Quelques observations sur le projet de loi renseignement 2015

Le projet de loi relatif au renseignement a été présenté le 19 mars 2015 en conseil des ministres et  a pour objectif de fournir une « loi cadre » à l'ensemble des services de renseignement français. Son examen a été accéléré suite aux attentats de janvier 2015, mais ce n'est pas pour autant une loi de circonstances. En effet, la quasi-totalité des mesures décrites dans ce projet de loi est issue des travaux menés au sein de la Fondation Jean Jaurès, depuis plus de quatre ans. Cette « réforme des services de renseignement français » est donc un travail de longue haleine, qui a connu des soubresauts et des refus, et dont ce projet de loi devait constituer l'étape finale.

Une politique publique sans « politique publique » ?

L'exposé des motifs du projet de loi insiste bien sur la volonté ancienne de ses créateurs, de proposer une loi cadre pour l'ensemble des activités de renseignement étatiques, dont le Titre Ier doit établir les fondements, déterminant « les principes et les finalités de la politique publique de renseignement ». Il ne reste toutefois plus grand chose de cette politique publique du renseignement dans la version finale du projet de loi puisque la mention même de « politique publique » qui apparaissait dans le deuxième article du Titre Ier a été supprimée.

On pouvait s'attendre à trouver une réflexion de fond sur le bien fondé de l'existence des services de renseignement dans une république, sur l'éthique des fonctionnaires de l'Etat qui les servent ou encore sur les grandes missions qu'ils doivent remplir. On ne trouve plus qu'un résumé succinct du cycle du renseignement et un rappel au Livre blanc sur la sécurité et la défense nationale : les services « ont pour mission, en France et à l’étranger, la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d' affecter la vie de la Nation. Ils contribuent à la connaissance et à l’anticipation de ces enjeux ainsi qu’à la prévention et à l’entrave de ces risques et menaces ». La définition des intérêts publics dont les services de renseignement sont chargés reste assez limitée et on peut s'étonner que la mention de la « prévention de la prolifération des armes de destruction massive » qui figurait dans l'avant-projet de loi ait été retirée.

En ne poursuivant pas ce qui semble avoir été leur intention première, les créateurs du projet de loi ne définissent pas en profondeur les missions de chacun des services de renseignement. Pour cela, il faudra se référer à des décrets, tels que le récent décret organique portant sur la DGSE qui donne une vision plus complète des missions du renseignement extérieur. En laissant à l'exécutif le rôle de définir les missions des services et en ne l'intégrant pas à ce qui est présenté comme une loi cadre, le gouvernement ne favorise pas un débat de fond au parlement sur l'essence du renseignement, ses enjeux, ses nuances et ses limites. L'exécutif conserve donc la main, par décret, sur la définition des missions régaliennes des services de renseignement, avec la possibilité de les modifier sans vote.

Le retour de la CCAR

En mai 2013, la mission d'information sur l'évaluation du cadre juridique applicable aux services de renseignement avait préconisé la création d'une Commission de contrôle des activités de renseignement (CCAR) qui aurait absorbé les compétences et les moyens de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et qui aurait également été chargée de contrôler de nouvelles pratiques de renseignement à inscrire dans la loi, telles que la pose de balises de géolocalisation ou le recours à des matériels d'interception GPS. L'Elysée avait tranché un mois plus tard en ne retenant pas la création d'une CCAR.

Près de deux ans après cette déconvenue, les artisans du projet de loi reviennent avec la même proposition d'une commission de contrôle aux compétences élargies, rebaptisée Commission nationale de contrôle des techniques de renseignement (CNCTR). L'objectif d'une telle commission est d'encadrer les pratiques intrusives des services de renseignement au-delà des seules interceptions administratives (écoutes téléphoniques et demandes de relevés téléphoniques), pour mieux encadrer certaines techniques déjà employées par les services de renseignement, telles que le recours à des balises GPS, à des micros et des caméras dissimulées, ou à des IMSI-catchers. Il s'agit aussi de préparer l'avenir avec une commission capable d'encadrer des techniques qui ne sont pas encore référencées et qui pourraient faire l'objet d'une légalisation dans les années à venir.

Le projet de loi stipule que les autorisations de recours à ces « techniques spéciales » seront données, pour la plupart, après avis de la commission et sur décision du Premier ministre, ce qui institue un contrôle a priori dont la CNCIS ne disposait pas. Il existe toutefois une exception « d'urgence absolue » où le Premier ministre peut autoriser ces techniques avant l'avis de la CNCTR. Une autre exception de « cas d'urgence liée à une menace imminente ou à un risque très élevé de ne pouvoir effectuer l'opération ultérieurement » prévoit qu'un « dispositif technique permettant la localisation en temps réel » (balise GPS...) puisse être installé sans autorisation ni du Premier ministre, ni de la CNCTR. Autant d'exceptions dont on espère qu'elles soient utilisées avec raison et parcimonie par les services de renseignement.

On notera toutefois que si la CNCTR disposera d'un droit d'accès « aux autorisations, relevés, registres, données collectées, transcriptions et extractions » liées aux techniques spéciales qu'elle encadre, et que ses membres sont autorisés, es qualités, à connaître « des informations ou des éléments d'appréciation » protégés par le secret de la défense nationale, leur droit d'accès à des locaux ou documents pertinents n'est pas illimité.

Compte tenu des prérogatives de contrôle, a priori, a posteriori et sur les autorisations en cours de la CNCTR, parmi lesquelles un droit d'accès aux locaux des fournisseurs d'accès et opérateurs téléphoniques  « où sont mises en œuvre des techniques de recueil du renseignement », des droits d'accès élargies auraient pu lui être confiées. A cet égard, on peut se référer aux pouvoirs des Intelligence Services Commissionner (ISC) et Interception of Communication Commissionner (IOCCO) britanniques, qui bien que n'étant pas des commissions parlementaires mais des personnes qualifiées nommées par le Premier ministre, disposent de missions très proches de celles de la CNCIS et de la CNCTR. On notera que l'ISC dispose de véritables pouvoirs de contrôle au sein des services : il surveille la conformité des perquisitions (y compris électroniques) et des missions de surveillance menées par les services ; il mène à discrétion des visites d'inspection dans les services ; il entend les agents de son choix et de différents grades au sein des équipes; et tout membre des services de renseignement doit lui fournir les documents qu'il requiert, sans qu'aucune limite ne puisse lui être opposée. L'ISC comme l'IOCCO sont dotés de staff compétents et spécialisés qui l'appuient dans ses missions et dans un travail de documentation.

La CNCTR sera dotée de 9 membres, issus du Conseil d'Etat, de la Cour de cassation, de l'Assemblée nationale et du Sénat, ainsi qu'une « personnalité qualifiée en matière de communications électroniques, nommée sur proposition de l'ARCEP ». Lors de ses délibérations, seule la présence de quatre membres de la commission est requise, alors que l'avant-projet de loi prévoyait un minimum de 5 membres présents. Cette disposition qui prévoit un quorum assez faible ne favorise pas le suivi du contrôle à long terme par les membres de la commission et ouvre la porte à un possible absentéisme.

Le projet de loi ne prévoit pas non plus une forte responsabilisation du Premier ministre et des ministres de tutelle des services de renseignement, qui pourront continuer à déléguer à leur gré les questions de renseignement. En effet, la loi prévoit que les autorisations puissent être délivrées par l'une des six personnes spécialement déléguées par le Premier ministre , et que chaque ministre concerné puisse déléguer trois personnes pour émettre les demandes écrites d'autorisations. Les ministres pourront donc, comme ce fut souvent le cas sous la Ve République, continuer à se désintéresser des questions de renseignement et en confier la gestion quotidienne aux membres de leurs cabinets, ou à des conseillers spécialement nommés.

Légalisation de moyens et « boîtes noires »

Depuis la publication du projet de loi, le débat public se centre principalement sur les potentielles atteintes aux libertés individuelles que pourraient entraîner la légalisation de pratiques alégales ou illégales (barrer la mention inutile) déjà en cours au sein des services de renseignement.

Ces pratiques sont notamment : la pose de balises de géolocalisation sur des objets (sacs, vêtements...) ou des véhicules ; l'installation de micros ou de caméras dissimulés (avec ou sans entrée par effraction) ; la captation de données sur un système automatisé de traitements de données (ordinateurs...) à distance ou in situ ; l'interception de communications d'un téléphone mobile, des métadonnées liées à ses communications et sa géolocalisation; l'interception de données et de communications transitant sur des réseaux informatiques (internet...).

La plupart de ces techniques sont déjà mises en œuvre par les services de renseignement français, le plus souvent avec l'aval ou le consentement des plus hauts échelons de leurs hiérarchies, et sans réelle opposition des gouvernements successifs. L'objectif premier de cette « légalisation des techniques » est avant tout d'éviter une condamnation par la Cour européenne des droits de l'Homme (CEDH), dans le cas où le recours à l'une de ces pratiques serait contestée en justice.

Nous ne reviendrons pas point par point sur les risques que font peser la légalisation de ces techniques de renseignement sur la vie privée et les libertés individuelles, et nous renvoyons nos lecteurs à la sélection d'articles en bas de page.

Il convient de noter que l'autorisation de ces pratiques créera une masse considérable de travail pour la CNCTR, qui reprendra déjà à sa charge les missions de la CNCIS. On peut également s'attendre à une augmentation progressive des demandes d'autorisations, au rythme de la légalisation des pratiques déjà en cours au sein des services. Compte tenu du nombre de membres de la Commission (9 membres, avec un quorum de 4 membres), du format restreint de ses équipes et du nombre de demandes d'autorisations qui lui seront adressées, la CNCTR pourrait se retrouver rapidement débordée, et ne consacrer au final qu'un temps et une attention limités à chaque dossier. Chaque citoyen pouvant désormais saisir la CNCTR pour vérification d'une hypothétique surveillance de la part des services de renseignement, le nombre de dossiers pourrait également augmenter, avec des délais de traitement qui ne seraient plus satisfaisants. Il faut d'ailleurs noter que le droit de saisir la CNCTR pourrait être exploité comme vecteur d'une contestation militante, visant à saturer la commission de demandes afin d'en pointer les limites.

Le projet de loi prévoit également la création d'un nouveau dispositif technique visant à détecter les « signaux faibles » de menaces terroristes sur internet. Les acteurs du web, et en premier lieu les fournisseurs d'accès à internet, devront se soumettre à « la mise en œuvre sur les informations et document traités par leurs réseaux d'un dispositif destiné à révéler, sur la seule base de traitements automatisés anonymes, une menace terroriste », dispositifs qualifiés par certains observateurs de « boîtes noires ». Si une menace terroriste était « révélée », le Premier ministre ou l'une des personnes déléguées par lui, peut « décider de la levée de l'anonymat sur les données, informations et documents afférents ».

Il s'agit sans doute là de la disposition la plus conjoncturelle du projet de loi, dans le contexte de la lutte contre les filières jihadistes vers la Syrie et l'Irak, et suite aux attentats de janvier 2015. Au-delà de cette dimension réactive du projet de loi, de nombreux doutes existent sur l'utilité et les risques liés au déploiement de tels dispositifs.

Le projet de loi et son étude d'impact restent assez vagues sur la prise en charge des surcoûts techniques liés à la mise en œuvre de ces dispositifs par les FAI, ainsi que le sur le coût global de la solution technique (software et hardware) qui devra être développée. D'autre part, la détection de signaux faibles repose sur le développement d'algorithmes basés sur un ensemble de mots-clés et de sélecteurs au cœur du dispositif. Le projet de loi n'indique pas quelles autorités seront en charge du choix de ces sélecteurs, mais il s'agira sans doute directement des services de renseignement. Le choix de ces sélecteurs, individuellement ou par corrélation, peut permettre de surveiller des informations qui sortent du cadre de la détection d'une menace terroriste – par exemple pour s'étendre au champ économique – ou poser atteinte à la vie privée d'un individu sans lien avec une menace terroriste. Afin que ce dispositif reste efficient, les sélecteurs doivent être modifiés, ajustés et affinés très régulièrement, ce qui peut permettre d'insérer des sélecteurs d'intérêt très périphériques à la détection de la menace terroriste et de les retirer à la volée. A contrario, si le nombre de ces sélecteurs reste trop restreint, ou si leur processus de sélection est soumis à un contrôle administratif trop lourd qui en retarde l'ajustement, le dispositif technique risque de devenir inefficient, voire inopérant, et de tomber en désuétude pour les services de renseignement, avec la tentation de se concentrer sur des dispositifs extra-légaux ou simplement moins encadrés.

La légalisation de l'ensemble de ces techniques de renseignement pose de toute façon le problème de leur exploitation dans le cadre de la lutte contre le terrorisme qui en est la principale justification conjoncturelle. Dans ce cadre, la lutte contre la menace terroriste sur le territoire national doit aboutir in fine, à une procédure judiciaire. Les éléments de preuves transmis à la justice doivent l'être par l'intermédiaire d'officiers de police judiciaire (OPJ) censés en assurer l'authenticité, la mise sous scellés et la conservation. Les OPJ chargés de la lutte contre le terrorisme sont principalement concentrés au sein de la « sous-direction judiciaire » de Direction Générale du Renseignement Intérieur (DGSI), la DGSE n'ayant pas de prérogative judiciaire. Or, les OPJ de la sous-direction judiciaire de la DGSI ne sont que 70 à 80 et sont les seuls à pouvoir assurer la « transformation » ou « construction » des éléments de preuves, y compris ceux recueillis lors d'interceptions administratives ou hors d'une procédure judiciaire. Ces OPJ sont déjà soumis à une lourde charge de travail, ce qui ralentit fortement le traitement des dossiers liés à la menace terroriste par la Justice. L'adjonction de nouvelles techniques de renseignement « légales » fera donc peser sur eux un ensemble de tâches supplémentaires, et renforcera le goulet d'étranglement que représente l'étape de « judiciarisation » dans la lutte contre le terrorisme.

Un élargissement discret de la communauté du renseignement

Volonté ancienne des rédacteurs de la loi et qui n'a pas pleinement abouti dans la LPM, l'élargissement de la communauté du renseignement en cercles successifs s'immisce dans le titre I de ce projet de loi.

La « communauté du renseignement » ne réunit aujourd'hui que les six « services spécialisés de renseignement » que sont la DGSE, la DGSI, la DRM, la DPSD, la DNRED et TRACFIN. L'appartenance à cette communauté du renseignement conditionne l'accès du service à des notes et synthèses de renseignement, à certains documents protégés par le secret de la défense nationale, à des réunions et structures d'échanges de renseignement, à des prérogatives régaliennes et au recours à des « techniques spéciales ». L'accès à ce cercle fermé est aujourd'hui un enjeu, de fonctionnement mais également de prestige, pour ceux qui n'en sont pas.

Le projet de loi prévoit qu'un décret pris par le Conseil d'Etat, pris avec avis de la CNCTR, élargira le recours aux « techniques spéciales » à des services relevant des ministères de la Défense, de l'Intérieur et de l'Economie « autres que les services spécialisés de renseignement » . Accéder à ces « techniques spéciales » c'est se doter de moyens de recueillir des renseignements au-delà du renseignement de sources ouvertes, de ce que les « services spécialisés » veulent bien partager et au-delà de la légalité encore en cours. Les services en lice pour apparaître dans ce décret ne sont pas cités dans la loi, mais sont déjà bien connus. Ce sont la SDAO (Sous-direction à l'Anticipation Opérationnelle) de la Gendarmerie, arme qui souhaite depuis des décennies être dotée d'un véritable service de renseignement ; le SCRT (Service central du Renseignement Territoriale) et la DRPP (Direction du renseignement de la Préfecture de police de Paris), services héritiers des Renseignement généraux ; et peut-être d'autres services de la DGPN, tels que l'OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication) qui pourrait accéder aux techniques spéciales liées aux systèmes d'information.

En disposant que cet élargissement « par le bas » de la communauté du renseignement se fasse par décret, le projet de loi évite là encore un débat parlementaire en bonne et due forme sur ce qui constitue un service de renseignement, et sur le bien fondé du recours à des techniques de renseignement intrusives. En ne restreignant pas à une liste précise les services des ministères pouvant prétendre à ce nouveau statut, le projet de loi renforce la discrétion de cette nouvelle disposition, mais ouvre également la voie à des nominations potentiellement exotiques, puisque cette absence de restriction pourrait voir – pourquoi pas - un secrétariat général être doté d'une autorisation aux techniques spéciales de renseignement.

Le périlleux encadrement du renseignement extérieur

L'ambition la plus notable de ce projet de loi réside sans doute dans sa volonté affichée d'encadrer le renseignement hors du territoire national. Cette initiative avait été suggérée afin de protéger les droits des citoyens français, mais également les droits de l'homme à l'échelle globale. L'encadrement des activités des services de renseignement à l'étranger trouvera toutefois ses limites, puisque comme l'a déjà rappelé le Conseil d'Etat « les personnes situées à l'étranger échappent à la juridiction de l'Etat ».

Cet encadrement « des mesures de surveillance internationale » ne concerne que les interceptions de communications et non les autres « techniques spéciales » du renseignement. Il s'agit donc d'une définition assez étroite du spectre des missions des services de renseignement hors du territoire national. L'objet du chapitre IV est de régir les « mesures prises par les pouvoirs publics » pour la « surveillance et le contrôle des transmissions qui sont émises ou reçues à l'étranger ».

L'interception et l'exploitation de ces communications seront soumises à autorisation du Premier ministre ou d'une des personnes déléguées par lui. Un décret du Conseil d'Etat stipulera les conditions d'exploitation, de conservation et de destruction des renseignements obtenus. Un autre décret du Conseil d'Etat précisera les modalités de surveillance. Ce dernier décret ne sera pas publié, et on peut le comprendre, afin de garantir la préservation du secret entourant les techniques d'interceptions à l'étranger. Il sera toutefois présenté à la CNCTR et la Délégation parlementaire au renseignement (DPR), ce qui est une bonne chose.

D'autre part, les communications interceptées à l'étranger mais renvoyant à « des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national » seront soumises aux mêmes obligations que les interceptions ayant lieu en France, ce qui serait également une bonne chose, à condition que ces éléments soient systématiquement vérifiés.

En faisant référence de manière très large aux « pouvoirs publics », le projet de loi ne distingue pas spécifiquement les services de renseignement qui seront soumis à une autorisation préalable du Premier ministre afin de mener des interceptions de communication hors du territoire national. La définition des « pouvoirs publics » est déterminante, et pour la Cour des Comptes, « Les pouvoirs publics regroupent des fonctions régaliennes de l’Etat, comme la défense, la justice, la sécurité publique et les forces de l’ordre (armée, police et gendarmerie) ». L'encadrement des interceptions menées par les pouvoirs publics à l'étranger ne concerne donc pas uniquement les services spécialisés de renseignement (DGSE...), mais par extension la DRM et les forces armées.

On imagine mal des unités de transmissions, de guerre électronique, de hussards, de dragons parachutistes ou de sous-mariniers déployés en opérations extérieures, attendre une autorisation du Premier ministre avant de procéder à l'interception de communications.

Il en résulte que soit le projet de loi induit une définition plus restreinte des « pouvoirs publics » que celle de la Cour des comptes, soit le Premier ministre sera amené à signer des autorisations d'interceptions d'ordre très générale pour les forces armées (blancs-seings) - ce qui annulera l'effet de la mesure – soit encore, les unités concernées s'en passeront.

La CNCTR pourra être saisie « par toute personne y ayant un intérêt direct et personnel » d'une vérification concernant l'application de ces dispositions. La vérification à l'étranger sera évidemment particulièrement difficile, et cette disposition pourrait également permettre à des citoyens étrangers – par exemple d'un pays où la France est engagée en opérations extérieures, ou d'un pays ayant des relations diplomatiques difficiles avec la France – de saisir en masse la CNCTR s'ils soupçonnent que leurs communications sont interceptées hors du cadre légal.

Toujours dans le domaine du renseignement hors du territoire national, on notera que le projet de loi souhaite instituer dans son article 10, une excuse pénale « pour exonérer les agents habilités de certains services spécialisés de renseignement de poursuites pénales lorsqu’ils portent atteinte, pour des motifs d’intérêt public limitativement énumérés, à des systèmes d’information situés hors du territoire national ». Il s'agit clairement d'empêcher toute poursuite à l'encontre d'un agent de l'Etat lorsqu'il mène à distance des investigations dans un système de traitement de données, mais également de doter d'un statut spécial les « opérateurs » des services chargés de la lutte informatique, défensive comme offensive.

Un régime spécial est également réservé aux données des « hackers », et autres « bidouilleurs », mais également de ceux cherchant à protéger leurs données par chiffrement (chercheurs, entreprises, journalistes...) lorsqu'elles sont récupérées par les services autorisés, en France ou à l'étranger. Un alinéa stipule que « en cas de stricte nécessité, pour les seuls besoins de l’analyse technique, celles des données collectées qui contiennent des éléments de cyberattaque ou qui sont chiffrées, ainsi que les données déchiffrées associées à ces dernières, peuvent être conservées au-delà de la durée mentionnée à l’alinéa précédent, à l’exclusion de toute utilisation pour la surveillance des personnes concernées. ». Il n'est pas fait mention d'un délai maximum de conservation de ces données à statut spécial, il est donc potentiellement illimité. Il s'agira simplement pour les services de mentionner une nécessaire « analyse technique ».

Le projet de loi relatif au renseignement fait donc preuve d'ambitions assez inégales et devra sans doute faire l'objet de nombreux ajustements avant de présenter un ensemble cohérent et satisfaisant.

A lire sur ce sujet:

Abou Djaffar, « National security is more important than individual will »
Marc Rees, Loi sur le renseignement: la CNIL a-t-elle été écoutée ?
Marc Rees, Loi sur le renseignement: la boîte noire révèle ses ombres
Tristan Nitot, Loi Renseignement: un vendredi à Matignon
Eric Pelletier, Projet de loi renseignement: les réserves du juge antiterroriste Marc Trévidic
La Quadrature du Net, Vague d'opposition au projet de loi "Surveillance"
Jean-Marc Manach, Pourquoi le projet de loi renseignement peut créer une "surveillance de masse" (article du 23/03)

L'avis du Conseil National du Numérique sur le projet de loi renseignement
L'avis de la CNIL sur le projet de loi renseignement