M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. La commission est favorable à cet amendement.
En effet, le Gouvernement maintient la possibilité offerte au président de l’ARCEP de saisir le Conseil d’État – ce droit de recours est au fondement même du fonctionnement de nos juridictions administratives – dans l’hypothèse, certes très hypothétique (Sourires.), mais qu’il faut évoquer, où l’ANSSI ne se conformerait pas à une injonction de l’ARCEP.
Le dispositif du Gouvernement, contrairement à celui de la commission, supprime l’exercice de ce recours devant la formation spécialisée du Conseil d’État. Nous pensions qu’il était plus aisé de renvoyer à une formation spécialisée…
Toutefois, cet amendement répond à notre volonté de prévoir l’exercice d’un droit de recours en cas de désaccord éventuel entre l’ANSSI et l’ARCEP ce qui était le point essentiel. Nous considérons donc que la volonté de la commission est respectée.
J’aurai l’occasion de dire, au moment de voter cet article, tout le bien que nous pensons de cet article 19, que les deux assemblées ont contribué à améliorer.
L’avis de la commission est donc favorable.
M. le président. La parole est à M. le rapporteur pour avis.
M. Philippe Bonnecarrère, rapporteur pour avis de la commission des lois. L’article 19 envisage deux modalités en matière de cyberdéfense. La première, volontaire, ne fait pas débat : il s’agit de permettre aux opérateurs de réguler les flux qui transitent par leurs tuyaux et de placer des sondes pour identifier d’éventuelles attaques.
C’est la seconde, contraignante, qui pose problème, en permettant à un service de l’État, l’ANSSI, de placer des sondes, des marqueurs, de manière « autoritaire » sur les réseaux pour identifier les risques et tenter de les prévenir.
La question est de savoir si cette modalité entraîne une atteinte à la vie privée, au secret des correspondances. Le type de technique utilisée amène la commission des lois à une position différente de celle du Gouvernement : nous pensons qu’il y a très clairement atteinte à la vie privée.
Il faut maintenant faire en sorte que cette atteinte soit proportionnée. Nous nous sommes donc efforcés, dans le cadre de cet article 19, d’assurer certaines garanties, notamment en élargissant les modalités de contrôle de l’ARCEP. Nous lui avons permis, par exemple, de se doter de compétences externes, dans la mesure où elle dispose de relativement peu d’agents, et de faire appel au contrôle parlementaire. Dorénavant, l’ARCEP peut s’adresser au Parlement à tout moment et lui indiquer si elle estime ou non être en présence d’une atteinte à la vie privée.
Nous discutons ici de la question précise du droit au recours. L’amendement du Gouvernement laisse au président de l’ARCEP, autorité de contrôle, la possibilité, en cas de non-respect de ses injonctions par l’ANSSI, qui agit pour le compte de l’exécutif, de saisir le Conseil d’État qui statuera en premier et dernier ressort.
Le principe de l’exercice d’un droit de recours est donc maintenu, comme vient de l’expliquer le président Cambon. Le Gouvernement supprime simplement les dispositions introduites par nos commissions prévoyant la saisine de la formation spécialisée du Conseil d’État, compétente en matière de renseignement.
Cette précision avait pour but de garantir la protection du secret de la défense nationale sans contraindre le Gouvernement à des procédures trop lourdes, notamment de déclassification. Mais si ce dernier estime préférable de saisir les formations de droit commun, je n’y vois pas d’obstacle. L’essentiel est de préserver le principe d’un recours devant le Conseil d’État et d’assurer un équilibre entre l’ANSSI et l’ARCEP, dont la mission de contrôle vise à garantir la protection des libertés privées.
Dans la mesure où il garantit l’existence d’un droit de recours de droit commun devant le Conseil d’État, la commission des lois est prête à suivre l’amendement du Gouvernement.
M. le président. La parole est à M. Rachel Mazuir, pour explication de vote.
M. Rachel Mazuir. M. Cadic et moi-même, ainsi que la commission des lois, avons souhaité renforcer le contrôle de l’ARCEP, notamment en cas de différend éventuel avec l’ANSSI.
Tout d’abord, en lui donnant accès au dispositif de traçabilité des données et en lui permettant d’être assistée par des experts habilités.
Ensuite, en permettant à son président non seulement de saisir le Conseil d’État si l’ANSSI refusait d’obtempérer à ses injonctions, mais aussi d’adresser des observations au Premier ministre et de les transmettre aux présidents des deux assemblées parlementaires. Ces deux points nous paraissaient primordiaux.
Dans la mesure où le Gouvernement a retenu l’essentiel de nos préoccupations, nous voterons cet amendement.
M. le président. L’amendement n° 124, présenté par le Gouvernement, est ainsi libellé :
Alinéa 39, seconde phrase
Après le mot :
détermine
rédiger ainsi la fin de cette phrase :
les modalités d’application du présent article.
La parole est à Mme la ministre.
Mme Florence Parly, ministre. Cet amendement concerne le décret en Conseil d’État prévu dans la nouvelle rédaction de l’article 19 issue des travaux de votre commission.
Cet article dispose que le décret visé doit a priori définir les catégories de données techniques qui font l’objet d’une analyse par l’ANSSI.
Or ces données, recueillies dans le cadre d’un dispositif de détection sur un équipement infecté par un attaquant, ont un caractère essentiellement technique. Elles sont relatives au trafic de l’attaquant lui-même.
Restreindre les catégories de données techniques susceptibles d’être ainsi recueillies aurait pour effet de limiter les capacités de l’ANSSI à analyser le mode opératoire d’un attaquant, sans pour autant renforcer le droit au respect de la vie privée qui n’est pas, en soi, affecté par cette analyse.
De surcroît, l’expérience montre que les techniques d’attaque évoluent sans cesse, en tout cas extrêmement rapidement. Le risque existe donc que des données qui auraient été préalablement définies par grandes catégories dans un décret ne soient plus celles qu’il serait in fine pertinent de recueillir.
Dans ces conditions, le recours à un décret en Conseil d’État pour définir a priori la nature des données conservées par l’ANSSI dans le cadre spécifique de la mise en détection d’un équipement qui aurait été infecté par un attaquant me paraît tout à fait contre-productif.
En revanche, un décret en Conseil d’État pourrait, conformément au souhait exprimé par la commission, préciser les modalités d’application de ce dispositif afin d’entourer sa mise en œuvre de toutes les garanties supplémentaires qui pourraient être souhaitées.
Tel est l’objet de cet amendement.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Ce sujet est plus important qu’il n’y paraît, singulièrement pour le Sénat, traditionnel protecteur des libertés.
Vous avez bien compris le dispositif dont il est question : l’ANSSI est autorisée à poser des dispositifs de détection et à les mettre en œuvre soit sur les réseaux d’opérateurs, soit sur les systèmes d’information et les fournisseurs de services, pour lutter contre la délinquance et le terrorisme.
Le problème porte sur le renvoi à un décret en Conseil d’État pour fixer les modalités d’application de ces dispositifs de détection, c’est-à-dire sur la question de savoir dans quelles conditions l’ANSSI peut mettre en place de tels dispositifs sur des réseaux d’opérateurs tels qu’Orange, par exemple, ou d’autres fournisseurs de services.
L’amendement présenté par Mme la ministre vise en quelque sorte à généraliser le décret d’application, alors que nous souhaitons, dans un souci de protection des libertés, domaine ô combien complexe, non pas limiter les catégories de données, comme vous l’avez dit, madame la ministre, mais simplement les préciser. En la matière, il peut s’agir d’adresses IP, de serveurs, d’adresses URL, d’adresses mail…
Nous voulons que les mesures d’application du dispositif de détection mis en place par l’ANSSI soient proportionnées au but recherché. Si l’on combat, par exemple, un délinquant ayant des contacts avec l’étranger, il faut savoir quelles données saisir.
Nous voulons simplement que le décret précise les catégories de données, alors que le Gouvernement considère qu’un tel dispositif serait par trop précis.
Par ailleurs, notre rédaction consolide le texte sur le plan juridique. En effet, la définition précise des catégories de données, madame la ministre, est une des conditions permettant au Conseil constitutionnel de considérer que la collecte et la conservation par les opérateurs ne portent pas une atteinte disproportionnée au secret des correspondances et au respect de la vie privée. Nous retrouvons donc les mêmes arguments qui nous ont conduits à préciser que le décret devait inclure les catégories de données que l’ANSSI pouvait essayer de saisir.
Cette simple précision ne constitue pas une différence fondamentale entre nos deux positions, mais il est dans la vocation du Sénat de placer des limites pour garantir le respect des libertés. Pour ces raisons, la commission a émis un avis défavorable sur cet amendement.
M. le président. La parole est à M. le rapporteur pour avis.
M. Philippe Bonnecarrère, rapporteur pour avis de la commission des lois. La commission des lois partage l’avis de la commission de la défense.
De quoi est-il question ? Nous sommes également préoccupés par les enjeux collectifs et les risques encourus par nos sociétés dans le domaine de la cyberdéfense. Il est normal que notre pays cherche à se protéger. La question reste de savoir si ces dispositifs peuvent constituer ou non une atteinte à la vie privée et, dans l’affirmative, quelles garanties nous pouvons mettre en place.
Contrairement au Gouvernement, nous considérons que la réponse à cette question est positive. Supposons que l’ANSSI pose une sonde de manière contraignante, parce qu’elle pense avoir détecté un risque : elle va alors analyser des flux.
Elle n’est pas dans une action de renseignement, j’en conviens. L’idée n’est pas de connaître le contenu du mail que j’ai pu adresser à Mme la ministre ou à Mme la secrétaire d’État, par exemple. L’idée est bien d’examiner les flux, de détecter les éventuelles anomalies, de regarder si l’enveloppe contenant le mail (M. le rapporteur pour avis de la commission des lois déchire légèrement une enveloppe qu’il tient entre ses mains et sort la lettre qu’elle contient.) est déchirée ou non…
Toutefois, dans la mesure où l’ANSSI recherche des marqueurs de virus, il lui faut ouvrir le mail en question et ses éventuelles pièces jointes pour vérifier toute anomalie de signature ou de caractère. La recherche des virus oblige donc intrinsèquement à regarder dans le document, non pour le lire – je vous en donne acte, madame la ministre –, mais pour vérifier la présence d’un caractère anormal.
Sous cet angle, il nous semble difficile de contester l’existence d’une atteinte à la vie privée. Et cette atteinte est d’autant plus marquante que l’ANSSI conservera les données qu’elle aura collectées – ce qu’elle a excellemment justifié lors de nos auditions – durant dix ans.
Nous voulons tout simplement mettre en place une garantie en renvoyant à un décret en Conseil d’État la définition des éléments pouvant être vérifiés et collectés, car ils porteront à l’évidence, au-delà des seules adresses mail, sur les contenus.
M. le président. La parole est à Mme Hélène Conway-Mouret, pour explication de vote.
Mme Hélène Conway-Mouret. Nous partageons l’avis de la commission.
Pour que l’ARCEP puisse exercer son contrôle, il convient de définir les catégories de données que l’ANSSI est autorisée à collecter lorsqu’elle met en œuvre des sondes de détection sur les réseaux ou sur les serveurs des opérateurs, comme l’a souligné M. le rapporteur.
Il nous semble important de prévoir dans la loi ce renvoi à un décret en Conseil d’État. C’est la raison pour laquelle nous sommes défavorables à l’amendement du Gouvernement.
M. le président. La parole est à M. le rapporteur.
M. Christian Cambon, rapporteur. Je voudrais souligner l’importance de l’article 19, qui va permettre d’améliorer à la fois la détection et la prévention des cyberattaques tout en confiant un rôle tant aux opérateurs de communication électronique et de téléphonie qu’à l’Agence nationale de la sécurité des systèmes d’information.
Je veux souligner le travail effectué par nos deux commissions et, monsieur le président Bas, notamment par la commission des lois. Nous avons très sensiblement amélioré le dispositif par plusieurs amendements, certains d’entre eux étant d’ailleurs communs à nos deux commissions – je pense, par exemple, à la clarification des obligations des opérateurs de communication.
Nous avons conforté le contrôle de l’ARCEP en créant un lien de contrôle juridique avec l’ANSSI. Nous avons étendu aux opérateurs de services essentiels le périmètre de la détection et de la protection.
Je veux remercier le Gouvernement d’avoir accepté la plupart de nos amendements. Il nous reste un petit point de désaccord, mais je pense que nous aurons l’occasion de trouver, avec nos collègues de l’Assemblée nationale, une rédaction adéquate qui permette de respecter les libertés.
Nous pouvons saluer le travail des deux assemblées sur un texte qui n’était pas totalement stabilisé initialement.
Pour ces raisons, nous voterons bien évidemment l’article 19.
M. le président. La parole est à Mme la ministre.
Mme Florence Parly, ministre. Je pense qu’il convient d’adopter une approche très pragmatique sur ces questions. Aujourd’hui, nul ne sait, dans cet hémicycle, où se nichera la prochaine cyberattaque.
C’est pour cette raison, et pour cette raison seulement, que le Gouvernement proposait, à travers l’amendement n° 124, de renoncer à toute définition a priori de catégories de données qu’il serait possible ou non de collecter.
Il s’agissait simplement d’adopter une approche pragmatique, liée à un souci d’efficacité opérationnelle des services.
Pour répondre à la préoccupation bien légitime du Sénat de préservation des libertés publiques, nous proposions que ce décret en Conseil d’État examine les modalités d’un renforcement de garanties, dont nous ne doutons pas qu’elles soient nécessaires.
Ne nous méprenons pas sur les raisons pour lesquelles nos approches diffèrent. Je tenais à préciser les choses avant que vous ne recherchiez, comme vient de l’indiquer M. Cambon, un terrain d’entente avec les députés en commission mixte paritaire.
M. le président. Je mets aux voix l’article 19, modifié.
(L’article 19 est adopté.)
Article 20
(Suppression maintenue)
Article 21
(Non modifié)
Au II de l’article L. 4123-12 du code de la défense, après les mots : « y compris », sont insérés les mots : « les actions numériques, ». – (Adopté.)
Chapitre III bis
Qualification de certains appareils et dispositifs techniques
Article 22
L’article L. 2371-2 du code de la défense est ainsi rédigé :
« Art. L. 2371-2. – Sous réserve d’une déclaration préalable à la Commission nationale de contrôle des techniques de renseignement, le service du ministère de la défense chargé de la qualification des appareils ou des dispositifs techniques mentionnés au 1° de l’article 226-3 du code pénal au profit des armées et des services du ministère de la défense, d’une part, et les militaires des unités des forces armées définies par arrêté du ministre de la défense, d’autre part, sont autorisés à effectuer des essais des appareils ou dispositifs permettant de mettre en œuvre les techniques ou mesures mentionnées à l’article L. 851-6, au II de l’article L. 852-1 ainsi qu’aux articles L. 852-2, L. 854-1 et L. 855-1 A du code de la sécurité intérieure. Ces essais sont réalisés par des agents individuellement désignés et habilités, à la seule fin d’effectuer ces opérations techniques et à l’exclusion de toute exploitation des données recueillies. Ces données ne peuvent être conservées que pour la durée de ces essais et sont détruites au plus tard une fois les essais terminés.
« La Commission nationale de contrôle des techniques de renseignement est informée du champ et de la nature des essais effectués sur le fondement du présent article. À ce titre, un registre recensant les opérations techniques réalisées est communiqué, à sa demande, à la commission. La commission peut, à sa demande et à la seule fin de s’assurer du respect des conditions prévues par le premier alinéa du présent article, se faire présenter sur place les dispositifs et capacités d’interception ayant fait l’objet d’essais.
« Les conditions d’application du présent article sont fixées par arrêté du ministre de la défense, pris après avis de la Commission nationale de contrôle des techniques de renseignement. »
M. le président. Je tiens à vous faire remarquer, madame la ministre, messieurs les présidents et rapporteurs, mes chers collègues, que, depuis la reprise de la séance, nous n’avons examiné que sept amendements, dont trois ont été retirés.
Les débats se déroulent certes dans d’excellentes conditions, mais à un rythme assez lent. (Sourires.) J’ai laissé courir le chronomètre sur certaines interventions ; je vais m’efforcer d’être un peu plus strict…
L’amendement n° 138, présenté par le Gouvernement, est ainsi libellé :
Alinéa 3, dernière phrase
Supprimer cette phrase.
La parole est à Mme la ministre.
Mme Florence Parly, ministre. Cet amendement vise à revenir sur un dispositif adopté à l’Assemblée nationale et modifié par votre commission.
Il s’agit d’encadrer la possibilité, pour la Commission nationale de contrôle des techniques de renseignement, la CNCTR, de procéder à des contrôles sur les campagnes d’essais.
Le dispositif retenu par l’Assemblée nationale est fondé sur un régime de déclaration préalable des campagnes d’essais de matériel de renseignement auprès de la CNCTR, auquel s’ajoute un contrôle a posteriori sur le champ et sur la nature des tests réalisés. Ce contrôle se traduit par la possibilité, pour la CNCTR, d’obtenir, sur sa demande, communication du registre qui recense les opérations techniques effectuées.
La nouvelle rédaction de l’article 22 issue des travaux de votre commission va plus loin. Le fait d’autoriser un contrôle sur place des dispositifs et des capacités d’interception qui ont fait l’objet des essais aurait pour effet d’entretenir une confusion entre la mise en œuvre des techniques de renseignement, qui peut être soumise à des contrôles approfondis par la CNCTR, et les simples essais de matériel de renseignement qui doivent répondre à un contrôle moins poussé.
Il y aurait donc un paradoxe à prévoir un contrôle sur place pour de simples essais de matériel, alors même que le législateur a exclu tout récemment cette possibilité dans le cadre de la loi du 30 octobre 2017 renforçant la sécurité intérieure et la lutte contre le terrorisme en ce qui concerne la mise en œuvre par les armées de mesures de surveillance peu attentatoires à la vie privée, c’est-à-dire relevant de techniques dites de « hertzien ouvert ».
En effet, les unités des armées autorisées à mettre en œuvre de telles mesures ne sont pas soumises à un contrôle sur place de la CNCTR, cette dernière étant uniquement informée du champ et de la nature des mesures de surveillance hertzienne, conformément à la décision du Conseil constitutionnel du 21 octobre 2016 et à l’avis de l’assemblée générale du Conseil d’État du 15 juin 2017.
Cette disposition a été préparée en lien étroit avec la CNCTR et les modalités de ce contrôle répondent à ses demandes.
Pour l’ensemble de ses raisons, je vous demanderai de bien vouloir revenir sur la disposition votée en commission.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. La commission des lois est à l’origine de cette disposition, adoptée en termes identiques par la commission de la défense.
Il s’agissait de permettre à la CNCTR de contrôler sur place les dispositifs et capacités d’interception faisant l’objet d’essais.
Mme la ministre nous dit qu’il s’agit de simples essais de matériel soumis à déclaration et contrôlés a posteriori par la CNCTR. Toutefois, on ne peut éliminer le risque d’interceptions dépassant la stricte limite nécessaire, raison pour laquelle ce contrôle sur place nous semblait important.
La commission a décidé de s’en remettre à la sagesse du Sénat.
M. le président. La parole est à M. Rachel Mazuir, pour explication de vote.
M. Rachel Mazuir. Richard Yung a parlé de « cyberdéfense », le président de la commission et la ministre, eux, de « cyberattaques ». Pourquoi ne pas parler de « cybersécurité » ?
Richard Yung évoquait l’exemple des élections américaines. Plus près de nous, des cyberattaques – je pense aux virus WannaCry et NotPetya – ont frappé des hôpitaux britanniques, Renault, Vodafone ; on dit qu’elles auraient coûté plus d’un milliard d’euros, ce qui est beaucoup. La dernière attaque en date a affecté la SNCF, Auchan et Saint-Gobain.
Il s’agit d’un sujet intéressant. Il est bon de rappeler que le budget a été multiplié par trois, ce qui nous paraît essentiel.
J’ai entendu les arguments du rapporteur sur cet amendement n° 138. La commission a voulu renforcer les protections encadrant les collectes de flux de données pour éviter qu’elles n’aillent au-delà du strict nécessaire prévu par la loi ou qu’elles concernent le contenu des correspondances.
Vos arguments, madame la ministre, nous paraissent également recevables. C’est la raison pour laquelle je m’en remettrai également à la sagesse du Sénat.
M. le président. La parole est à M. Richard Yung, pour explication de vote.
M. Richard Yung. Les arguments de Mme la ministre sont tout à fait recevables.
Le mécanisme mis en place pour contrôler les activités de la CNCTR, et notamment la communication du registre des mesures effectuées, me semble une garantie suffisante pour les libertés publiques. Je voterai donc cet amendement.
M. le président. La parole est à M. Michel Boutant, pour explication de vote.
M. Michel Boutant. Pour ma part, je ne suis pas opposé à ce que la CNCTR étende son contrôle sur place, à l’occasion d’essais de matériel.
Comme l’a souligné M. le rapporteur voilà quelques instants, on n’est jamais à l’abri d’un dérapage. Je ne voterai donc pas cet amendement.
M. le président. Je mets aux voix l’article 22, modifié.
(L’article 22 est adopté.)
Articles additionnels après l’article 22
M. le président. L’amendement n° 91 rectifié, présenté par le Gouvernement, est ainsi libellé :
Après l’article 22
Insérer un article additionnel ainsi rédigé :
Le chapitre IV du titre V du livre VIII du code de la sécurité intérieure est ainsi modifié :
1° L’article L. 854-1 est ainsi modifié :
a) Après le troisième alinéa, il est inséré un alinéa ainsi rédigé :
« Les autorisations prévues à l’article L. 851-1, à l’article L. 851-2 et au I de l’article L. 852-1 peuvent valoir, lorsque la décision d’autorisation le prévoit, autorisation d’exploitation des communications, ou des seules données de connexion, interceptées dans le cadre de la mise en œuvre de mesures de surveillance des communications internationales, dans la limite de la portée de ces autorisations et dans le respect des garanties qui les entourent. » ;
b) Au quatrième alinéa, les mots : « du troisième alinéa du présent article » sont remplacés par les mots : « des troisième et quatrième alinéas du présent article ainsi que des dispositions du V de l’article L. 854-2 » ;
2° L’article L. 854-2 est ainsi modifié :
a) Au premier alinéa du III, après le mot : « également », sont insérés les mots : « après avis de la Commission nationale de contrôle des techniques de renseignement » ;
b) Après le III, sont insérés deux paragraphes ainsi rédigés :
« IV. – L’autorisation prévue au III vaut autorisation d’effectuer au sein des données de connexion interceptées des vérifications ponctuelles aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes mentionnés au 3° du III.
« À la seule fin de détecter, de manière urgente, une menace terroriste, cette vérification ponctuelle peut porter sur les communications de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national. Ces numéros et identifiants sont immédiatement communiqués au Premier ministre et à la Commission nationale de contrôle des techniques de renseignement, pour les besoins du contrôle prévu à l’article L. 854-9.
« Des vérifications ponctuelles peuvent également être mises en œuvre pour détecter sur les communications d’identifiants techniques rattachables au territoire national, à des fins d’analyse technique, des éléments de cyberattaques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation mentionnés au 1° de l’article L. 811-3.
« Lorsque les vérifications ponctuelles mentionnées aux alinéas précédents font apparaître la nécessité d’une surveillance, l’exploitation des communications, ou des seules données de connexion interceptées, ne peut être poursuivie que sur le fondement d’une autorisation obtenue en application des chapitres I ou II du présent titre ou du V du présent article, dans le respect des règles qui leur sont propres.
« V. – Par dérogation au troisième alinéa de l’article L. 854-1 et pour la défense ou la promotion des finalités mentionnées aux 1° , 2° , 4° , 6° et 7° de l’article L. 811-3, le Premier ministre ou l’un de ses délégués peut, dans les conditions prévues au III, délivrer une autorisation d’exploitation de communications, ou de seules données de connexion interceptées, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire.
« Le nombre maximal des autorisations d’exploitation, en vigueur simultanément et portant sur des correspondances, est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. La décision fixant ce contingent et sa répartition entre les ministres mentionnés au premier alinéa de l’article L. 821-2 sont portées à la connaissance de la commission ».
3° À la première phrase de l’article L. 854-4, après le mot : « chapitre », sont insérés les mots : « ainsi que la vérification ponctuelle mentionnée au IV de l’article L. 854-2 » ;
4° L’article L. 854-9 est ainsi modifié :
a) La première phrase du premier alinéa est remplacée par deux phrases ainsi rédigées : « La Commission nationale de contrôle des techniques de renseignement émet un avis sur les demandes mentionnées au III et au V de l’article L. 854-2 dans les délais prévus à l’article L. 821-3. Elle reçoit communication de toutes les décisions et autorisations mentionnées à l’article L. 854-2. » ;
b) Aux première et seconde phrases du quatrième alinéa, après les mots : « de surveillance », sont insérés les mots : « ou de vérification ponctuelle » ;
c) Le cinquième alinéa est complété par une phrase ainsi rédigée : « Toutefois, toute personne souhaitant vérifier qu’elle n’a pas fait l’objet d’une surveillance irrégulière au titre du V de l’article L. 854-2 peut saisir le Conseil d’État du recours prévu au 1° de l’article L. 841-1. » ;
La parole est à Mme la ministre.