis en oeuvre dans une zone dans laquelle la circulation du drone est autorisée. Je vous propose donc de renvoyer à un décret en Conseil d'État la définition des conditions dans lesquelles, en cas de menace imminente, les moyens de neutralisation seront mis en oeuvre, en particulier dans cette hypothèse.

J'en viens maintenant aux trois amendements portant articles additionnels que j'ai évoqués précédemment. Deux de ces amendements concernent les pouvoirs de la DPR et ses liens avec la Commission nationale de contrôle des techniques de renseignement (CNCTR), tandis que le troisième vise les pouvoirs de la CNCTR.

Ces amendements tendent à garantir que, lorsque des sujets d'actualité concernant une action des services de renseignement sont révélés par la presse et ont été admis par le Gouvernement, ceux-ci pourront faire l'objet d'une information de la DPR. Je rappelle que la DPR et ses membres sont soumis au secret le plus absolu. Il arrive parfois, comme ce fut le cas l'année dernière, que la presse révèle au grand public des opérations dans lesquelles des moyens mis à disposition par nos services ont été utilisés à d'autres fins. La possibilité pour la DPR d'auditionner les ministres compétents faisait débat. Au début de cette année, le chef de l'État a rendu un arbitrage sur ce point, que nous traduisons ici pour consacrer ce pouvoir de la DPR - c'est une avancée importante.

Ces amendements permettent également de renforcer les liens entre la DPR et la CNCTR en prévoyant la présentation à la DPR d'un bilan annuel des recommandations de la commission, ainsi que son information sur les saisines du procureur de la République dans le cadre du dispositif de lanceur d'alerte. La loi de juillet 2015 relative au renseignement donne aux lanceurs d'alerte la possibilité de signaler les faits qu'ils constatent et dénoncent à la CNCTR, à charge pour elle, tout en conservant l'anonymat de la saisine, de transmettre les informations aux autorités judiciaires. Nous souhaitons que la DPR soit informée de ces procédures.

Enfin, le troisième amendement tend à permettre l'accès immédiat de la CNCTR aux éléments collectés par les services de renseignement lors de la mise en oeuvre des techniques les plus intrusives : la collecte des données informatiques, la captation d'image et de son et la destruction des données. Cette mesure est particulièrement nécessaire pour permettre l'efficacité du contrôle face au développement de ces techniques de renseignement, dont je souligne que nous ne contestons pas la légitimité.

Dans la même logique, afin d'éviter l'émiettement du contrôle, je vous proposerai trois amendements prévoyant que la CNCTR puisse donner un avis avant la prise des décrets renforçant les pouvoirs de l'ANSSI. En effet, si l'ANSSI n'est pas un service de renseignement, ses liens avec ceux-ci sont étroits et la nature de son intervention appelle un regard informé par la pratique de ces services.

Enfin, je vous présenterai un amendement tendant à supprimer, suivant la position constante du Sénat, la référence proposée à la création d'une délégation au renseignement économique, qui ne pourrait conduire qu'à une dispersion des moyens. La DPR peut parfaitement assurer un contrôle en matière économique - elle a d'ailleurs consacré l'un de ses rapports sur l'ingérence économique.

Un mot, enfin, sur un sujet qui va peser sur le cadre légal du renseignement. Nous savons que, selon toute vraisemblance, la France sera prochainement condamnée par la Cour européenne des droits de l'homme pour non-conformité à la convention européenne du régime encadrant les échanges d'informations entre les services français de renseignement et les services étrangers. Ce sujet étant sensible, il importe de trouver une solution acceptable par tous. Les discussions avancent, mais il ne nous revient pas ici de faire des propositions, afin de ne pas porter atteinte aux intérêts de la France. Une évolution législative doit intervenir dans les mois qui viennent.

Sous réserve des amendements que je vous soumettrai et qui viennent compléter et renforcer le texte, il m'apparaît que celui-ci comporte des mesures utiles pour les services de renseignement.

M. Jean-Yves Leconte. - Sur l'article 32, je comprends le rôle accordé à l'ANSSI dans des situations identifiées et immédiates. Toutefois, si la situation perdure est-il opportun que l'ANSSI garde la main au lieu de passer le relais à l'Arcom, qui est une autorité administrative indépendante ? Dans le cadre des relations avec les plateformes, il me semble préférable de centraliser plutôt que de multiplier le nombre de structures opérant dans l'interface.

Le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum) a vocation à identifier les ingérences étrangères sur les réseaux, mais nous déplorons qu'il n'ait pas les moyens de réagir. Cette loi de programmation va-t-elle lui donner des moyens supplémentaires ?

Je formulerai enfin une remarque concernant les échanges d'informations avec les services étrangers. Les décisions de la CEDH ont déjà été évoquées il y a deux ans, mais la discussion a été reportée. Aujourd'hui, si d'autres services dans d'autres pays occidentaux sont soumis aux mêmes contraintes, alors il devient nécessaire d'évoluer afin de ne pas bloquer nos capacités d'échanges. Avez-vous des assurances du Gouvernement en la matière ?

M. Philippe Bas. - Je remercie le rapporteur pour les amendements qu'il nous propose d'adopter, en particulier ceux qui visent à renforcer les pouvoirs de la DPR. C'est un sujet que nous traitons depuis plusieurs années puisque nous avions adopté, il y a cinq ans, contre l'avis du Gouvernement, des amendements, présentés par le président de la commission des affaires étrangères et de la défense et le président de la commission des lois, visant à aligner les pouvoirs de la DPR sur ceux des institutions équivalentes de grands pays démocratiques comme la Grande-Bretagne ou l'Allemagne. Ces dispositions n'ont pas été reprises dans le texte final adopté par le Parlement. Les dispositions qui nous sont aujourd'hui proposées sont certes plus modestes, mais elles ont le mérite de nous faire espérer qu'elles entreront en vigueur. C'est la raison pour laquelle je les soutiendrai.

Les services de renseignement sont des administrations et, en vertu de l'article 15 de la Déclaration des droits de l'homme et du citoyen, elles n'échappent pas au contrôle parlementaire. Néanmoins, l'efficacité de leur mission exige, dans l'intérêt de la Nation, que le secret de leurs méthodes et de leurs investigations soit préservé. C'est la raison pour laquelle a été créée, au début du XXI^e siècle, une délégation spécifique, qui a l'originalité d'être composée de députés et de sénateurs. Cette délégation ne peut bien faire son travail que si elle inspire confiance aux services de renseignement. Elle est assujettie au secret de la défense nationale. Il faut toutefois que la confiance soit réciproque. Or la liste des informations que la DPR est susceptible d'obtenir est très restreinte par rapport à ce qu'elle est dans d'autres pays. Les services de renseignement invoquent la sécurité nationale. Or le contrôle parlementaire ne doit pas apparaître insuffisant aux yeux de nos concitoyens. La confiance que nous cherchons à entretenir avec ces services ne doit pas nous faire oublier l'exigence d'un contrôle parlementaire, car ces derniers recourent à des technologies intrusives, qui pourraient porter atteinte aux libertés individuelles et au secret de la vie privée.

Voilà pourquoi cette évolution est nécessaire, car nous n'avons pas encore atteint le point ultime du contrôle parlementaire de l'activité de ces services.

M. Alain Richard. - Je veux rebondir sur le propos de Philippe Bas. Aucun pays ne dispose d'une capacité de renseignement intégrale et infinie. La coopération et les échanges d'informations sont forcément nécessaires. L'expérience m'a appris que plus le contrôle parlementaire est intrusif, moins le service fournit d'informations et moins il en reçoit. Il importe donc de maintenir la valeur relative des services de renseignement français, qui bénéficient, me semble-t-il, de la confiance de leurs pairs. L'intensité de ce lien de confiance, facteur d'efficacité et de sécurité, n'est pas compatible avec une intensité excessive du contrôle parlementaire, comme c'est le cas en Allemagne.

Mme Agnès Canayer. - Je félicite le rapporteur d'avoir cherché à parvenir à un équilibre : il faut donner des marges de manoeuvre aux services de renseignement pour leur permettre de collecter des informations, tout en contrôlant le respect des règles et des libertés individuelles. Je veux rappeler la force des liens, au sein de la DPR, entre les deux assemblées, comme en attestaient les amendements déposés conjointement lors de l'examen de la loi de 2021. Je me félicite donc des avancées proposées, même si elles sont modestes.

Par ailleurs, avec l'évolution des technologies, auxquelles recourent les cybercriminels, les groupes de criminalité organisée, les terroristes, il importe de renforcer le rôle de l'ANSSI.

M. François-Noël Buffet, rapporteur pour avis. - Monsieur Leconte, je rappelle que la mission de l'ANSSI est de documenter les modalités d'attaque, et d'assurer la sécurité des systèmes d'information en protégeant ceux des autorités publiques et des opérateurs stratégiques, ce qui est très différent de la mission de l'Arcom. Il ne faut pas oublier que ce travail se fait sous le contrôle de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep). De plus, le nombre de cas n'est pas très important.

Les services de l'ANSSI participent au travail de coordination de Viginum. Viginum attribue l'attaque, alors que l'ANSSI travaille en amont. Leurs tâches sont différentes, mais leur collaboration essentielle.

M. Jean-Yves Leconte. - Viginum identifie les ingérences, mais ne dispose pas des moyens de faire de la contre-ingérence.

M. François-Noël Buffet, rapporteur pour avis. - Tel n'est pas le rôle de Viginum. La décision est prise au niveau gouvernemental.

Concernant les échanges avec les services étrangers, nous n'éludons pas le sujet, nous connaissons les besoins, mais il convient d'élaborer un texte spécifique : la DPR doit travailler pour ce faire en collaboration avec le Gouvernement.

Enfin, s'agissant des pouvoirs de la DPR, je comprends la nécessité d'aller plus loin, mais la DPR entretient aujourd'hui une relation étroite avec la CNCTR ; les membres de la DPR remplissent la mission de contrôle dont ils ont la charge. Il faut qu'elle saisisse les moyens qui sont les siens pour exercer ce contrôle. Ce texte permet une avancée supplémentaire, nous irons sans doute plus loin encore dans les années à venir.

EXAMEN DES AMENDEMENTS DU RAPPORTEUR

Article 2

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-141 a pour objet de supprimer la mention de la création d'une délégation parlementaire à la sécurité économique.

L'amendement COM-141 est adopté.

Article 20

L'amendement rédactionnel COM-126 est adopté.

Après l'article 22

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-127 prévoit l'accès immédiat de la CNCTR aux éléments collectés par les services de renseignement lors de la mise en oeuvre des techniques les plus intrusives.

L'amendement COM-127 portant article additionnel est adopté.

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-128 tend à renforcer le droit à l'information de la délégation parlementaire au renseignement et à lui communiquer un bilan annuel des recommandations présenté par la Commission nationale de contrôle des techniques de renseignement.

L'amendement COM-128 portant article additionnel est adopté.

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-129 assure une coordination avec les missions de la CNCTR.

L'amendement COM-129 portant article additionnel est adopté.

Article 27

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-130 porte sur le contrôle des drones.

L'amendement COM-130 est adopté.

Article 32

L'amendement rédactionnel COM-131 est adopté.

M. François-Noël Buffet, rapporteur pour avis - L'amendement COM-132 tend à supprimer une mention inutile et incomplète.

L'amendement COM-132 est adopté.

M. François-Noël Buffet, rapporteur pour avis - L'amendement COM-133 vise à préciser la notion de « bref délai » par voie réglementaire.

L'amendement COM-133 est adopté.

M. François-Noël Buffet, rapporteur pour avis - L'amendement COM-134 prévoit que la CNCTR soit saisie pour avis du projet de décret d'application de cet article.

L'amendement COM-134 est adopté.

Article 33

L'amendement rédactionnel, d'harmonisation et de précision COM-135 est adopté.

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-136 prévoit également que la CNCTR soit saisie pour avis du projet de décret d'application de cet article.

L'amendement COM-136 est adopté.

Article 34

M. François-Noël Buffet, rapporteur pour avis. - L'article 34 crée une double obligation pour les éditeurs de logiciels, afin qu'ils informent l'ANSSI et les utilisateurs d'incidents ou de la vulnérabilité de leurs produits. L'amendement COM-137 rétablit l'obligation initialement prévue d'informer l'ensemble des utilisateurs de logiciels, préalablement supprimée à l'Assemblée nationale, et non plus seulement les professionnels.

L'amendement COM-137 est adopté.

Article 35

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-138 prévoit que les données recueillies par l'Arcep soient détruites « dans un délai bref, précisé par voie réglementaire », et non pas « sans délai ».

L'amendement COM-138 est adopté.

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-139 concerne également la saisine de la CNCTR pour avis sur le décret d'application de cet article.

L'amendement COM-139 est adopté.

M. François-Noël Buffet, rapporteur pour avis. - L'amendement COM-140 vise à supprimer l'assermentation des agents de l'ANSSI, l'habilitation, déjà existante, étant suffisante pour leurs missions.

L'amendement COM-140 est adopté.

La commission a adopté les amendements suivants du rapporteur :