La Commission nationale de contrôle des techniques du renseignement présente aujourd’hui son troisième rapport annuel. Elle dresse à cette occasion un panorama des chiffres de la surveillance en 2018, non sans dévoiler une série de recommandations à destination du législateur. 

L'institution introduite par la loi Renseignement de 2015 a pour mission de rendre des avis sur les différentes techniques du renseignement mises en œuvre sur demande du Premier ministre. Ces avis sont dits « simples », en ce sens que le chef du gouvernement peut toujours ignorer leur sens.

Néanmoins, cette année encore, il les a toujours suivis. Dans ce contrôle a priori, le taux d’avis défavorables de la CNCTR s’est établi l’an passé à 2,1 %, en recul par rapport à 2017. Cela représente 569 dossiers et même un total de 622 si l’on tient compte des demandes d’accès aux données de connexion en temps différé.

En tout, 22 038 personnes ont fait l’objet d’une surveillance. C’est 3 % de plus que l’année précédente. Essentiellement, pour des faits de terrorisme (39 % des cas).

Les demandes de techniques du renseignement ont augmenté de 4 % sur la même période. « La prévention du terrorisme demeure le principal motif de recours » insiste Francis Delon, président de la CNCTR. La prévention de la criminalité organisée et celle de l’ingérence étrangère suivent.

Remarquons que « la part des demandes invoquant la prévention des violences collective de nature à porter gravement atteinte à la paix publique est en progression ». Son poids est passé de 6 à 9 %.

Un effet gilets jaunes ? « La CNCTR rappelle qu’elle se montre particulièrement vigilante sur les demandes fondées sur cette finalité » nuance le rapport. Ainsi, « la prévention de violences collectives ne saurait être interprétée comme permettant la pénétration d’un milieu syndical ou politique ou la limitation du droit constitutionnel de manifester ses opinions, même extrêmes, tant que le risque d’une atteinte grave à la paix publique n’est pas avéré ».

Dans le tableau détaillant ces mesures, on remarque que la géolocalisation en temps réel, les interceptions de sécurité et les « autres techniques du renseignement » sont en forte hausse. Néanmoins, l’accès aux données de connexion en temps différé, qui vise à identifier des abonnés ou à recenser les numéros d’abonnement, constitue le plus fort volume (28 741 avis rendus).

Deux nouvelles boites noires installées, trois activées

Au détour de la page 66 du rapport, on découvre que deux nouvelles « boites noires » ont été autorisées en 2018. « À la fin de l’année 2018, trois algorithmes avaient donc été autorisés depuis l’entrée en vigueur du cadre légal le 3 octobre 2015 et étaient en fonctionnement ».

L’article 851 - 3 du Code de la sécurité intérieure ici en cause est celui qui a suscité le plus de critiques et d’inquiétudes lors des débats, les opposants dénonçant un système de surveillance de masse ou en tout cas d’ampleur.

Ce mécanisme autorise les services du renseignement à aspirer un volume de données de connexion (les « informations et documents ») auprès de n’importe quel intermédiaire en ligne (hébergeurs, FAI, opérateurs, services en ligne…) pour les faire analyser par un algorithme classé secret-défense. L’espoir ? Détecter « des connexions susceptibles de révéler une menace terroriste ».

Le premier algorithme qui fut autorisé en octobre 2017 était donc toujours en route à la fin de l’année 2018. Or, l’autorisation initiale, comme le veut l’article du CSI, ne valait que pour 2 mois. Cela signifie donc qu’il a été depuis régulièrement autorisé depuis plus d’un an. Il n’y a évidemment aucun moyen de savoir les données aspirées, ni à quel rythme ni à quel endroit (FAI, plateforme, prestataire de cloud…).

10 562 interceptions de sécurité

Le compte-rendu de l’activité de la CNCTR révèle aussi un intéressant panorama sur le contingentement des interceptions de sécurité (les « écoutes » qui peuvent concerner la voix mais également les correspondances électroniques).

Selon l’article L852-1, le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement. En 2014, ce chiffre était de 2 190, en 2015, 2 700. Il a franchi la barre des 3 000 en 2017 et s’étend en 2018 à 3 600

En tout, il y a eu 10 562 interceptions de sécurité sur toute l’année (sur le fondement du 1 de l’article 852 - 1 du CSI). Le chiffre est en hausse de plus de 20 % par rapport à 2017.

Un contrôle a posteriori facilité par une meilleure centralisation  

S’agissant du contrôle a posteriori, la CNCTR est compétente pour inspecter les données collectées conservées selon des délais fixes, et les extractions des transcriptions, stockées tant qu’elles demeurent indispensables à la poursuite des finalités qui les ont justifiées (lutte contre le terrorisme, etc.)

Elle a mené cette année 2018 deux à trois contrôles sur pièces et sur place par semaine. Néanmoins, faute de centralisation totale, elle a encore été obligée d’effectuer des déplacements en France, s’agissant des recueils par IMSI catchers, captation de paroles et d’images dans un lieu privé et recueil de données informatique par cheval de Troie.

« Pour ces techniques caractérisées par une collecte décentralisée du renseignement, les modalités de stockage des données recueillies demeuraient disparates ». La situation s’est néanmoins améliorée au fil du temps, même si un stockage décentralisé perdure, « faute de pouvoir concevoir et financer un réseau informatique susceptible d’acheminer de manière sûre des données volumineuses ».

Pour la première fois, la CNCTR a recommandé à un service « l’interruption d’une technique de renseignement » et la destruction des informations collectées. La recommandation a été suivie « immédiatement ». La surveillance concernait « un groupe d’individus » sans que l’on sache les motifs ou le secteur concerné.

Une année 2018 riche en réformes, les suggestions de la CNCTR

La loi renseignement a subi plusieurs réformes depuis 2015, six exactement avec notamment l’inclusion du pénitentiaire dans le champ du renseignement, l’encadrement de la surveillance hertzienne suite à une censure du Conseil constitutionnel, ou encore la prolongation jusqu’au 31 décembre 2020 de l’expérimentation des boites noires pour détecter des menaces terroristes sur les réseaux. 

S’y ajoutent encore la consultation obligatoire de la CNCTR sur toutes les demandes d’exploitation des communications internationales interceptées, en application de la loi de programmation militaire 2019 - 2025 (notre actualité). En 2018, 971 avis ont été rendus à ce titre.

Cette même loi a également modifié l’article L2371-2 du Code de la Défense pour permettre à l’armée de faire des tests de matériels de surveillance en France. Avec cet encadrement, ces essais ne sont plus des infractions pénales alors qu’ils « sont susceptibles d’entraîner l’interception résiduelle de communications privées », dixit la CNCTR.

Sur le terrain réglementaire, un décret publié le 30 juin 2018 a offert de nouveaux outils d’espionnage aux agents de la préfecture de police de Paris, chargés de la lutte contre la criminalité organisée liée à l'immigration irrégulière. La surveillance hertzienne a été autorisée à de nombreux services du second cercle, en fonction des finalités poursuivies par leurs activités (voir notre tableau, ci-dessous). À chaque fois, l‘exécutif a suivi à la lettre les recommandations de la commission sur les avant-projets de décrets.

Alors que des voix se font entendre en commission des lois à l’Assemblée nationale en faveur d’une réforme de la loi de 2015 sur le Renseignement, la CNCTR a suggéré aussi plusieurs modifications législatives :

1. Prévoir des délais de conservation identique pour les images (120 jours) et paroles (30 jours) captées dans des lieux privés, puisque les caméras captent ces deux sources.
2. Autoriser un seul membre de la CNCTR à rendre un avis au Premier ministre s’agissant du retrait d’un dispositif de surveillance. Actuellement, la collégialité est de rigueur.
3. Supprimer l’avis préalable de la CNCTR pour les demandes d’identification d’abonnés ou de recensement de numéros d’abonnement. Pour la commission, ces actes préparent une surveillance, elles ne sont pas à ses yeux des techniques intrusives. Le GIC (groupement interministériel de contrôle) pourrait intervenir en tant que « conseiller ». Le rôle de la CNCTR resterait inchangé dès lors qu’est en cause un parlementaire, un avocat, un magistrat ou un journaliste.
4. Encadrer le partage des informations collectées avec les services étrangers qui ne fait actuellement l’objet d’aucun contrôle. Il est du coup impossible de s’assurer que les données transmises à l’étranger sont par exemple supprimées dans les temps impartis par le Code de la sécurité intérieure.
5. Élargir le droit de toute personne de saisir le Conseil d’État en matière de surveillance internationale. Cette procédure n’est aujourd’hui ouverte qu’à la CNCTR. « La commission doute, s’agissant du droit au recours, de la pertinence d’une distinction fondée sur le rattachement au territoire national des identifiants techniques concernés ». Et pour cause, des personnes françaises, dont les identifiants sont rattachés à l’étranger, sont privées en l’état actuel d’un droit au recours direct.

• Télécharger le rapport annuel de la CNCTR (PDF)