Depuis 2015, la CNCTR est chargée d'examiner les demandes de placement sous surveillance émanant des services de renseignement. Ses rapports annuels permettent d'en savoir plus sur le nombre de personnes surveillées par les services de renseignement, les motifs permettant de les surveiller et les multiples « techniques de renseignement » utilisées à cet effet, auxquels nous avons consacré un premier article.

• 24 000 personnes ont été surveillées par les services de renseignement français en 2023

Au-delà de ces chiffres, les rapports de la CNCTR permettent également d'en apprendre plus sur les rapports qu'entretient la Commission avec les services de renseignement, sur les anomalies et irrégularités qu'elle a pu identifier, et les contre-mesures prises pour y remédier.

La CNCTR relève ainsi qu’en 2023, le nombre d’avis défavorables rendus concernant les demandes de « techniques de renseignement » a connu une « baisse sensible » de 20 % (775 avis défavorables, soit 0,8 % du total, contre 974 en 2022), toutes techniques confondues, par rapport à 2022. Hors demandes de données de connexion, le taux d’avis défavorables représente ainsi 1,2 % du total des demandes, contre 1,6 % en 2022 :

« Ce résultat s’explique sans doute par les progrès dans la maîtrise du cadre légal, avec un important travail de formation mené par les services et une politique de consolidation et de diffusion de sa doctrine par la commission. Il est aussi lié à un développement des échanges entre la commission et les services soit avant la transmission d’une demande estimée délicate, soit lors de son instruction, à l’initiative de la commission. »

« Nous ne sommes pas les ennemis ou les juges des services. Nous n’appartenons pas non plus à la communauté du renseignement », explique le président de la CNCTR, Serge Lasvignes, qui insiste sur « la relation de qualité entre la Commission et les services. Chacun reste à sa place dans le souci de respecter le cadre légal. »

Si les « interceptions de sécurité » (à savoir les écoutes téléphoniques effectuées à la demande des services de renseignement, ndlr) font l'objet d'un contrôle « a priori », les techniques de renseignement plus intrusives (poses de balises GPS, micro, caméras et logiciels espion) font quant à elles l'objet d'un contrôle « a posteriori », explique la CNCTR :

« Ce contrôle a posteriori constitue un enjeu crucial face à la crainte d’un écart qui irait croissant entre les moyens limités de la CNCTR, d’une part, et, d’autre part, l’utilisation de techniques de renseignement de plus en plus intrusives permettant la captation d’une masse de données sans commune mesure avec ce qu’elle était “au temps des écoutes”, le recours des systèmes de pré-traitement et de traitement de ces données de plus en plus sophistiqués et la complexité et la diversité de leurs conditions de stockage. »

Le plus haut niveau de contrôles a posteriori depuis 2015

Pour la CNCTR, le renforcement du contrôle a posteriori constitue « une priorité stratégique à ce stade de la vie de la commission, avec une meilleure sélectivité et un meilleur suivi de la correction des anomalies relevées ». Ce dernier a révélé « la récurrence d’anomalies de gravité variable ».

Avec 136 contrôles sur pièces et sur place réalisés en 2023, tous services confondus, contre 121 en 2021, la commission a atteint « le plus haut niveau de contrôles a posteriori depuis sa création en octobre 2015 ».

• • « Boites noires » : les services de renseignement n’ont pas encore demandé à surveiller les URL

• • Les irrégularités constatées par la CNCTR, le gendarme du renseignement

Cette évolution repose en particulier sur une « augmentation très sensible » du nombre de contrôles consacrés aux mesures de surveillance des communications électroniques internationales. 42 contrôles ont ainsi été effectués sur six services de renseignement du premier cercle (DGSE, DGSI, DNRED, DRM, DRSD, TRACFIN), à comparer avec la trentaine de contrôles réalisés en 2022 et la vingtaine en 2021.

Sur les 94 contrôles consacrés aux techniques de surveillance dites « domestiques », « environ 80 » ont été menés dans les locaux des administrations centrales (principalement ceux des services dits du premier cercle). Comme en 2022, une quinzaine ont été réalisées au sein des implantations territoriales des services ou du Groupement interministériel de contrôle (GIC, qui centralise les techniques de renseignement et emploie un peu moins de 300 personnes, « dont un tiers d’ingénieurs »), y compris en outre-mer.

• • Comment s'organise le contrôle des techniques de renseignement

• • 6 000 comptes informatiques sont connectés aux « grandes oreilles » du renseignement

Des irrégularités « de plus en plus rares »

Si les irrégularités relatives aux modalités de mise en œuvre des techniques (périmètre, champ d’application…) sont « de plus en plus rares », elles sont aussi « les plus sensibles en termes d’atteinte aux libertés individuelles », puisqu'elles ont conduit au recueil de données qui n’auraient pas dû être collectées, souligne la CNCTR.

La Commission relève qu'en matière d’exploitation du produit de ces techniques, les anomalies relevées « ne présentent pas, pour la plupart, un caractère majeur ». Elles posent néanmoins question « au regard de leur récurrence ou de leur persistance d’une année sur l’autre », malgré les mesures prises par les services pour améliorer leurs pratiques.

Ses contrôles a posteriori ont ainsi pu révéler une « introduction non prévue dans un lieu privé à usage d’habitation », alors que cette mesure « n’est ouverte qu’à un nombre limité de services et pour un nombre limité de finalités ».

Elle évoque également des dépassements (« jusqu’à une dizaine de jours ») de la durée d’autorisation de mise en œuvre permise par le cadre légal. D'autres irrégularités relèvent d'une mise en œuvre effective de la technique au-delà de l’objet de la surveillance, « alors que la personne ciblée n’était pas ou plus présente dans le lieu prévu ».

Ces pratiques résultent « le plus souvent », précise la CNCTR, d’une difficulté technique dans le paramétrage du dispositif de surveillance. Elles peuvent aussi venir de contraintes opérationnelles ne permettant pas au service d’intervenir pour limiter la mise en œuvre de la technique au strict nécessaire.

Le caractère « récurrent et persistant » de certaines anomalies

« Plus importantes quantitativement », les anomalies constatées dans l’exploitation des données constituent des « atteintes d’une gravité moindre » que celles relevées dans la mise en œuvre des techniques. Elles portent en effet sur « des données dont les services disposent légitimement puisqu’elles ont régulièrement été collectées ».

« Néanmoins », précise le rapport, leur « caractère récurrent et persistant conduit à appeler les services à poursuivre leurs efforts en matière de formation et de contrôle interne ».

La CNCTR évoque deux cas (contre 19 en 2022) de dépassement de la durée légale de conservation des données brutes obtenues. Dans le premier, les données avaient été conservées sur un serveur étrangement « non soumis à un script d’effacement automatique ». Dans le second, le délai de destruction n’avait pas été respecté « parce que le point de départ du délai de conservation était erroné ».

Comme en 2022, l’irrégularité la plus fréquemment relevée consiste en des retranscriptions d’éléments « ne présentant aucun lien avec la ou les finalités ayant justifié le recueil de renseignements, ni même, dans des cas plus rares, avec la personne surveillée ».

Or, relève la CNCTR, l’enjeu de protection de la vie privée « est d’autant plus prégnant » que, contrairement aux données dites « brutes » (dont les délais de conservation sont « contraints »), les transcriptions et extractions « peuvent être conservées tant qu’elles demeurent indispensables à la poursuite d’une des finalités légales ».

Ainsi, et parmi les anomalies constatées en 2023, deux ont été relevées dans le cadre de la surveillance de personnes exerçant une profession ou un mandat dits « protégés » (parlementaires, avocats, magistrats et journalistes). La commission avait constaté des retranscriptions d'éléments « directement liés à leur profession ».

Reste qu'en 2023, l’ensemble des productions pour lesquelles la CNCTR a confirmé sa demande de destruction à l’issue du dialogue avec le service « ont été détruites dans des délais satisfaisants ».

De nombreux fichiers décentralisés, sans traçabilité

Dans une note de bas de page, la CNCTR précise qu'elle dispose d'applications informatiques sécurisées « lui permettent d’accéder, à tout moment, directement depuis ses locaux, à l’ensemble des transcriptions réalisées à partir des interceptions de sécurité ainsi qu’à celles issues des techniques de captations de paroles et d’images qui sont centralisées » par le GIC.

Elle souligne aussi qu'avant même sa mise à disposition aux agents du service concerné, « tout projet de transcription ou d’extraction est soumis à la validation du bureau contrôle du GIC ». Ce dernier s’assure que les informations qui y figurent se rapportent bien à la cible désignée dans l’autorisation et que la traçabilité de cette exploitation est correctement remplie.

De plus, une seconde vérification est également opérée sur l’adéquation entre le contenu même de la « production » et l’objet de la surveillance. Lorsque le GIC identifie une difficulté, il engage alors un dialogue avec le service aboutissant à la validation et à la diffusion de la « production » ou, à l’inverse, à la suppression des contenus litigieux.

« Nombreux sont encore les agents qui persistent à travailler sur des fichiers propres non centralisés, à partir de leur propre poste de travail, sans aucune traçabilité », déplore la CNCTR. Ce, malgré le développement de systèmes d’information dédiés à l’exploitation des données issues des techniques de renseignement.

Un constat qualifié de « préoccupant », d'autant qu'il avait déjà été dressé en 2022, et qu'il « met en lumière un risque de dispersion peu voire non contrôlée des données collectées ».

Des contournements de la surveillance internationale

À plusieurs reprises en 2023, la CNCTR a relevé que des services avaient procédé, « en dehors des exceptions légales », à des recherches au sujet d'identifiants techniques (n° de téléphone, voire adresse email) rattachables au territoire national et en communication avec des personnes en France.

La CNCTR a également découvert, « dans plusieurs services », des transcriptions faisant état de communications intervenant entre deux personnes situées sur le territoire national au moment de l’interception. Or, les mesures de surveillance des communications électroniques internationales (qui reposent sur la surveillance, par la DGSE, des câbles sous-marins) ne permettent pas, « sauf exceptions expressément prévues par la loi », de cibler ni d’intercepter des communications nationales.

La Commission a découvert, « à trois reprises », que l’exploitation des communications « excédait le périmètre » des autorisations délivrées par le Premier ministre. Des irrégularités en nombre limité, mais qu'elle qualifie de « manquements très sérieux ».

« Tout comme l’an passé », précise la CNCTR, les anomalies les plus fréquemment relevées, « mais également les plus bénignes », consistent en la consultation ou l’exploitation de données que l’agent ne rattache pas à l’autorisation pertinente.

Des « anomalies » d'autant plus étonnantes que l’exploitation des données issues de la surveillance des communications électroniques internationales est pourtant « réalisée par des agents spécialisés, à partir d’applications informatiques spécifiques dont les droits et les conditions matérielles d’accès sont strictement limités et contrôlés ».

Les services évoquent pour leur part des « négligences de la part des agents exploitants ou des erreurs de manipulation de l’outil informatique ». Et ce, même si l’outil informatique assiste l’utilisateur « en lui proposant automatiquement, à chaque nouvelle requête, l’autorisation d’exploitation invoquée pour la requête précédente ».

Des irrégularités et anomalies répétées, depuis 8 ans

« Tout comme en 2022, l’intégralité des constats et analyses dressés par la commission cette année a été partagée par les services », relève la CNCTR. Pour autant, les irrégularités et anomalies décelées « témoignent de difficultés persistantes d’appropriation des bonnes pratiques par certains agents des services de renseignement » :

« Plus de huit ans après l’entrée en vigueur de la loi du 24 juillet 2015, la commission constate que de mêmes anomalies et irrégularités persistent durablement d’une année sur l’autre. Cette situation montre que les mesures préventives déployées par les services sont insuffisamment efficaces. »

La répétition de ces anomalies, « même de faible gravité », témoigne de la persistance d’ « erreurs élémentaires résultant de la non-intégration, dans les méthodes de travail quotidiennes, des rappels et recommandations de la commission qui ne sont suivis d’effets qu’au coup par coup ».

Un constat qu'elle qualifie de « préoccupant » dans un contexte d’ « augmentation substantielle » du volume des données recueillies au moyen de techniques de renseignement « particulièrement attentatoires à la vie privée et de complexification des systèmes assurant leur traitement ».

• • Meredith Whittaker (Signal) : « L’IA est un outil des puissants contre ceux qui ont moins de pouvoir »

Un « GIC virtuel » au profit de la CNCTR, et des services

« L’année 2023 a donné lieu à des avancées importantes pour l’efficacité du contrôle », se félicite enfin la CNCTR, pour qui « trois chantiers sont à ce titre notables ». En premier lieu, le dialogue technique instauré avec les services a conduit à lever plusieurs « angles morts » du contrôle a posteriori :

« La transmission de statistiques techniques permet à la CNCTR d’obtenir un état actualisé de la mise en œuvre des recueils autorisés et de mesurer le volume de données recueillies en amont de toute capitalisation par le service. Cette accélération de la mise à disposition des informations, autorisant la commission à anticiper ses contrôles sur pièces et sur place, lui permet de mieux cibler son intervention. »

Alors qu’elle ne disposait jusqu’en octobre 2023 d’ « aucun accès aux données ou aux traces de recherches effectuées par les agents des services » en matière de surveillance internationale, la CNCTR est désormais équipée de deux postes informatiques dédiés. Ils lui permettent d’accéder aux transcriptions des communications dites mixtes (renvoyant pour partie à des numéros d’abonnement ou à des identifiants techniques rattachables au territoire national) :

« Résultat d’un travail de concertation mené entre la CNCTR, le GIC et la direction générale de la sécurité extérieure, la mise à disposition de ces équipements constitue un progrès marquant dans le contrôle de la surveillance internationale permettant à la commission d’accéder désormais directement aux renseignements recueillis. »

Une possibilité nouvelle de centralisation des données recueillies a par ailleurs été ouverte par le GIC au cours de l’année 2023, afin d'offrir un cadre sécurisé pour l’intégration des données, leur manipulation et la réalisation d’opérations de transcriptions et d’extractions de données en matière de recueil et de captation des données informatiques (RDI).

Un poste informatique directement attaché à ce réseau spécifique est en effet installé depuis la fin 2023 dans les locaux de la commission afin que la CNCTR « bénéficie directement de ces travaux qui lui permettent un accès immédiat aux données collectées ».

À la demande de la CNCTR et sur instruction du Président de la République au Coordonnateur national du renseignement et de la lutte contre le terrorisme (CNRLT), un travail commun a été mené entre les directions techniques de la DGSE et de la DGSI. D'ici 2027, le GIC sera ainsi en mesure de centraliser l’ensemble des données issues de la technique de recueil des données informatiques (RDI) :

« Le projet finalement arrêté consiste à rassembler la totalité des données collectées sur les systèmes du GIC. La commission pourra ainsi y accéder à distance dans des conditions de sécurité garanties. Les services pourront eux-mêmes exploiter les données recueillies également à distance. »

• Contrôle des logiciels espions : l’Élysée trouve un compromis avec les DGSE, DGSI et CNCTR

Les premières études de faisabilité de ce « GIC virtuel » démarreront au second semestre 2024 avec un objectif de mise en service des nouveaux outils courant 2027.

Il mettra également à disposition les données recueillies par les traditionnelles écoutes téléphoniques que les services ne pouvaient jusqu’ici exploiter qu’en se déplaçant physiquement dans les locaux du GIC, aux Invalides à Paris, ou dans l'une de sa quarantaine d'antennes régionales disséminées sur le territoire.