(Next Inpact) La Commission nationale de contrôle des techniques de renseignement (CNCTR) a remis ce matin son rapport annuel. Un document de 200 pages dans lequel nous nous sommes plongés.

Ce rapport était attendu le 1er octobre 2016, un an après la nomination de son président. C’est donc avec un retard de deux mois et demi que sa copie a été remise. « La CNCTR a pu constater dans sa pratique quotidienne que les lois du 24 juillet 2015 et du 30 novembre 2015 ont apporté un net renforcement de l’encadrement de l’activité des services de renseignement par rapport à la situation antérieure » se félicite-t-elle dans son avant-propos. 

Selon la loi du 24 juillet 2015 sur le renseignement, le successeur de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) est une autorité administrative indépendante chargée de formuler un avis sur les projets de surveillance des communications nationales. 

Cette commission intervient également a posteriori pour contrôler la légalité des données glanées aussi bien sur le territoire qu’à l’égard des communications internationales, cette fois en application de la loi du 30 novembre 2015. 

Le fin du fin des finalités 

Sans revenir dans les méandres de ces textes complexes, l’intervention de cette instance a été rendue nécessaire compte tenu du cadre très généreux offert aux services. Les agents peuvent en effet mobiliser des outils de surveillance parfois très intrusifs, quand ils ne sont pas massifs, dès lors qu’est justifiée la poursuite de l’une de ces finalités : 

• L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
• Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
• Les intérêts économiques, industriels et scientifiques majeurs de la France ;
• La prévention du terrorisme ;
• La prévention des atteintes à la forme républicaine des institutions, des actions tendant au maintien ou à la reconstitution de groupements dissous, des violences collectives de nature à porter gravement atteinte à la paix publique ;
• La prévention de la criminalité et de la délinquance organisées ;
• La prévention de la prolifération des armes de destruction massive.

Ces finalités n’ont pas seulement été démultipliées par la loi Renseignement. Les mêmes services peuvent recourir à ces techniques aussi bien pour assurer « la défense » que « la promotion » des « intérêts fondamentaux de la Nation ». Leur démarche peut donc être préventive… comme offensive. 

Toujours sur ces finalités, le rapport met à jour quelques éléments de doctrine de l’autorité. Par exemple, s’agissant des violences collectives, elle considère que « cette finalité ne saurait être interprétée comme permettant la pénétration d’un milieu syndical ou politique ou la limitation du droit constitutionnel de manifester ses opinions, y compris extrêmes ». Mais son mur devient poussière dès lors qu’existe un risque avéré d’atteinte grave à la paix publique. 

Son avis préalable n’est qu’un avis simple. Le Premier ministre peut donc le suivre docilement, ou passer outre en prenant alors le risque cette fois d’une possible action devant le Conseil d’État. Une telle hypothèse ne s’est jamais produite depuis l’entrée en action de cette vigie, le 1er octobre 2015. 

Un nombre impressionnant de services du renseignement

Cette autorité, forte de quinze agents et d’un budget de près de 3 millions d’euros, a du pain sur la planche. En plus de la vérification des finalités, elle doit ausculter les activités des services du renseignement du premier cercle et surtout du second cercle, dont le renseignement pénitentiaire.

Ses missions se compliquent lorsqu’on sait que les capacités des services varient suivant les techniques. Dans le rapport, on apprend d’ailleurs que « la CNCTR a d’une manière générale souhaité limiter l’accès aux techniques les plus intrusives aux seules unités disposant des capacités à les mettre en œuvre ». Ses vœux au Premier ministre n’ont cependant pas été entendus. Le gouvernement a finalement étendu plus largement l’accès des services du « second cercle » aux techniques programmées par la loi... La Commission veut néanmoins rassurer les inquiets : ces services, essentiellement répartis dans toute la France, n’ont eu que très rarement recours à ces techniques en pratique.

Les prémices de la boite noire

Parmi les techniques du renseignement, la question du traitement des données de connexion par algorithme (L. 853-3) fait office d’un développement particulier. L’occasion d’y revenir : cette « boite noire » est censée détecter la présence d’une menace terroriste à l’aide des seules données de connexion aspirées chez les intermédiaires techniques. La menace détectée, une autre procédure prend le relai pour relever l’identité des personnes mises à l’index par l’algorithme.

Mi-juillet, ce chantier n’était toujours pas vraiment lancé. Depuis, les choses semblent évoluer. « Saisie d’une demande d’avis par le Premier ministre (…), la commission a examiné le projet d’architecture générale pour la mise en oeuvre de ces traitements automatisés » révèle le rapport, p.40.

Cette analyse a donné suite à une délibération classifiée, en date du 28 juillet 2016. La CNCTR y a émis plusieurs recommandations touchant à la procédure de collecte des données de connexion, aux caractéristiques des données collectées, à la durée de leur conservation, aux conditions de leur stockage et à la traçabilité des accès.

Ces témoignages d’une avancée vers un système opérationnel montrent surtout que cet outil magique est encore loin d’une version bêta. Pas étonnant donc que la Commission n’ait été saisie d’aucune demande d’identification d’une personne repérée comme menaçante… Selon elle, d'ailleurs, « la loi fait obstacle à ce que les agents des services de renseignement puissent accéder aux données collectées tant que le Premier ministre n’a pas autorisé l’identification d’une personne ».

Début d'un contrôle a priori à l’international

À l’international, on l’a vu, seul le contrôle a posteriori existe. Le Premier ministre a cependant demandé que la CNCTR exerce aussi un contrôle a priori, du moins pour les interceptions de communications reçues ou émises depuis l’étranger (le point III de l’article L.854-2, lequel autorise de telles pratiques en frappant des zones géographiques, des organisations ou groupes de personnes).

Un tel contrôle, expérimenté jusqu’au 31 mars 2017, n’a pas été prévu par la loi. Il est donc une création purement administrative qui pourra s’évaporer du jour au lendemain. D’ici cette date, « la commission se prononcera sur la pérennisation de ce contrôle, notamment au regard des conditions dans lesquelles il intervient et de l’intérêt qu’il présente pour la protection des libertés publiques ». Les prémisses d’une future modification législative ?

Si on peut le saluer, il ne faut pas se méprendre sur la portée de cette création « prétorienne ». Elle ne concerne pas, par exemple, le déploiement des algorithmes, qui à ce niveau, sont ouverts à toutes les finalités…

Déluge de chiffres

Le rapport est gorgé de chiffres. Par exemple, entre le 3 octobre 2015 et le 2 octobre 2016, la CNCTR a rendu 48 208 avis relatifs à l’accès aux données de connexion en temps différé (L. 851-1).

L’essentiel visait à identifier des numéros d’abonnement ou de connexion à des sites, voire à glaner l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée. Dans ce lot, 15 211 demandes ont aussi eu pour ambition d’ « obtenir la liste des appels et des correspondants de la personne surveillée ». Ce sont les fameuses Fadet, pour « facture détaillée ».

Toujours sur ce stock, 6,9 % de ces demandes ont été défavorables. Des avis négatifs tous suivis par le Premier ministre, assure la Commission.

Pour la géolocalisation en temps réel (L.851-4), 2 127 avis ont été rendus, en nette progression par rapport à rapport à 2015 (+87 %). S’agissant des interceptions de sécurité (L. 852-1) le chiffre s’établit à 8 538 avis, sachant que pour l’année, le gouvernement a fait exploser le contingentement en vigueur.

À l’instant T, la Défense, l’Intérieur et le Budget peuvent en effet réaliser 2 700 IS (interceptions de sécurité) concomitamment. Le chiffre était de 2 190 en 2014, 1 840 en 2009... En raison des attentats, la majorité des IS concerne la prévention du terrorisme, contrairement aux autres années où la prévention de la criminalité organisée remportait la palme.

Enfin, 7 711 avis ont concerné les autres techniques (balises, IMSI catcher, captation des données informatiques, etc.).  La CNCTR n’a pas ventilé ces informations, expliquant sa timidité par le secret de la défense nationale…

 Crédits : CNCTR

20 282 personnes surveillées (et même plus)

Elle profite néanmoins de l’occasion pour apporter un nouvel indicateur : le nombre d'individus surveillés. « Du 3 octobre 2015 au 2 octobre 2016, 20 282 personnes ont fait l’objet d’une technique de renseignement au moins ».

Cependant, ce chiffre est en dessous de la réalité puisqu’il ne comprend pas « les accès aux données de connexion en temps différé prévus au deuxième alinéa de l’article L. 851-1 du code de la sécurité intérieure, principalement l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques ainsi que le recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée ».

9 624 personnes (47 % du total) « ont été surveillées au titre de la prévention du terrorisme », contre 5 848 sur le terrain de la prévention de la criminalité organisée ou des violences collectives.

Le maigre contrôle a posteriori de la CNCTR

S’agissant du contrôle a posteriori, le Groupement interministériel de contrôle (GIC) centralise les recueils de données de connexion en temps différé, les géolocalisations en temps réel et les interceptions de sécurité dans ses locaux. La CNCTR y dispose d’un accès direct pour vérifier de la conformité des renseignements collectés avec les finalités et l’autorisation initiale.

Pour les autres techniques, balisage, ISMI catcher, captation dans les lieux privés, etc. tout se corse puisqu’il s’agit de techniques décentralisées. Dans son rapport, la Commission demande une nouvelle fois que la centralisation des renseignements collectés soit organisée. Un élément « indispensable » pour rendre effective son intervention.

Cette critique, déjà émise en mars tout comme en octobre dernier, révèle la complexité de la tâche… Et que ce chantier est là aussi toujours en cours.

Faute de solides solutions pour sécuriser ces flux sensibles, prévues dans quelques années, la CNCTR plaide pour des dispositifs transitoires. « Ainsi pourraient être constitués des lieux de stockage au sein des administrations centrales des services de renseignement, prenant la forme de serveurs sécurisés aux droits d’accès rigoureusement encadrés ». En attendant, les quelques agents de la CNCTR sont contraints de courir de Roubaix à Marseille, de Brest à Strasbourg, pour espérer donner ses lettres de noblesse à leur mission.

Plus intéressante encore : alors que des milliers d’opérations de surveillance ont été avalisées, la CNCTR n’a mené qu’un contrôle « sur pièce et sur place par semaine entre le 3 octobre 2015 et le 1er mai 2016 puis de deux contrôles par semaine à partir de cette date ». S’agissant de la surveillance internationale, le nombre de contrôles cette fois mensuels est égal à deux. « La commission vérifie que les communications concernées sont interceptées, conservées et exploitées conformément aux dispositions des articles L. 854-1 à L. 854-8 du code de la sécurité intérieure », indique-t-elle très brièvement page 82 de son rapport, sans s'étendre. 

Les recommandations de la CNCTR

Outre l’encadrement des boites noires et la question de la surveillance hertzienne (voir notre actualité), la CNCTR s’est arrêtée sur une bizarrerie née de l’article L.871-2 du Code de la sécurité intérieure.

Selon cette disposition, le Premier ministre peut « requérir, auprès des personnes physiques ou morales exploitant des réseaux de communications électroniques ou fournisseurs de services de communications électroniques, les informations ou documents qui leur sont nécessaires (…) pour la réalisation et l'exploitation des interceptions autorisées par la loi ».

Or, cette procédure qui ne passe pas par le cap de l’avis préalable de la CNCTR, s’entrechoque avec le L. 852-1 du même Code. Dédié aux interceptions, il prévoit cette fois un tel avis !

La Commission a recommandé au Premier ministre de faire prédominer le L.852-1 du CSI afin de faire jouer le contrôle a priori. Bingo : « Par une note du 20 mai 2016, le Premier ministre a décidé de suivre la recommandation de la CNCTR et fait savoir aux services de renseignement qu’aucune autorisation de mise en oeuvre de l’article L. 871-2 du code ne serait accordée à l’avenir en matière de police administrative ».

Le rapport souligne enfin que jamais cette autorité n’a été saisie par aucun lanceur d’alerte issu des services du renseignement. Ce constat peut s’expliquer : ou bien les services respectent à la lettre la loi du 24 juillet 2015. Ou bien aucun agent n’a été en capacité de souffler des éléments déterminants à ses oreilles. On rappellera en effet qu’en dernière ligne droite des débats parlementaires, le gouvernement a fait interdiction à ces personnes de révéler à la CNCTR les informations couvertes par le secret de défense nationale. Rien donc d’étonnant à ce que les compteurs restent à zéro…

• Télécharger le premier rapport annuel de la CNCTR (PDF)

Publiée le 14/12/2016 à 09:10