Renseignement : renseignez-vous.

Créée par la loi du 24 juillet 2015 relative au renseignement, la Commission nationale de contrôle des techniques de renseignement (CNCTR) est une autorité administrative indépendante chargée d’exercer le contrôle externe de la légalité de l’activité des services de renseignement et d’apprécier notamment à ce titre la proportionnalité de l’atteinte portée à la vie privée des personnes concernées au regard des menaces invoquées pour solliciter la mise en œuvre de techniques de renseignement. Elle a été mise en place le 3 octobre 2015.

La CNCTR retrace dans son rapport sa première année d’activité.

Il est téléchargeable ici.

L'analyse de Pscal Tran-Huu :

Selon la loi du 24 juillet 2015 sur le renseignement, le successeur de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) est une autorité administrative indépendante chargée de formuler un avis sur les projets de surveillance des communications nationales. 

La Commission nationale de contrôle des techniques de renseignement (CNCTR) intervient également a posteriori pour contrôler la légalité des données glanées aussi bien sur le territoire qu’à l’égard des communications internationales, cette fois en application de la loi du 30 novembre 2015. 

La CNCTR a remis, il y a quelque temps, son rapport annuel. Un document de 200 pages qui lève une partie du voile sur les activités de nos services de renseignement.

Dans son avant-propos, « La CNCTR a pu constater dans sa pratique quotidienne que les lois du 24 juillet 2015 et du 30 novembre 2015 ont apporté un net renforcement de l’encadrement de l’activité des services de renseignement par rapport à la situation antérieure »

Petit rappel, la création de cette Commission a été rendue nécessaire compte tenu du cadre très généreux offert aux services. Comme je l’avais souligné dans mes précédents billets consacrés à cette loi, les agents peuvent en effet mobiliser des outils de surveillance parfois très intrusifs, quand ils ne sont pas massifs, dès lors qu’est justifiée la poursuite de l’une de ces finalités : 

1. L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
2. Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
3. Les intérêts économiques, industriels et scientifiques majeurs de la France ;
4. La prévention du terrorisme ;
5. La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
6. La prévention de la criminalité et de la délinquance organisées ;
7. La prévention de la prolifération des armes de destruction massive.

Les mêmes services peuvent recourir à ces techniques aussi bien pour assurer « la défense » que « la promotion » des « intérêts fondamentaux de la Nation ». Leur démarche peut donc être préventive… comme offensive.  Il est d’ailleurs intéressant de noter que, s’agissant des violences collectives, la CNCTR considère que « cette finalité ne saurait être interprétée comme permettant la pénétration d’un milieu syndical ou politique ou la limitation du droit constitutionnel de manifester ses opinions, y compris extrêmes » sauf, bien sûr, s’il existe un risque avéré d’atteinte grave à la paix publique.  Tout étant dans la jauge…

L’avis préalable émis par la CNCTR n’est qu’un avis simple. Le Premier ministre peut donc le suivre, ou passer outre en prenant alors le risque cette fois d’une possible action devant le Conseil d’État, ce qui n’est jamais arrivé depuis l’inauguration de la Commission en octobre 2015.

Cette autorité, doit, en plus de la vérification des finalités, ausculter les activités des services du renseignement du premier cercle et surtout du second cercle, dont le renseignement pénitentiaire.

Ses missions se compliquent lorsqu’on sait que les capacités des services varient suivant les techniques. Dans le rapport, on apprend d’ailleurs que « la CNCTR a d’une manière générale souhaité limiter l’accès aux techniques les plus intrusives aux seules unités disposant des capacités à les mettre en œuvre ». Vœux pieux puisque le gouvernement a finalement étendu plus largement l’accès des services du « second cercle » aux techniques programmées par la loi... La Commission veut néanmoins rassurer les inquiets : ces services, essentiellement répartis dans toute la France, n’ont eu que très rarement recours à ces techniques en pratique.

Parmi les techniques du renseignement, la question du traitement des données de connexion par algorithme (L. 853-3) fait office d’un développement particulier. Cette « boite noire » est censée détecter la présence d’une menace terroriste à l’aide des seules données de connexion aspirées chez les intermédiaires techniques. La menace détectée, une autre procédure prend le relai pour relever l’identité des personnes mises à l’index par l’algorithme.

Page 40, on apprend que le projet est au stade d’études avancées : « Saisie d’une demande d’avis par le Premier ministre (…), la commission a examiné le projet d’architecture générale pour la mise en œuvre de ces traitements automatisés ».  Elle a formulé, « par une délibération classifiée adoptée en formation plénière le 28 juillet 2016, des observations et des recommandations sur la procédure de collecte des données de connexion, les caractéristiques des données collectées, la durée de leur conservation, les conditions de leur stockage et la traçabilité des accès. Elle considère notamment que la loi fait obstacle à ce que les agents des services de renseignement puissent accéder aux données collectées tant que le Premier ministre n’a pas autorisé l’identification d’une personne. » 

Le système n’étant pas encore opérationnel, même pas dans une version bêta, il n’est guère étonnant que la Commission n’ait été saisie d’aucune demande d’identification d’une personne repérée comme menaçante… Selon elle, d'ailleurs, « la loi fait obstacle à ce que les agents des services de renseignement puissent accéder aux données collectées tant que le Premier ministre n’a pas autorisé l’identification d’une personne ».

À l’international, on l’a vu, seul le contrôle a posteriori existe. Le Premier ministre a cependant demandé que la CNCTR exerce aussi un contrôle a priori, du moins pour les interceptions de communications reçues ou émises depuis l’étranger (le point III de l’article L.854-2, lequel autorise de telles pratiques en frappant des zones géographiques, des organisations ou groupes de personnes).

Un tel contrôle, expérimenté jusqu’au 31 mars 2017, n’a pas été prévu par la loi. Il est donc une création purement administrative qui pourra s’évaporer du jour au lendemain. D’ici cette date, « la commission se prononcera sur la pérennisation de ce contrôle, notamment au regard des conditions dans lesquelles il intervient et de l’intérêt qu’il présente pour la protection des libertés publiques ». Les prémisses d’une future modification législative ?

Le rapport livre, par ailleurs, un nombre conséquent de de chiffres. Par exemple, entre le 3 octobre 2015 et le 2 octobre 2016, la CNCTR a rendu 48 208 avis relatifs à l’accès aux données de connexion en temps différé (L. 851-1).

L’essentiel visait à identifier des numéros d’abonnement ou de connexion à des sites, voire à glaner l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée. Dans ce lot, 15 211 demandes ont aussi eu pour objectif d’« obtenir la liste des appels et des correspondants de la personne surveillée ». Ce sont les fameuses Fadettes, pour « facture détaillée ».

Toujours sur ce stock, 6,9 % de ces demandes ont été défavorables. Des avis négatifs tous suivis par le Premier ministre, assure la Commission.

Pour la géolocalisation en temps réel (L.851-4), 2 127 avis ont été rendus, en nette progression par rapport à rapport à 2015 (+87 %). S’agissant des interceptions de sécurité (L. 852-1) le chiffre s’établit à 8 538 avis, sachant que pour l’année, le gouvernement a fait exploser le contingentement en vigueur.

En raison des attentats, la majorité des IS concerne la prévention du terrorisme, contrairement aux autres années où la prévention de la criminalité organisée remportait la palme.

Enfin, 7 711 avis ont concerné les autres techniques (balises, IMSI catcher, captation des données informatiques, etc.).  La CNCTR n’a pas ventilé ces informations, expliquant sa timidité par le secret de la défense nationale…

Le rapport évoque, également, un nouvel indicateur : le nombre d'individus surveillés. « Du 3 octobre 2015 au 2 octobre 2016, 20 282 personnes ont fait l’objet d’une technique de renseignement au moins ».

Cependant, ce chiffre est en dessous de la réalité puisqu’il ne comprend pas « les accès aux données de connexion en temps différé prévus au deuxième alinéa de l’article L. 851-1 du code de la sécurité intérieure, principalement l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques ainsi que le recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée ».

9 624 personnes (47 % du total) « ont été surveillées au titre de la prévention du terrorisme », contre 5 848 dans le domaine de la prévention de la criminalité organisée ou des violences collectives. Reste 4810 personnes qui ont été surveillées dans l’un des autres domaines autorisés par la loi du 24 juillet 2015…

S’agissant du contrôle a posteriori, le Groupement interministériel de contrôle (GIC) centralise les recueils de données de connexion en temps différé, les géolocalisations en temps réel et les interceptions de sécurité dans ses locaux. La CNCTR y dispose d’un accès direct pour vérifier de la conformité des renseignements collectés avec les finalités et l’autorisation initiale.

Pour les autres techniques, balisage, ISMI catcher, captation dans les lieux privés, etc. tout se corse puisqu’il s’agit de techniques décentralisées. Dans son rapport, la Commission demande une nouvelle fois que la centralisation des renseignements collectés soit organisée. Un élément « indispensable » pour rendre effective son intervention.  Faute de solides solutions pour sécuriser ces flux sensibles, prévues dans quelques années, la CNCTR plaide pour des dispositifs transitoires. « Ainsi pourraient être constitués des lieux de stockage au sein des administrations centrales des services de renseignement, prenant la forme de serveurs sécurisés aux droits d’accès rigoureusement encadrés ». En attendant, les quelques agents de la CNCTR sont contraints de parcourir la France dans tous les sens afin d’assurer leur mission.

Autre sujet d’inquiétude : alors que des milliers d’opérations de surveillance ont été avalisées, la CNCTR n’a mené qu’un contrôle « sur pièce et sur place par semaine entre le 3 octobre 2015 et le 1er mai 2016 puis de deux contrôles par semaine à partir de cette date ». S’agissant de la surveillance internationale, le nombre de contrôles cette fois mensuels est égal à deux. « La commission vérifie que les communications concernées sont interceptées, conservées et exploitées conformément aux dispositions des articles L. 854-1 à L. 854-8 du code de la sécurité intérieure » ( page 82)

Les recommandations de la CNCTR

Outre l’encadrement des boites noires et la question de la surveillance hertzienne, la CNCTR s’est arrêtée sur une bizarrerie née de l’article L.871-2 du Code de la sécurité intérieure.

Selon cette disposition, le Premier ministre peut « requérir, auprès des personnes physiques ou morales exploitant des réseaux de communications électroniques ou fournisseurs de services de communications électroniques, les informations ou documents qui leur sont nécessaires (…) pour la réalisation et l'exploitation des interceptions autorisées par la loi ».

Or, cette procédure qui ne passe pas par le cap de l’avis préalable de la CNCTR, s’entrechoque avec le L. 852-1 du même Code. Dédié aux interceptions, il prévoit cette fois un tel avis !

La Commission a recommandé au Premier ministre de faire prédominer le L.852-1 du CSI afin de faire jouer le contrôle a priori ce que le PM a suivi « Par une note du 20 mai 2016, le Premier ministre a décidé de suivre la recommandation de la CNCTR et fait savoir aux services de renseignement qu’aucune autorisation de mise en œuvre de l’article L. 871-2 du code ne serait accordée à l’avenir en matière de police administrative ».

Le rapport souligne enfin que jamais cette autorité n’a été saisie par aucun lanceur d’alerte issu des services du renseignement. Il faut, tout de même rappeler que lors des débats parlementaires, le gouvernement a fait interdiction aux agents des services de révéler à la CNCTR les informations couvertes par le secret de défense nationale. Difficile, dans ces conditions, de dénoncer une utilisation non conforme des moyens de renseignement car toute l’activité du renseignement est couverte par le sceau du secret défense…

Pour mémoire, vous trouverez, ci-dessous, la liste des services autorisés à nous surveiller (Décret n° 2015-1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l'article L. 811-4 du code de la sécurité intérieure)

L’indépendance nationale l’intégrité du territoire et la défense nationale

• Les Services du renseignement territorial
• La sous-direction de l'anticipation opérationnelle
• La sous-direction de la police judiciaire
• Les sections de recherches de la gendarmerie nationale
• La sous-direction de la sécurité intérieure
• La sous-direction du renseignement territorial
• Les sections de recherches de la gendarmerie maritime de la gendarmerie de l'air et de la gendarmerie de l'armement
• L'unité nationale et les unités territoriales de recherche et d'appui des services du renseignement territorial

Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère

• Aucun service non spécialisé désigné dans le décret

Les intérêts économiques industriels et scientifiques majeurs de la France

• Aucun service non spécialisé désigné dans le décret

La prévention du terrorisme

• L'Unité de coordination de la lutte antiterroriste (UCLAT)
• La sous-direction antiterroriste
• La Sous-direction de la lutte contre la cybercriminalité
• Les Directions interrégionales et régionales de police judiciaire
• Les services du renseignement territorial
• Les Services régionaux de police judiciaire et les antennes de police judiciaire
• La sous-direction de l'anticipation opérationnelle
• La sous-direction de la police judiciaire
• Les sections de recherches de la gendarmerie nationale
• La sous-direction de la sécurité intérieure
• La sous-direction du renseignement territorial géolocalisation
• La sous-direction des brigades centrales
• La sous-direction des services territoriaux
• Les sections de recherches de la gendarmerie maritime de la gendarmerie de l'air et de la gendarmerie de l'armement

La prévention des atteintes à la forme républicaine des institutions

• L'Unité de coordination de la lutte antiterroriste (UCLAT)
• Les Services du renseignement territorial
• La sous-direction de l'anticipation opérationnelle
• La sous-direction de la sécurité intérieure
• La sous-direction du renseignement territorial

Actions tendant au maintien ou à la reconstitution de groupements dissous

• L'Unité de coordination de la lutte antiterroriste (UCLAT)
• Les services du renseignement territorial
• La sous-direction de l'anticipation opérationnelle
• La sous-direction de la sécurité intérieure
• La sous-direction du renseignement territorial

Prévention des violences collectives de nature à porter gravement atteinte à la paix publique

• Les services du renseignement territorial
• La sous-direction de l'anticipation opérationnelle
• La sous-direction de la sécurité intérieure
• La sous-direction du renseignement territorial

La prévention de la criminalité et de la délinquance organisées

• Le service central des courses et jeux
• La sous-direction de la lutte contre la criminalité organisée et la délinquance financière
• La Sous-direction de la lutte contre la cybercriminalité
• Les Directions interrégionales et régionales de police judiciaire
• Les unités en charge de la police judiciaire au sein des directions déconcentrées de la police aux frontières et des directions de la police aux frontières d'Orly et de Roissy
• Les Brigades mobiles de recherche zonales
• L’office central pour la répression de l'immigration irrégulière et de l'emploi d'étrangers sans titre de la direction centrale de la police aux frontières
• L’unité judiciaire du service national de la police ferroviaire
• La sous-direction de la sécurité intérieure
• Les sûretés départementales
• La sous-direction de la police judiciaire
• Les sections de recherches de la gendarmerie nationale
• La sous-direction du renseignement territorial
• La sous-direction des brigades centrales
• La sous-direction des affaires économiques et financières
• La sous-direction des services territoriaux
• les sections de recherches de la gendarmerie maritime de la gendarmerie de l'air et de la gendarmerie de l'armement

La prévention de la prolifération des armes de destruction massive

• Aucun service non spécialisé désigné dans le décret

Ces services s’ajoutent à la liste fixée par le décret n° 2015-1185 du 28 septembre 2015 portant désignation des services spécialisés de renseignement

• La direction générale de la sécurité extérieure,
• La direction de la protection et de la sécurité de la défense,
• La direction du renseignement militaire,
• La direction générale de la sécurité intérieure,
• La direction nationale du renseignement et des enquêtes douanières
• Le service « traitement du renseignement et action contre les circuits financiers clandestins »

Rappelons que la France a demandé à déroger aux libertés reconnues par la Convention européenne des droits de l’Homme suite à l’état d’urgence consécutif aux attentats du 13 novembre.