CHAPITRE II
DISPOSITIONS
RELATIVES AU RENSEIGNEMENT
Article 7
Encadrement de l'exploitation et de la transmission
des
renseignements entre services et aux services,
suivant les finalités
ayant justifié leur obtention
L'article 7 du projet de loi définit le cadre juridique de l'exploitation et de la transmission d'informations entre les services de renseignements, en fonction des finalités et des techniques ayant justifié ou permis leur obtention. Il redéfinit également le cadre de la transmission d'informations aux services de renseignement par les autorités administratives.
La commission a adopté cet article, moyennant quelques précisions rédactionnelles.
La transmission d'informations au sein des services de renseignement et entre ces services est une des conditions permettant d'assurer l'efficacité de leur action pour la sauvegarde des intérêts fondamentaux de la Nation.
1. L'exploitation des renseignements recueillis et leur transmission aux autres services de renseignement
1.1. Une exploitation et une transmission aujourd'hui peu définies
L'autorisation de mise en oeuvre d'une technique de renseignement est encadrée par le code de la sécurité intérieure : l'autorisation est délivrée à un service de renseignement donné, au titre d'une ou plusieurs finalités figurant dans les missions de ce service, pour la technique envisagée.
La question de l'exploitation du renseignement collecté est quant à elle traitée implicitement : l'article L. 822-3 du code de la sécurité intérieure dispose en effet : « Les renseignements ne peuvent être collectés, transcrits ou extraits pour d'autres finalités que celles mentionnées à l'article L. 811-3. » Ces dispositions, en n'exigeant pas que l'exploitation par le service du renseignement collecté corresponde exclusivement à la finalité ayant justifié la mise en oeuvre de la technique, autorisent les services à exploiter des renseignements collectés pour une autre des finalités relevant de leurs missions .
Les finalités poursuivies par les services de
renseignement
(article L. 811-3 du code de la sécurité
intérieure)
Pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre [livre VIII du code de la sécurité intérieure] pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants :
1° L'indépendance nationale, l'intégrité du territoire et la défense nationale ;
2° Les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
3° Les intérêts économiques, industriels et scientifiques majeurs de la France ;
4° La prévention du terrorisme ;
5° La prévention :
a) des atteintes à la forme républicaine des institutions ;
b) des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l'article L. 212-1 ;
c) des violences collectives de nature à porter gravement atteinte à la paix publique ;
6° La prévention de la criminalité et de la délinquance organisées ;
7° La prévention de la prolifération des armes de destruction massive.
Les échanges de renseignements entre services ne font quant à eux pas l'objet de dispositions précises dans le code de la sécurité intérieure . L'article L. 863-2 du code de la sécurité intérieure y fait malgré tout référence, en prévoyant que les services spécialisés du renseignement et les services relevant du second cercle « peuvent partager toutes les informations utiles à l'accomplissement de leurs missions ». Les modalités et les conditions dans lesquelles ces échanges peuvent s'effectuer sont renvoyées par cet article à un décret en Conseil d'État, qui n'a cependant jamais été pris.
La délégation parlementaire au renseignement relevait en juin 2020 que « l'absence de cadre réglementaire n'a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c'est-à-dire d'extractions et de transcriptions, mais également de renseignements collectés, c'est-à-dire de données brutes recueillies dans le cadre d'une technique de renseignement ». 29 ( * )
Elle faisait ainsi état dans son rapport d'une procédure dite d'extension , qui permet la communication de transcriptions effectuées au sein du groupement interministériel de contrôle (GIC) à un service autre que celui qui a fait la demande initiale de technique de renseignement, donnant lieu à une information de la commission nationale de contrôle des techniques de renseignement (CNCTR). La délégation déplorait de n'avoir pu obtenir davantage d'informations sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de renseignements collectés, et estimait en conséquence urgent qu'un encadrement précis de ces échanges soit réalisé .
Cet encadrement est d'autant plus urgent qu'une question prioritaire de constitutionnalité relative à l'article L. 863-2 du code de la sécurité intérieure est actuellement en cours d'examen par le Conseil constitutionnel.
1.2. L'article 7 du projet de loi : un encadrement de l'exploitation et des transmissions de renseignements entre services
L'article 7 vise en conséquence à encadrer tant l'exploitation des renseignements au sein d'un même service que les échanges de renseignements entre services.
a) L'exploitation des renseignements au sein d'un service
L'article 7 prévoit en premier lieu que si un service de renseignement obtient des renseignements utiles à la poursuite d'une finalité différente de celle qui en a justifié le recueil, il peut les transcrire ou les extraire pour le seul exercice de ses missions :
- les services ne pourront transcrire ou extraire des renseignements que s'ils se rattachent aux finalités mentionnées à l'article L. 811-3 du code de la sécurité intérieure ;
- les services ne sont autorisés à transcrire ou extraire des renseignements que pour le seul exercice de leurs missions, fixées par les textes réglementaires régissant chacun des services de renseignement : les services du second cercle, qui n'exercent leurs missions qu'en vue d'un nombre limité de finalités et n'ont accès qu'à un nombre limité de techniques de renseignement, ne pourront transcrire ou extraire des renseignements se rattachant à une finalité légale qui ne fait pas partie de leurs missions.
L'article prévoit que les opérations de destruction des renseignements collectés, les transcriptions et les extractions feraient l'objet de relevés, tenus à la disposition de la CNCTR. Lorsque ces opérations seraient réalisées pour des finalités légales différentes de celles qui ont justifié le recueil du renseignement, le relevé serait immédiatement transmis à la commission.
b) La transmission de renseignements entre services
L'article 7 définit en second lieu les conditions dans lesquelles les différents services de renseignement peuvent échanger des informations issues de la mise en oeuvre de techniques de renseignement ou collectées par le biais de mesures de surveillances internationales .
Le régime proposé permet aux services spécialisés de renseignement et aux services du second cercle de transmettre à un autre service les renseignements bruts, extraits ou transcrits dont ils disposent si cette transmission est strictement nécessaire à l'exercice des missions du service destinataire.
Cette transmission sera libre dans la majorité des cas , à deux exceptions près, pour lesquelles elle nécessitera une autorisation du Premier ministre accordée après avis de la CNCRT :
- lorsque la transmission concerne des renseignements bruts, et poursuit une finalité différente de celle qui en a justifié le recueil ;
- lorsque la transmission concerne des renseignements , quelle que soit leur forme (bruts, extraits ou transcrits), issus de la mise en oeuvre d'une technique de renseignement à laquelle le service destinataire n'aurait pas pu recourir au titre de la finalité motivant la transmission : cela concerne tant la transmission de renseignements issus de la mise en oeuvre de techniques de renseignement limitées à certaines finalités, que la transmission de renseignements à des services du second cercle qui ne peuvent mettre en oeuvre la totalité des techniques prévues par la loi.
La transmission des renseignements bruts - que la loi désigne sous les termes de « renseignements collectés » - serait sans effet sur leur durée de conservation , qui courrait à compter de la date du recueil.
L'article 7 définit deux formes de contrôle s'exerçant sur les transmissions de renseignement :
- un contrôle interne , chaque service devant désigner un agent chargé de veiller au respect des dispositions législatives, notamment la destruction effective des renseignements collectés au terme de leur durée de conservation, et d'assurer la traçabilité des renseignements ainsi échangés ;
- un contrôle externe, par la CNCTR , pour les échanges ne nécessitant pas une autorisation du Premier ministre : les transmissions de renseignements feraient l'objet de relevés tenus à la disposition de la CNCTR. Là encore, lorsque les transmissions poursuivraient une finalité différente de celle ayant justifié leur recueil, les relevés seraient immédiatement transmis à la CNCTR. La CNCTR pourrait également adresser au Premier ministre, au ministre et au service concernés des recommandations tendant à l'interruption de transmissions de renseignements si celles-ci lui paraissaient effectuées en méconnaissance de la loi.
1.3. La position de la commission : un encadrement nécessaire et bienvenu
Comme le soulignait la délégation parlementaire au renseignement dans son rapport précité, un encadrement précis des échanges au niveau législatif est nécessaire, tant au regard de la protection du droit au respect de la vie privée que pour sécuriser l'action des services.
L'article 7 définit cet encadrement, en précisant dans la loi les catégories de données susceptibles d'être échangées, les conditions d'utilisation de ces données par les services, notamment s'agissant de leurs finalités d'utilisation, ainsi que les règles de conservation et de destruction de ces mêmes données.
La commission a donc considéré que le régime proposé était satisfaisant, et n'y a apporté que quelques précisions rédactionnelles ( amendement COM-103 de ses rapporteurs).
2. La transmission d'informations aux services de renseignement par les autorités administratives
L'article L. 863-2 du code de la sécurité intérieure dispose que « les autorités administratives [...] peuvent transmettre aux services [spécialisés de renseignement et aux services du second cercle], de leur propre initiative ou sur requête de ces derniers, des informations utiles à l'accomplissement des missions de ces derniers ».
Les autorités administratives concernées sont les administrations de l'État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural et de la pêche maritime et les autres organismes chargés de la gestion d'un service public administratif.
L'article 7 vient préciser cette disposition , en indiquant que ces informations peuvent être couvertes par un secret protégé par la loi et qu'elles doivent être strictement nécessaires à l'exercice des missions du service concerné et susceptibles de concourir à la défense et la promotion des intérêts fondamentaux de la Nation . À l'initiative de l'Assemblée nationale, il a été précisé que lorsque l'autorité administrative refuse de transmettre une information sollicitée par un service, elle doit lui en indiquer les raisons.
Plusieurs garanties sont également ajoutées :
- les informations transmises seraient détruites dès qu'elles ne sont plus nécessaires à l'accomplissement des missions du service auquel elles ont été transmises ;
- les personnes destinataires de ces informations seraient tenues au secret professionnel dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal ;
- l'agent chargé d'assurer la traçabilité des échanges de renseignements entre services serait également chargé d'assurer la traçabilité de ces transmissions et de veiller au respect du cadre législatif.
Par voie de conséquence, l'article 7 écarterait du droit à l'information et du droit d'accès aux données à caractère personnel d'un traitement d'une administration le fait qu'une information a été transmise à un service de renseignement. Cette dérogation, comme le souligne l'étude d'impact, « vise à assurer la protection des modes opératoires des services de renseignement afin que les personnes concernées ne soient pas informées de ce qu'elles font l'objet d'un suivi par les services de renseignement ». Elle a semblé légitime à la commission.
La commission a adopté l'article 7 ainsi modifié .
Article 8
Allongement de la durée de conservation des
renseignements
à des fins de recherche et de développement
Cet article permet aux services de renseignement du « premier cercle » et au Groupement interministériel de contrôle, à des fins de recherche et développement, de conserver de manière anonymisée, pour une durée allant jusqu'à cinq ans, les données recueillies par des techniques de renseignement.
La commission a adopté cet article après avoir précisé les conditions de participation des agents de la DGA aux programmes de recherche.
L'article 8 du projet de loi tend à permettre le développement d'outils de recueil et d'exploitation de renseignements à partir de données collectées à d'autres fins par les services de renseignement. Il prévoit que ces données pourront être conservées pour une durée maximale de cinq ans, alors qu'elles ne peuvent être conservées à des fins de renseignement que pour une durée allant, selon les techniques employées, de trente jours à quatre ans.
1. Une finalité légitime de conservation des données
1.1. Le besoin de données réelles pour assurer le fonctionnement et l'actualisation des algorithmes
Le développement des capacités techniques de recueil et d'exploitation des renseignements est un des enjeux majeurs auxquels font face les services. L'évolution des techniques de communication, la part croissante d'acteurs étrangers et l'exigence jurisprudentielle croissante de protection des contenus de communication rendent plus complexe l'acquisition de renseignements. La France a par ailleurs fait le choix de préserver, dans toute la mesure du possible, son indépendance en matière de techniques, ce qui implique le développement d'outils souverains. La loi de 2015 et le projet de loi actuel entendent donc faciliter le développement de ces outils.
Or la recherche et le développement pour les outils dits d'intelligence artificielle, notamment en matière d'algorithme, impliquent qu'ils puissent procéder à un « apprentissage » fondé sur des données réelles qui permettent de prouver leur efficacité. Ces données doivent de plus être disponibles sur une durée suffisamment longue afin que l'intelligence artificielle puisse s'y référer. Chaque étape de l'apprentissage d'un tel outil appelle en effet un retour sur l'ensemble des étapes précédentes et donc une réutilisation des données 30 ( * ) .
Il ressort des auditions conduites par vos rapporteurs que la durée maximale de cinq ans prévue par l'article 8 est adaptée aux besoins de développement des outils et permettra parallèlement le développement de base de données d'informations fictives mais suffisamment réalistes pour permettre l'apprentissage des algorithmes.
1.2 Des garanties suffisantes pour garantir l'absence de détournement des finalités de la conservation
Le 2° du I de l'article 8 tend à compléter l'article L. 822-2 du code de la sécurité intérieure relatif aux durées de conservation des renseignements collectés par les services par un III relatif à la conservation des données aux fins de recherche et développement.
Cette conservation, pour une durée maximale de cinq ans, prend fin « dès [qu'elle] n'est plus indispensable à la validation de capacités techniques de recueil et d'exploitation ». Elle s'effectue sur des données anonymisées ne comportant pas de référence aux finalités qui ont permis leur collecte. Elles ne peuvent être utilisées pour la surveillance des personnes concernées et ne peuvent être exploitées que par des agents appartenant aux services dits du « premier cercle » et exclusivement affectés à la mission de recherche et développement.
La Commission nationale de contrôle des techniques de renseignement (CNCTR) interviendra à un double titre. Il reviendra au Premier ministre d'autoriser les paramètres techniques applicables à chaque programme de recherche. La CNCTR se prononcera par un avis, simple, au Premier ministre sur la conformité des paramètres techniques et éventuellement de leur évolution à la finalité de recherche et développement et aux conditions d'anonymisation prévues par l'article 8. La CNCTR exercera également un contrôle du déroulement des programmes de recherche et pourra recommander leur suspension au Premier ministre s'ils ne respectent plus les conditions fixées par la loi.
Le III de l'article 8 modifie l'article L. 833-2 du code de la sécurité intérieure relatif aux compétences de la CNCTR pour lui permettre l'accès aux données conservées en application de l'article 8.
Le II de l'article 8 permet la conservation des données par le Groupement interministériel de contrôle. Il paraît en effet plus cohérent qu'il conserve pour les fins de recherche et développement les données dont il assure déjà la centralisation.
2. Un double élargissement opéré par l'Assemblée nationale
2.1. Un allongement conséquent de la possibilité de conservation des données collectées par les dispositifs de captation de paroles
L'Assemblée nationale a procédé à une modification substantielle des délais de conservation des données collectées par les dispositifs de captation de paroles. Par un amendement de ses rapporteurs, adopté en commission, elle a en effet supprimé la limitation à trente jours prévue par l'article L. 822-2 de la conservation des données collectées par ces dispositifs. Cette suppression a pour conséquence d'aligner la durée de conservation de ces données sur celle des images, soit 120 jours.
Cette extension particulièrement importante n'est pas sans poser question. En effet, elle aura pour conséquence de simplifier le travail de surveillance des services, qui pourront placer des dispositifs uniques capables de capter simultanément l'image et le son et non éventuellement deux dispositifs en raison des durées de conservation différentes. Cependant la durée limitée de conservation des paroles prononcées dans un lieu privé fait légitimement l'objet d'une protection renforcée par rapport aux autres données susceptibles d'être collectées. S'il semble que la durée de 120 jours ne pose pas de problème de proportionnalité au regard du respect des libertés, une telle extension appelle nécessairement un contrôle plus étroit de la CNCTR.
2.2. Une extension de l'accès aux données conservées aux fins de recherche à la direction générale de l'armement
En séance publique, l'Assemblée nationale a adopté un amendement des rapporteurs tendant à permettre à la direction générale de l'armement (DGA) de prêter son concours aux agents des services spécialisés de renseignement du ministère des armées, au titre des programmes de recherche que ces services seront autorisés à mettre en oeuvre.
Le souhait de permettre à des agents spécialement habilités de la DGA de participer aux programmes de recherche émane des services de renseignement. Comme l'indique l'objet de l'amendement, la direction générale de l'armement dispose de compétences techniques en matière de recherche et développement et est déjà autorisée, sur le fondement de l'article L. 2371-2 du code de la défense, à effectuer des essais des appareils ou dispositifs permettant de mettre en oeuvre des techniques de renseignement.
3. La position de la commission
La commission admet la nécessité de conservation des données aux fins de recherche et développement dans le cadre strictement défini de l'article 8. Elle estime nécessaire que le contrôle de la CNCTR se montre d'autant plus exigeant sur le contrôle des interceptions de parole que la durée de conservation de ces données a été accrue. A l'initiative des rapporteurs de la commission des lois elle a adopté l'amendement COM-104 tendant à préciser que l'intervention des agents de la DGA ne pourra avoir lieu que dans les locaux des services dits « du premier cercle », susceptibles de conduire des programmes de recherche. Elle a également adopté l'amendement rédactionnel COM-92 de Ludovic Haye.
La commission a adopté l'article 8 ainsi modifié .
Article 9 (non
modifié)
Allongement de la durée d'autorisation de la
technique
de recueil de données informatiques
L'article 9 du projet de loi porte la durée d'autorisation de la technique de recueil de données informatiques de 30 jours à deux mois. L'Assemblée nationale a procédé à la fusion de cette technique avec celle de captation des données informatiques.
La commission a adopté cet article sans modification.
L'article 9 du projet de loi tendait initialement à procéder à l'alignement de la durée d'autorisation de mise en oeuvre de deux techniques : la captation des flux de données informatiques et le recueil de données stockées sur un ou plusieurs systèmes d'information. La durée d'autorisation de la mise en oeuvre du recueil des données est actuellement de trente jours, alors que celle de la mise en oeuvre de la captation est de soixante. L'Assemblée nationale a pour sa part fusionné les deux techniques.
1. Des techniques proches
1.1. Une distinction fondée sur le degré d'intrusion
Les techniques de captation et de recueil des données sont toutes deux régies par l'article L. 853-2 du code de la sécurité intérieure. Elles portent sur les mêmes types d'informations (les données informatiques). Elles ont des finalités réduites et un caractère subsidiaire par rapport aux autres moyens légalement autorisés, et une durée inférieure à la durée de droit commun de quatre mois prévue à l'article L. 821-4 du code de la sécurité intérieure pour toutes les autres techniques de renseignement, ce qui souligne leur caractère particulièrement intrusif.
Elles se distinguent néanmoins par plusieurs traits. Tout d'abord, le moment ou les données sont collectées n'est pas le même. Les données captées le sont en temps réel, il s'agit de flux. Les données recueillies sont celles stockées sur un système informatique. Là où la captation de données permet d'abord de contourner le cryptage des messages transmis, puisqu'elle vise à permettre de les voir telles qu'elles s'affichent sur l'écran de la cible, le recueil offre des possibilités plus vastes d'information sur la vie privée d'une personne en accédant à tout ce qu'elle a conservé sur son terminal.
Les méthodes d'acquisition peuvent elles aussi varier, avec une plus ou moins grande participation des opérateurs et la nécessité, ou non, d'intervenir au sein d'un lieu privé.
La durée réduite de mise en oeuvre du recueil de données informatiques par rapport à celle de la captation de données repose ainsi sur l'étendue de l'atteinte susceptible d'être portée à la vie privée.
1.2. Des considérations techniques tendant à un prolongement de la durée
L'étude d'impact et les services auditionnés par les rapporteurs ont fait état de la difficulté pour les services de respecter la durée d'autorisation de mise en oeuvre de la technique de recueil, fixée à trente jours, compte tenu de sa complexité. En pratique, la contrainte pesant sur les services serait de nature à faire obstacle à la mise en oeuvre de la technique. Appliquer à la technique de recueil la durée prévue pour la captation des données, soit soixante jours, permettrait de surmonter cet obstacle.
2. Le choix de l'Assemblée nationale : une fusion des deux techniques destinée à l'acquisition de données informatiques
2.1. Un choix écarté par le Gouvernement
En commission, l'Assemblée nationale a adopté deux amendements identiques, des rapporteurs et de Dimitri Houbron et des membres du groupe Agir ensemble, modifiant le I de l'article L. 853-2 du code de la sécurité intérieure afin d'y supprimer la distinction entre les techniques de recueil et de captation de données et d'uniformiser ainsi leurs régimes juridiques.
Cette possibilité, envisagée par l'étude d'impact, en raison notamment de la similitude des données collectées et du fait que leur traitement et conservation est fixé dans les deux cas à 120 jours, avait été écartée par le Gouvernement pour des raisons de « proportionnalité », le maintien d'une distinction entraînant la nécessité pour les services de justifier le recours à chaque technique.
Constatant que la différence de durée d'autorisation ne semble pas constituer une garantie nécessaire pour les libertés en raison du cadre législatif contraint dans lequel elles s'exercent par ailleurs, l'Assemblée nationale a estimé plus conforme aux besoins des services et à l'évolution des techniques de permettre simultanément la captation et le recueil des données informatiques.
2.2. La position de la commission
La commission admet l'intérêt que représente pour les services la fusion des deux techniques de captation et de recueil des données informatiques. Elle considère cependant que seul un contrôle renforcé de la CNCTR tel que prévu à l'article 16 permet de justifier un tel assouplissement qui est susceptible de porter atteinte aux libertés individuelles.
La commission a adopté l'article 9 sans modification .
Article 10
Extension des
obligations de coopération des opérateurs
pour la mise en
oeuvre de certaines techniques de renseignement
et techniques
spéciales d'enquête
L'article 10 du projet de loi vise à étendre les obligations de coopération des opérateurs de communications électroniques et des fournisseurs de services pour assurer la mise en place de techniques de renseignement et de techniques spéciales d'enquête.
Il tend en particulier à ajouter deux techniques, le recueil des données de connexion par IMSI catcher et les recueil et captation de données, parmi les techniques pouvant nécessiter des opérations matérielles dans les locaux des opérateurs et fournisseurs de services par leur personnel habilité.
La commission a estimé opportun de procéder à cette extension afin de conforter la capacité des services de renseignement, ainsi que des autorités judiciaires, à utiliser lesdites techniques dans le cadre légal existant, nonobstant les évolutions technologiques à venir (en particulier, l'arrivée de la cinquième génération de réseaux mobiles dite « 5G », sur des installations dédiées, annoncée pour 2023).
Elle a adopté cet article avec une modification rédactionnelle.
1. Les obligations de coopération des opérateurs moyennant « juste rémunération » en matière de renseignement et en matière judiciaire
En application de l'article L. 33-1 du code des postes et des communications électroniques, l'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont soumis au respect de règles portant notamment sur « les prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique, ainsi que les garanties d'une juste rémunération des prestations assurées à ce titre et celles qui sont nécessaires pour répondre [...]».
De nouveaux opérateurs soumis aux obligations légales
L'ordonnance du 26 mai 2021 a transposé la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen 31 ( * ) .
L'une des conséquences de cette transposition est de faire entrer dans le champ des obligations légales de l'article L. 33-1 du code des postes et communications électroniques les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation , également parfois appelés « services OTT » (« over the top »), telles les messageries Whatsapp ou Messenger.
Il revient désormais au secrétariat général de la défense et de la sécurité nationale et à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) de prendre attache avec ces acteurs - pour l'essentiel tous basés à l'étranger - pour s'assurer du respect de leurs obligations dans un souci de non-discrimination et d'efficacité .
L'article L. 33-1 du code des postes et des communications électroniques instaure ainsi une obligation de coopération moyennant « juste rémunération ».
Ce principe est décliné dans trois articles du code de la sécurité intérieure :
- l'article L. 871-3 instaure une supervision du ministre chargé des communications électroniques sur les opérateurs et fournisseurs de services afin qu'ils « prennent les mesures nécessaires pour assurer l'application, dans le respect du secret de la défense nationale, des dispositions du livre [VIII] » - soit l'intégralité des dispositions en matière de renseignement - et les interceptions de correspondances émises par la voie des télécommunications ordonnées par l'autorité judiciaire 32 ( * ) ;
- l'article L. 871-6 détermine dans quelles conditions les opérations matérielles nécessaires à la mise en place des techniques de recueil de renseignements peuvent être effectuées dans les locaux des opérateurs et fournisseurs de service (ordre du Premier ministre et personnel propre qualifié) ;
- l'article L. 871-7 précise que les surcoûts identifiables et spécifiques exposés pour répondre à la mise en oeuvre des techniques de recueil de renseignement font l'objet d'une compensation financière par l'Etat . Il s'agit d'une obligation reconnue par le Conseil constitutionnel 33 ( * ) , qui a jugé que « le concours ainsi apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population, est étranger à l'exploitation des réseaux de télécommunications ; que les dépenses en résultant ne sauraient dès lors, en raison de leur nature, incomber directement aux opérateurs ». Ces coûts correspondent à la fois aux coûts exposés pour les études, l'ingénierie, la conception et le déploiement des systèmes et aux coûts liés à la maintenance, ainsi qu'aux coûts liés au traitement des demandes.
Les deux premiers articles ont été créés par la loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la voie des télécommunications 34 ( * ) et ne concernaient à l'origine que les interceptions de sécurité et les interceptions ordonnées par l'autorité judiciaire .
Lors de l'examen de la loi du 24 juillet 2015 relative au renseignement , ont été ajoutées, à l'initiative du rapporteur de l'Assemblée nationale puis du Gouvernement, les demandes d'accès différé aux données de connexion 35 ( * ) , la technique d'accès en temps réel à ces données 36 ( * ) et la technique de l'algorithme 37 ( * ) , soit l'ensemble des techniques qui, à l'époque, semblaient nécessiter l'intervention des opérateurs.
2. Le projet de loi : étendre les obligations de coopération des opérateurs pour intégrer certaines techniques de recueil de données déjà existantes
L'article 10 du projet de loi a pour double objet :
- d'intégrer à l'article L. 871-3 du code de la sécurité intérieure les techniques spéciales d'enquête qui peuvent être utilisées, à la fois au stade de l'enquête ou de l'instruction, dans le cadre de la lutte contre la criminalité et la délinquance organisées 38 ( * ) , et en particulier l'accès à distance aux correspondances stockées par la voie des communications électroniques accessibles au moyen d'un identifiant informatique 39 ( * ) et le recours aux IMSI catchers 40 ( * ) ; il s'agirait de rendre explicite le fait que les obligations des opérateurs en matière judiciaire sont les mêmes qu'en matière de renseignement ;
- d'ajouter parmi les techniques de recueil de renseignement visées aux articles L. 871-6 et L. 871-7, deux techniques - l'IMSI catching et le recueil et captation de données - permettant ainsi, moyennant juste rémunération, de demander une intervention matérielle des opérateurs pour la mise en oeuvre de ces deux techniques.
Une coordination est prévue à l'article 21 du projet de loi pour prévoir l'application de l'article 871-3 en Polynésie française et en Nouvelle-Calédonie.
3. La position de la commission : accepter d'anticiper les besoins technologiques des services de renseignement pour conforter le recours à certaines techniques
L'article 10 vise essentiellement à permettre aux services de renseignement de conserver leurs capacités opérationnelles à user de certaines techniques de renseignement au regard des évolutions technologiques à venir qui peuvent à la fois amoindrir l'efficacité des modalités techniques actuelles et augmenter la capacité des cibles à échapper à une surveillance.
Il s'agit en particulier d'anticiper le déploiement du réseau 5G, qui aura pour conséquence de rendre les identifiants des terminaux mobiles temporaires et très évolutifs . Seul l'opérateur pourra établir le lien entre ces identifiants temporaires et les identifiants pérennes des abonnements ou des équipements terminaux utilisés. La technique de l'IMSI- catching , qui est déjà très lourde à mettre en oeuvre, ne conservera un intérêt opérationnel que s'il est possible d'obtenir des opérateurs de communications électroniques le lien entre ces deux types d'identifiants . Quant à la technique de recueil et de captation de données informatiques qui est actuellement directement mise en oeuvre par les services de renseignement, il semble également nécessaire d'en diversifier les méthodes avec l'appui des opérateurs, à l'instar de l'assistance qu'ils prêtent déjà pour la mise en oeuvre des interceptions de sécurité 41 ( * ) .
La commission a estimé cette évolution souhaitable, étant souligné :
- qu'elle ne crée pas de nouvelles techniques de renseignement : celles-ci existent déjà et conservent leur cadre juridique actuel ;
- que le recours au recueil de données de connexion par IMSI catchers est une technique de renseignement contingentée 42 ( * ) tandis que le recours aux recueil et captation de données est une technique subsidiaire , autorisée « lorsque les renseignements ne peuvent être recueillis par un autre moyen légalement autorisé ». Comme le relève la CNCTR, cette évolution n'augmenterait donc pas en soi l'atteinte portée à la vie privée des personnes pour la surveillance desquelles ces techniques sont susceptibles d'être autorisées.
La commission a également estimé que la modification de l'article L. 871-3 du code de la sécurité intérieure destinée à intégrer les techniques spéciales d'enquête est une actualisation souhaitable , dans la mesure où, malgré les évolutions du code de procédure pénale, seules les interceptions de communications électroniques étaient visées. Cette coopération est d'ailleurs déjà prévue. Ainsi est-il possible à un magistrat ou un officier de police judiciaire de « requérir tout agent qualifié d'un service ou d'un organisme placé sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou tout agent qualifié d'un exploitant de réseau ou fournisseur de services de communications électroniques autorisé, en vue de procéder aux opérations [d''accès à distance aux correspondances stockées par la voie des communications électroniques accessibles au moyen d'un identifiant] » 43 ( * ) .
Là encore, cette évolution ne touche pas le cadre juridique de la mise en oeuvre desdites techniques, qui restent sous le contrôle du juge des libertés et de la détention ou du juge d'instruction et soumises au principe de proportionnalité posé par l'article préliminaire du code de procédure pénale 44 ( * ) .
Il est à noter que l 'organisation des réquisitions judiciaires , qui représentent en volume 80 % des demandes traitées par les opérateurs, paraît lacunaire , tant sur le plan de la formulation des demandes que sur le plan du remboursement des coûts engendrés. L'Agence nationale des techniques d'enquêtes numériques judiciaires (ANTENJ) ne semble pas en mesure de jouer le même rôle de « porte d'entrée » que le GIC, ce que déplorent les opérateurs.
Enfin, il est précisé que les dispositifs techniques que devraient mettre en oeuvre les opérateurs feraient l'objet de spécifications définies en concertation avec eux sous l'égide du commissariat aux communications électroniques de défense (CCED), comme le recommande l'ARCEP dans son avis. Ainsi que l'a relevé la Fédération française des télécoms, cette concertation est bonne : « Le cadre légal et réglementaire reflétant le fruit de ces échanges, il n'y a que très exceptionnellement des difficultés de mise en oeuvre des obligations légales ». Par ailleurs, l'intervention des opérateurs leur permet de s'assurer que la technique ne porte atteinte ni au fonctionnement, ni à la sécurité des réseaux de communications électroniques, ni à la qualité du service offert aux abonnés.
La commission a adopté un amendement COM-105 de ses rapporteurs pour mettre à jour la terminologie employée dans les articles L. 871-3 et L. 871-6 du code des postes et des communications électroniques, en supprimant notamment la référence à l'« exploitant public » ou aux « télécommunications ».
La commission a adopté l'article 10 ainsi modifié .
Article 11
Expérimentation d'une technique d'interception
des
communications satellitaires
L'article 11 du projet de loi définit le cadre de mise en oeuvre d'une technique expérimentale de captation des communications satellitaires sur le territoire national.
La commission a adopté cet article en restreignant cette phase d'expérimentation aux services dits du premier cercle.
L'article 11 du projet de loi tend à permettre aux services de renseignement de faire face à un nouveau défi technique et stratégique, le déploiement de constellations satellitaires appartenant à des opérateurs étrangers et fournissant des services de communication aux particuliers. Même si aucune constellation de ce type n'est actuellement en fonctionnement, les enjeux à moyen et long termes s'avèrent particulièrement importants et justifient le développement, à titre expérimental, de dispositifs de captation des correspondances acheminées par satellite.
1. Un enjeux technologique et stratégique
1.1. Un bouleversement à venir des techniques de communication
Les techniques destinées à acheminer les communications, par téléphonie et internet, reposent depuis plusieurs années principalement sur des réseaux câblés et des opérateurs nationaux historiques ou plus récemment implantés et utilisateurs de ces infrastructures. Ce choix technologique est appelé à évoluer avec le déploiement de constellations de satellites de communication destinées à acheminer des communications entre particuliers avec un niveau de fiabilité et d'accessibilité particulièrement important. Ces réseaux de satellites de petites tailles, émettant sur une zone géographique circonscrite, ne sont pas encore en activité mais seront déployés par des entreprises tant américaines que chinoises.
Les communications par satellite existent déjà de manière réduite et font l'objet d'une surveillance, notamment en raison de leur usage par la criminalité organisée et les réseaux terroristes. Cependant, le déploiement de constellations et leurs modalités de fonctionnement ainsi que le recours bientôt massif à cette technique imposent une évolution des outils à la disposition des services.
1.2 Des enjeux de fiabilité des opérateurs
À l'enjeu technologique s'ajoute un enjeu lié aux opérateurs de ces constellations satellitaires. La possibilité de requérir les opérateurs, qui repose en pratique plus sur le dialogue, la conviction et la construction d'une relation de confiance que sur la seule contrainte légale, se heurte en effet à une double difficulté. D'une part, la présence exclusive ou prédominante d'opérateurs soumis à un droit étranger rend plus difficile la construction d'une relation de confiance avec les services de renseignement français et peu effective la contrainte légale. Par ailleurs, la fiabilité de certains opérateurs, au regard des obligations de transparence que leur impose l'État de leur siège social, est incertaine et parfois de nature à compromettre l'objectif de surveillance des services français.
Pour l'ensemble de ces raisons, l'article 11 propose d'introduire dans le code de la sécurité intérieure un nouvel article L. 852-3 autorisant les services de renseignement à recourir à « un appareil ou (...) un dispositif technique (...) afin d'intercepter des correspondances émises ou reçues par la voie satellitaire, lorsque cette interception ne peut être mise en oeuvre sur le fondement du I de l'article L. 852-1 du présent code, pour des raisons techniques ou pour des motifs de confidentialité faisant obstacle au concours des opérateurs ou des personnes mentionnés à l'article L. 851-1 ».
2. Des garanties adéquates
2.1. Un régime juridique protecteur des libertés
L'article L. 852-3 du code de la sécurité intérieure que propose de créer l'article 11 prévoit un nombre limité de finalités pour l'interception des communications par satellite. Celles-ci sont :
- l'indépendance nationale, l'intégrité du territoire et la défense nationale ;
- les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère ;
- la prévention du terrorisme ;
- la prévention de la criminalité et de la délinquance organisées.
Sont donc exclues la préservation des intérêts économiques et la lutte contre la subversion, ce qui paraît une limitation cohérente avec les besoins en matière de renseignement.
Cette interception ne pourra être mise en oeuvre que par périodes de trente jours, chaque échéance amenant la nécessité d'une nouvelle justification. Le nombre d'autorisations sera contingenté. Les données collectées seront centralisées par le groupement interministériel de contrôle (GIC).
Enfin, l'expérimentation arrivera à terme au 31 juillet 2025, un rapport au Parlement devant en faire le bilan six mois avant cette échéance.
Tout en considérant que l'expérimentation devait être limitée aux services du premier cercle, l'Assemblée nationale a adopté en commission un amendement des rapporteurs tendant à permettre aux services du second cercle d'y participer sur la base d'un décret en Conseil d'État pris après avis de la CNCTR.
2.2. La position de la commission
La commission partage l'analyse du Gouvernement sur l'enjeu stratégique posé par le déploiement des constellations satellitaires de communication. Elle estime qu'une expérimentation en ce domaine est nécessaire et que les garanties apportées sont adéquates. À ce stade de développement des techniques, elle estime cependant que l'expérimentation doit être limitée aux services du premier cercle , qui disposent de la capacité technique de développer les outils nécessaires. Elle a donc adopté à cette fin les amendements identiques COM-106 et COM-115 des rapporteurs de la commission des lois et du rapporteur pour avis de la commission des affaires étrangères, de la défense et des forces armées.
La commission a adopté l'article 11 ainsi modifié .
Article 12 (non
modifié)
Pérennisation des dispositions prévues
à l'article L. 851-3
du code de la sécurité
intérieure encadrant le recours à l'algorithme
L'article 12 tend à pérenniser la technique dite de l'algorithme autorisé par la loi de 2020 qui a prorogé le délai du 24 juillet 2015 jusqu'au 31 décembre 2021.
La commission a adopté cet article sans modification.
L'article 12 du projet de loi tend à abroger l'article 25 de la loi du 24 juillet 2015 qui fixe, d'une part, le terme de l'expérimentation des dispositions relatives à l'algorithme au 31 décembre 2021, et prévoit, d'autre part, la remise d'un rapport du Gouvernement au Parlement au plus tard le 30 juin 2021.
1. Le développement d'outils innovants pour détecter les menaces émergeantes
1.1. La nécessité de détecter la radicalisation à caractère terroriste de personnes socialement isolées
L'article L. 851-3 du code de la sécurité intérieure, créé par l'article 25 de la loi du 14 juillet 2015, dispose que « pour les seuls besoins de la prévention du terrorisme, il peut être imposé aux opérateurs et aux personnes mentionnés à l'article L. 851-1 la mise en oeuvre sur leurs réseaux de traitements automatisés destinés, en fonction de paramètres précisés dans l'autorisation, à détecter des connexions susceptibles de révéler une menace terroriste ».
Dans un second temps, le Premier ministre, ou l'une des personnes déléguées par lui, peut demander la « levée de l'anonymat » des données, informations ou documents correspondants.
La Commission nationale de contrôle des techniques de renseignement (CNCTR) est appelée à se prononcer à l'occasion de toute mise en oeuvre d'un algorithme, chaque autorisation étant accordée pour deux mois et étant soumise à une justification renforcée en cas de renouvellement. Elle se prononce également sur les demandes de levée adressées au Premier ministre.
L'objet de ces algorithmes est de parvenir, par l'examen de données « de masse » prélevées sur l'ensemble de la population mais anonymisées, à détecter les menaces qui ne peuvent l'être par les moyens classiques du renseignement, singulièrement le risque de passage à l'action violente d'une personne jusqu'alors inconnue des services. Le profil des derniers auteurs d'attaques terroristes dont la radicalisation s'est semble-t-il manifestée d'abord sur les réseaux sociaux, voire uniquement sur l'internet, renforce cette exigence. L'algorithme permettrait un renforcement des capacités de détection et donc d'entrave, en suppléant les moyens humains par la capacité de traitement des données permise par l'intelligence artificielle.
1.2. Des attentes encore circonscrites du fait des difficultés techniques
Il ressort de l'étude d'impact du projet de loi et des auditions conduites par les rapporteurs que les trois algorithmes en cours d'utilisation ont pu montrer leur capacité à détecter des menaces en venant confirmer des résultats obtenus par les autres méthodes de renseignement.
L'efficacité du dispositif reste cependant limitée. D'une part, les algorithmes ont connu des délais de mise en oeuvre liés notamment au changement des modalités de stockage des données, qui ne sont pas conservées par les opérateurs comme initialement prévu, mais par le groupement interministériel de contrôle (GIC). D'autre part, et sans que la raison en ait été explicitement communiquée aux rapporteurs, les algorithmes existants ne traitent que des données de téléphonie et non des données de connexion sur internet, pourtant autorisées dans le cadre de l'expérimentation.
Surtout, comme le notait Philippe Bas dans son rapport sur le projet de loi de 2015, « un algorithme est d'abord un programme, c'est-à-dire qu'à partir de paramètres préalablement établis, il donne un résultat attendu ». La définition des critères exacts de recherche, la possibilité de comprendre les raisons des résultats fournis par les algorithmes, et donc celle de les faire évoluer, sont par nature un processus particulièrement long.
2. Une pérennisation acceptable à périmètre constant
2.1 Les réserves de la délégation parlementaire au renseignement à la pérennisation de l'algorithme
Dans son rapport pour l'année 2019-2020, qui procède à une évaluation de la loi du 24 juillet 2015, la délégation parlementaire au renseignement (DPR) s'est montrée réservée sur la pérennisation de l'algorithme, préférant, au regard des résultats de la mise en oeuvre jugés décevant en 2020, une prolongation de l'expérimentation, comme l'indique sa recommandation n° 6. Elle relevait cependant que le prolongement d'une année de l'expérimentation, lié notamment (mais pas uniquement) à la crise sanitaire, était susceptible d'apporter de nouveaux éléments au débat parlementaire.
Les rapporteurs relèvent que le rapport que le Gouvernement doit adresser au Parlement avant le 30 juin 2021 est signalé par l'étude d'impact comme devant contribuer « à démontrer que ce dispositif s'avère indispensable pour permettre de détecter des individus inconnus des services de renseignement ou que leur comportement antérieur n'avait jusqu'ici pas permis d'identifier comme menaçants, dans un contexte de persistance de la menace terroriste ». En l'absence d'un tel rapport, qui devrait être publié après l'examen du texte par le Sénat, il paraît difficile aux parlementaires d'être pleinement informés.
Néanmoins, les assurances apportées par les services lors des auditions tendent à laisser penser que le premier développement d'algorithmes, même sur un ensemble de données plus réduit que celui autorisé en 2015, est porteur d'éléments encourageants et doit être poursuivi dans le cadre du réexamen régulier des autorisations prévu par l'article L. 851-3 du code de la sécurité intérieure.
2.2. La position de la commission
Malgré l'absence du rapport du Gouvernement au Parlement permettant d'étayer l'utilité pratique de l'algorithme, la nécessité théorique de celui-ci ne fait aucun doute et il apparaît que les premiers résultats sont encourageants. À ce titre, la commission a approuvé la pérennisation de cette technique qui a fait l'objet d'investissements lourds des services.
La commission a adopté l'article 12 sans modification .
Article 13
Renforcement de l'encadrement de la mise en oeuvre
des
algorithmes et extension de leur champ aux URL
L'article 13 apporte de nouvelles garanties procédurales en matière de recours aux algorithmes et de traitement des données par ceux-ci, et permet le traitement des URL.
La commission a adopté cet article mais rendu expérimental le traitement des URL par les algorithmes.
L'article 13 du projet de loi tend à apporter des précisions au cadre légal des algorithmes, notamment pour tenir compte des conditions effectives de leur mise en oeuvre. Il entend également permettre le traitement des « adresses complètes de ressources utilisées sur internet », généralement connues par l'acronyme « URL » (de l'anglais Uniform Resource Locator ).
1. Une extension demandée par les services mais porteuse de difficultés juridiques
1.1. Une extension jugée nécessaire pour permettre l'efficacité des algorithmes
Comme le soulignent le dernier rapport de la DPR et les auditions conduites par votre rapporteur, les services de renseignement estiment indispensable de pouvoir accéder aux URL afin d'assurer une efficacité complète des algorithmes. L'absence de recours actuel aux données de connexion, dont l'utilisation est pourtant permise depuis 2015, a été liée à cette absence de possibilité de recourir aux URL, sans que des explications plus précises aient été fournies aux rapporteurs.
Incontestablement, la possibilité de connaître les pages consultées sur internet ou, même si les URL sont cryptés, la possibilité d'utiliser les « métadonnées » ou informations de connexion liées à ces URL, offre aux services un niveau d'information particulièrement complet sur les activités d'une personne et est susceptible de faciliter la détection des signes précurseurs de passage à l'action violente. La recherche d'une arme sur un site offrant plusieurs types de biens pourrait ainsi être détectée par l'algorithme.
1.2. Une extension portant une atteinte supplémentaire aux libertés et susceptible de poser des difficultés constitutionnelles.
Comme le relevait la DPR, dans sa décision portant sur la loi du 24 juillet 2015 45 ( * ) , le Conseil constitutionnel a validé la conformité à la Constitution de la technique de l'algorithme, tout en relevant que les techniques d'accès administratif aux données de connexion, dont elle fait partie, « ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre des communications ».
Se fondant sur cette jurisprudence de même que sur les standards techniques internationaux, tant la Commission nationale informatique et libertés (CNIL) que la CNCTR ont exclu la possibilité que la technique de l'algorithme puisse permettre un accès complet aux URL. Dans leurs avis respectifs rendus au Premier ministre sur le projet de décret relatif aux techniques de renseignement, les deux autorités précisent en effet que les URL constituent des données mixtes, comprenant à la fois des données de connexion, c'est-à-dire des éléments relatifs à l'acheminement de la communication internet, et des données de communication, c'est-à-dire des éléments fournissant des précisions sur l'objet ou le contenu du site internet consulté.
La DPR souligne ainsi qu'« au vu de ces éléments, l'élargissement de la technique de l'algorithme souhaité par les services à l'analyse de la totalité des informations contenues dans les URL reviendrait, de fait, à autoriser un traitement automatisé de données révélant, pour partie, le contenu de communications ».
Elle « observe qu'une telle évolution induirait une modification significative de la technique autorisée par le parlement en 2015, sur lequel il est possible de s'interroger d'un point de vue constitutionnel. En effet, si le Conseil constitutionnel n'interdit pas, par principe, que des services de renseignement puissent accéder, sous réserve de garanties sérieuses, au contenu des communications, il n'a reconnu, jusqu'à présent, la conformité à la Constitution que d'une collecte individualisée, c'est-à-dire visant nominativement une personne susceptible de présenter une menace. Il n'est pas certain, en revanche, que les mêmes conclusions seraient tirées s'agissant d'une technique induisant un traitement en masse de données de communications ».
Les rapporteurs partagent ces interrogations sur la constitutionnalité du dispositif dans un contexte de renforcement des exigences européennes et constitutionnelles sur la surveillance de masse.
2. Une extension qui ne peut être pérenne à ce stade
2.1. Les nouvelles garanties apportées par l'article 13
L'article propose un renforcement des garanties procédurales entourant la mise en oeuvre des algorithmes prévue par l'article L. 851-3.
Premièrement, il restreint le champ des services de renseignement susceptibles de solliciter une autorisation de mise en oeuvre des algorithmes aux seuls services du premier cercle mentionnés à l'article L. 811-2 du code de la sécurité intérieure. Deuxièmement, il supprime la possibilité de conservation prolongée au-delà de soixante jours des données révélant une menace à caractère terroriste. De plus, il est prévu que les données collectées n'ayant pas permis de révéler une menace soient détruites immédiatement.
Enfin, le présent article consacre au niveau législatif la structure organisationnelle mise en place en 2017 pour réaliser l'exécution centralisée des algorithmes par le GIC et sous le contrôle permanent de la CNCTR.
Ces nouvelles garanties sont une condition nécessaire à l'atteinte supplémentaire aux libertés portées par l'inclusion des URL dans le champ des recherches par algorithme. Elles ne font cependant pour l'essentiel que transposer dans la loi la procédure qui s'est imposée depuis 2017 et la mise en oeuvre des premiers algorithmes. Comme pour l'ensemble du projet de loi, les garanties en termes de libertés reposent sur le rôle du GIC en tant que tiers de confiance ainsi que sur le contrôle exercé de façon permanente par la CNTCR.
L'Assemblée nationale a renforcé ces garanties en adoptant en commission un amendement des rapporteurs prévoyant la remise au Parlement, au plus tard le 31 juillet 2024, d'un rapport sur l'application des dispositions prévues par l'article L. 851-3 du code de la sécurité intérieure.
2.2. La position de la commission
La commission reconnaît l'intérêt opérationnel de l'inclusion des URL parmi les données susceptibles d'être traitées par algorithme. Dans le cadre d'une surveillance de masse, elle estime cependant qu' une pérennisation d'emblée du dispositif serait prématurée , tant au regard des enjeux juridiques que de la maturité des techniques utilisées. Les garanties apportées par l'article 13 ne sont pas suffisantes pour prévenir la nécessité d'un réexamen obligatoire de cette question par le Parlement. L'obligation de remise d'un rapport au 31 juillet 2014 apparaît de ce point de vue insuffisante, la publication des rapports demandés par le Gouvernement pouvant être aléatoire et décalée par rapport au calendrier législatif, ainsi que le montrent les conditions du débat sur l'article 12 du projet de loi. En conséquence, la commission a adopté l'amendement COM-107 des rapporteurs limitant l'autorisation du recours aux URL au 31 juillet 2025 , date par ailleurs prévue comme terme de l'expérimentation sur l'interception des données de communication satellitaires.
La commission a adopté l'article 13 ainsi modifié .
Article 14 (non
modifié)
Extension du champ du recueil des données de
connexion
en temps réel aux URL et durée de conservation des
URL
L'article 14 apporte de nouvelles garanties procédurales en matière de recours aux algorithmes et de traitement des données par ceux-ci et permet le traitement des URL.
La commission a adopté cet article sans modification.
L'article 14 du projet de loi est issu de la lettre rectificative au projet de loi. Il vise, d'une part, à intégrer les URL aux données de connexion pouvant être recueillies en temps réel et, d'autre part, à préciser que la durée de conservation des URL s'élève à cent vingt jours.
1. Un recours aux URL dans le cadre d'une technique ciblée
1.1. Une technique particulièrement intrusive mais circonscrite
Le recueil des données de connexion en temps réel d'une personne et de son entourage est permis par l'article L. 851-2 du code de la sécurité intérieure. Particulièrement intrusive, cette technique est limitée à la seule prévention du terrorisme, et par ailleurs contingentée et limitée à une durée de quatre mois renouvelable une fois.
A l'inverse de l'algorithme, cette technique ne peut être mise en oeuvre que sur des personnes ciblées en raison de la menace qu'elles-mêmes ou une personne de leur entourage présente en matière terroriste. Il s'agit donc d'une mise en oeuvre individuelle.
1.2. Une volonté de permettre un recours aux données s'approchant le plus possible des contenus
L'article 14 propose d'inclure dans le champ des données susceptibles d'être collectées par cette méthode les « adresses complètes de ressources sur internet utilisées ». Il s'agit là d'une extension dans la continuité de celle prévue par l'article 13, qui offre aux services la possibilité d'accéder à des informations particulières utiles que ce soit directement ou par l'intermédiaire des métadonnées.
Il prévoit également de préciser, en les intégrant au 2° du I de l'article L. 822-2 du code de la sécurité intérieure, que les données relatives aux URL sont conservées 120 jours.
L'article 14 marque la volonté du Gouvernement et des services de disposer du plus grand nombre possible de données sans déclencher les contraintes procédurales liées à la captation ou au recueil de données informatiques, pourtant allégées par l'article 9 du présent projet de loi.
2. La position de la commission
La commission a approuvé l'extension de la technique de recueil des données de connexion en temps réel aux URL, en considérant que l'atteinte portée aux libertés était compensée par l'existence de garanties suffisantes dans le cadre légal de recours à cette technique qui ne s'applique qu'à des personnes individuellement identifiées.
La commission a adopté l'article 14 sans modification .
Article 15
Refonte du
cadre de conservation
des données de connexion par les
opérateurs
L'article 15 du projet de loi tend à refondre le système de conservation des données de connexion tel qu'il résulte de l'article L. 34-1 du code des postes et des communications électroniques et de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique, à la suite de la décision « La Quadrature du net » du 6 octobre 2020 de la Cour de justice de l'Union européenne.
Il a été ajouté par le Gouvernement par lettre rectificative du 12 mai 2021 et met en oeuvre la solution suggérée par le Conseil d'Etat dans sa décision « French Data Network » du 21 avril 2021.
Bien qu'il puisse remettre en cause les capacités d'enquête de l'autorité judiciaire pour certaines infractions pénales, la commission a estimé qu'en l'état, il n'y avait d'autre choix que d'adopter cet article fidèle à la lettre de l'arrêt européen pour conserver les capacités opérationnelles des services de renseignement et celles de l'autorité judiciaire en cas de « criminalité grave ». Elle y a apporté une clarification rédactionnelle.
1. Un cadre juridique de la conservation des données de connexion bouleversé par la jurisprudence européenne
L'article L. 34-1 du code des postes et des communications électroniques impose aux opérateurs de communications électroniques de conserver, pour une durée d'un an , certaines catégories de données techniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales . Il crée ainsi une dérogation à l'obligation générale d'effacer et de rendre anonyme toute donnée relative au trafic, posée par le II du même article. L'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique soumet les fournisseurs d'accès à internet et les hébergeurs de contenus à une obligation similaire s'agissant des données de nature à permettre l'identification de quiconque a contribué à la création d'un contenu. Ces deux articles sont complétés par des dispositions réglementaires qui détaillent avec précision les informations et données à conserver 46 ( * ) .
Ces dispositions constituent de manière implicite le cadre légal des données de connexion accessibles aux services de renseignements via la technique prévue à l'article L. 851-1 du code de la sécurité intérieure qui recouvre principalement deux types de demandes : les demandes d' identification d'abonnés ou de recensement des numéros d'abonnement et les demandes de factures détaillées (« fadettes ») permettant de reconstituer le réseau relationnel d'une cible.
Par arrêt du 6 octobre 2020 47 ( * ) rendu sur question préjudicielle du Conseil d'Etat, la Cour de justice de l'Union européenne a jugé que la directive « vie privée et communications électroniques » 48 ( * ) s'appliquait aux activités de renseignement. Elle a estimé qu'une législation nationale ne pouvait, sans méconnaître le droit de l'Union européenne, imposer à titre préventif aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation . En revanche, selon son interprétation, l'article 15 de cette directive autorise une conservation généralisée et indifférenciée de certaines données en fonction de leur caractère plus ou moins sensible au regard de la protection de la vie privée et de la finalité de la conservation .
Ainsi pourraient être conservées à toutes fins - sauvegarde de la sécurité nationale et de la sécurité publique, comme lutte contre la criminalité quelle que soit sa gravité - les données relatives à l'identité civile des utilisateurs de moyens de communications électroniques, ainsi que les informations liées à leur contrat ou compte.
À l'autre bout du spectre, les données relatives au trafic et les données de localisation, qui sont « susceptibles de révéler des informations sur un nombre important d'aspects de la vie privée des personnes concernées , y compris des informations sensibles, telles que l'orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l'état de santé », ne pourraient faire l'objet d'une conservation généralisée et indifférenciée que dans des situations où l'État membre concerné fait face à une menace grave pour la sécurité nationale , réelle et actuelle ou prévisible, et aux fins de la sauvegarde de la sécurité nationale uniquement.
Toujours selon la cour de Luxembourg, en matière de lutte contre la criminalité grave et de prévention des menaces graves contre la sécurité publique , une réglementation nationale ne pourrait prévoir qu'une conservation ciblée des données relatives au trafic et des données de localisation , en fonction des catégories de personnes concernées ou selon des critères géographiques. Toutefois, les données relatives au trafic et les données de localisation, conservées par les opérateurs pour leur besoins propres ou aux fins de la sauvegarde de la sécurité nationale en cas de menace grave actuelle ou prévisible, pourraient, précise la Cour, être accessibles aux fins de la lutte contre la criminalité grave par le biais d'une injonction de procéder, pour une durée déterminée, à la « conservation rapide » de ces données, se référant ainsi à la convention sur la cybercriminalité du Conseil de l'Europe du 23 novembre 2001 (« Convention de Budapest »).
Ce système complexe ne correspond pas au cadre légal mis en place en France. Le 21 avril 2021, le Conseil d'Etat en a tiré les conséquences sur le plan du droit national dans une décision « French Data Network ». Il a annulé la décision implicite du Premier ministre de non-abrogation de l'article R. 10-3 du code des postes et des communications électroniques et du décret du 25 février 2011 en ce que, d'une part, ils ne limitent pas à la sauvegarde de la sécurité nationale les finalités de l'obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d'identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP, et, d'autre part, ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.
Le Conseil d'Etat a enjoint au Premier ministre de procéder à cette abrogation dans un délai de six mois à compter de la décision, soit avant le 21 octobre 2021.
2. Le projet de loi : une mise en oeuvre de la solution dégagée par le Conseil d'Etat pour préserver la possibilité de consulter les données de connexion passées
Dans sa décision du 21 avril 2021, le Conseil d'Etat a repris à son compte l'analyse de la Cour de justice de l'Union européenne, tout en jugeant que la conservation généralisée des données de connexion est aujourd'hui justifiée par la menace pour la sécurité nationale existant en France.
L'article 15 du projet de loi vise à retranscrire le système résultant des deux décisions de justice et met en place une obligation de conservation des données de connexion, permanente ou temporaire selon la catégorie de données conservées, tout en précisant les finalités de conservation.
Les données conservées au titre des obligations permanentes (II bis de l'article L. 34-1 du code des postes et des communications électroniques) ou temporaires (III du même article) seraient déterminées par un décret en Conseil d'Etat. Selon les informations obtenues par les rapporteurs, elles devraient correspondre aux données actuellement conservées . Les « données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux », visées au 3° du II bis correspondent à l'ensemble des données présentant les mêmes caractéristiques techniques que l'adresse IP 49 ( * ) . Elles excluent les données de localisation.
Système de conservation des données mis
en place
par l'article 15 du projet de loi
Données conservées |
Obligation de conservation |
Durée de conservation des données |
Finalités |
Identité civile |
Permanente |
5 ans à compter de la fin de validité du contrat |
Procédures pénales Menaces contre la sécurité publique Sauvegarde de la sécurité nationale |
Coordonnées de contact et de paiement, données relatives aux contrats et aux comptes |
Permanente |
1 an à compter de la fin de validité du contrat ou de la clôture du compte |
Procédures pénales Menaces contre la sécurité publique Sauvegarde de la sécurité nationale |
Adresses IP et équivalents |
Permanente |
1 an à compter de la connexion ou de l'utilisation des équipements terminaux |
Criminalité grave Menaces graves contre la sécurité publique Sauvegarde de la sécurité nationale |
Autres données de trafic et données de localisation |
Temporaire pour 1 an, en cas de menace grave, actuelle ou prévisible , contre la sécurité nationale |
1 an |
Sauvegarde de la sécurité nationale |
Criminalité grave et manquements graves aux règles via une injonction de conservation rapide |
Source : Commission des lois
En matière judiciaire, relevant l'impossibilité de mettre en place une conservation ciblée , qu'elle soit délimitée selon des critères géographiques ou en fonction de personnes, et l'utilité opérationnelle sans équivalent des données de connexion passées 50 ( * ) , le Conseil d'Etat a constaté que seule la possibilité de recourir à la technique de « conservation rapide » sur les données initialement conservées aux fins de sauvegarde de la sécurité nationale permettrait de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public , notamment des atteintes à la sécurité des personnes et des biens.
Selon son analyse, l'arrêt de la Cour de justice de l'Union européenne n'impose pas au législateur d'énumérer les infractions relevant du champ de la criminalité grave en se référant à des catégories strictement prédéfinies en droit interne. Le rattachement d'une infraction pénale à la criminalité grave aurait selon lui « vocation à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce ».
Le III bis de l'article L. 34-1 du code des postes et des communications électroniques traduit cette possibilité d'accès par l'autorité judiciaire et certaines autorités administratives indépendantes. Selon la direction des affaires criminelles et des grâces, la procédure d'injonction de conservation rapide correspond aux réquisitions du procureur de la République et des officiers de police judiciaire dans le cadre des articles 60-1 (enquête de flagrance) et 77-1-1 (enquête préliminaire) du code de procédure pénale, ainsi que du juge d'instruction, dans le cadre de l'article 99-3 du même code.
3. La position de la commission : valider un cadre qui sauvegarde l'essentiel avec une attention particulière en matière judiciaire
3.1. Un cadre confortant la conservation généralisée et indifférenciée des données de connexion pour les besoins de la sécurité nationale
Force est de constater que la solution proposée par l'article 15 permet de sauvegarder l'essentiel dans le cadre étroit défini par la jurisprudence européenne :
- en instituant une obligation de conservation indifférenciée et généralisée de trois catégories de données (identité civile, informations liées au contrat ou au compte, adresse IP), quelles que soient les circonstances (II bis de l'article L. 34-1 du code des postes et des communications électroniques) ;
- en soumettant les opérateurs à une obligation de conservation des données de connexion de trafic et de localisation en cas de menace grave, actuelle ou prévisible contre la sécurité nationale (III du même article) ;
- en créant une voie d'accès à ces données de connexion par l'autorité judiciaire dans le cadre de la criminalité grave via une injonction de conservation rapide (III bis dudit article).
L'article 15 permet la mise en place d'une conservation des données de connexion de trafic et de localisation respectueuse des principes dégagés par la Cour de justice de l'Union européenne, en prévoyant une appréciation annuelle régulière , sous le contrôle du juge administratif , éventuellement saisi en référé du décret du Premier ministre, de la réalité et de la gravité de la menace pour la sécurité nationale et de la nécessité de prolonger la mesure.
Il préserve ainsi les capacités opérationnelles des services de renseignement .
3.2. Un cadre qui peut fragiliser les pouvoirs d'enquête en matière judiciaire
Sur le plan judiciaire, l'analyse est beaucoup plus contrastée. Le texte a été conçu pour sauvegarder les capacités d'enquête dans le cadre de la criminalité grave , via un accès direct aux données de type adresses IP (3° du II bis de l'article L. 34-1 du code des postes et des communications électroniques) ou un accès indirect aux données de trafic et de localisation conservées pour les besoins de la sécurité nationale (III bis ), comme l'y invite la jurisprudence européenne.
Il est évident que le fait de restreindre l'accès de ces données à la seule criminalité grave en conformité avec les exigences du droit européen, telles qu'interprétées par la cour de Luxembourg, pourrait réduire les capacités d'enquête et d'instruction dans le cadre d'une criminalité qualifiée par contraste d'« ordinaire » . Cela a été relevé par la conférence des procureurs de la République qui ont exprimé leur vive inquiétude aux rapporteurs. Cette crainte concernant la délinquance du quotidien a été également relayée par Jean-François Ricard, Premier procureur du Parquet national antiterroriste (PNAT) 51 ( * ) .
Il est important de préciser que la restriction d'accès aux données de connexion ne concerne pas les messages eux-mêmes (contenu des SMS ou mails) qui restent accessibles via l'exploitation des téléphones ou ordinateurs saisis dans le cadre d'une perquisition 52 ( * ) .
Deux pistes mériteraient d'être explorées pour concilier le respect du droit européen et la nécessité de préserver les pouvoirs des enquêteurs pour assurer la recherche des auteurs d'infractions.
Tout d'abord, l'arrêt du 6 octobre 2020 semble s'opposer à une utilisation de données de connexion massivement conservées dans le cadre de la prévention, de la recherche, de la détection et de la poursuite d'infractions pénales ordinaires, dans la mesure où cette utilisation pourrait permettre, pour les adresses IP, « d' effectuer [...] le traçage exhaustif du parcours de navigation d'un internaute et, par suite, de son activité en ligne, ces données permettent d'établir le profil détaillé de ce dernier » et, pour les autres données « prises dans leur ensemble, [...] de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ».
Or ne rentre manifestement pas dans cette catégorie d'usage une demande isolée et ciblée émanant d'un procureur ou d'un officier de police judiciaire pour identifier une personne via une adresse IP ou pour vérifier sa présence à tel instant précis sur tel lieu dans le cadre d'une enquête ordinaire. Ce type de demandes figure aujourd'hui parmi les actes d'enquête couramment effectués. Il ne s'agit pas d'établir un profil détaillé de cette personne sur la base de ses données de connexion. Par ailleurs, une telle requête pourrait également permettre d'écarter les soupçons visant la personne concernée par la demande d'accès aux données de connexion, celle-ci étant alors « protégée » par la conservation de ses données. Dans de tels cas, l'atteinte à la vie privée est strictement proportionnée à l'objectif de prévention, de recherche, de détection et de poursuite d'infractions pénales.
Ensuite, la notion de criminalité grave est une notion que l'on retrouve dans divers actes du droit dérivé européen. La directive du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) 53 ( * ) fixe le niveau de gravité par référence à une peine privative de liberté ou d'une mesure de sûreté d'une durée maximale d'au moins trois ans . Le règlement européen Eurojust du 14 novembre 2018 54 ( * ) ne fait pas référence à la peine encourue, mais intègre dans le périmètre de la criminalité grave les infractions commises en amont ou en aval : infractions pénales commises pour se procurer les moyens de perpétrer les formes graves de criminalité, pour faciliter l'exécution de formes graves de criminalité et pour assurer l'impunité de ceux qui commettent les formes graves de criminalité. S'il semble évident que les contraventions ne peuvent être comprises dans cette notion de criminalité grave, il conviendrait pour l'application du dispositif prévu par l'article L. 34-1 du code des postes et des communications électroniques d'y intégrer a minima les délits punis de trois ans d'emprisonnement ou les infractions connexes à la criminalité grave.
3.3 Adopter l'article 15 pour sauvegarder l'essentiel
Compte tenu de l'urgence à mettre en place un nouveau système permettant à la fois la conservation et l'accès, la commission a jugé indispensable, au nom du principe de réalité , d'adopter l'article 15 modifié par un amendement COM-108 précisant que :
- selon une recommandation de la CNIL, les données mentionnées au 3° du II bis ne sont pas des données de localisation , mais une catégorie de données de trafic ;
- les catégories de données de trafic et de localisation qui peuvent faire l'objet d'une injonction de conservation par le Premier ministre sont définies par décret en Conseil d'Etat et non par décret du Premier ministre, répondant ainsi à une préoccupation des opérateurs inquiets de voir les données à conserver susceptibles d'évoluer tous les ans au gré des décisions du Premier ministre ;
- les données mentionnées au II bis restent accessibles aux autorités judiciaires hors procédure d'injonction de conservation rapide .
La commission a adopté l'article 15 ainsi modifié .
Article 16 (non
modifié)
Procédure de contrôle préalable à
la mise en oeuvre
des techniques de renseignement sur le territoire
national
Larticle 16 est issu de la lettre rectificative au projet de loi. Il renforce le contrôle préalable de la CNCTR pour lensemble des techniques de renseignement sur le territoire national, en conférant un effet contraignant à ses avis, tout en ménageant une exception en cas durgence.
La commission a adopté cet article sans modification.
Larticle 16 tend à généraliser le mécanisme contraignant prévu à larticle L. 853-3 du code de la sécurité intérieure en matière d'introduction dans un lieu privé à usage d'habitation à lensemble des techniques de renseignement couvertes par cet article. Ainsi, lorsquune autorisation a été délivrée après avis défavorable de la CNCTR, le Conseil d'État est immédiatement saisi par le président de cette commission. Il statue dans un délai de 24 heures. Sauf urgence, la décision dautorisation ne peut être exécutée tant que le Conseil d'État na pas rendu sa décision.
1. Un renforcement des garanties exigées par la jurisprudence européenne
1.1. Une décision de la Cour de justice de l'Union européenne (CJUE) suite à une question préjudicielle du Conseil d'État
Larticle 16 du projet de loi tire les conséquences de la décision de lassemblée du contentieux du Conseil dÉtat du 21 avril 2021 French Data Network . Cet arrêt fait suite au recours de plusieurs associations actives dans le domaine de la protection des données personnelles ainsi que dun opérateur de télécoms contre les décrets qui prévoient la conservation des données de connexion par les opérateurs, et qui organisent leur traitement pour les besoins du renseignement et des enquêtes pénales.
À cette occasion, le Conseil d'État a saisi, en 2018, la Cour de justice de l'Union européenne (CJUE) pour préciser la portée des règles issues du droit européen (directive 2002/58, dite « vie privée et communications électroniques » et règlement général sur la protection des données - RGPD). Plusieurs juridictions d'autres États membres de l'Union ont, elles aussi, saisi la CJUE dans le même but. Par trois décisions rendues le 6 octobre 2020 55 ( * ) , la CJUE a détaillé les limites posées à ses yeux par le droit européen. La Cour a confirmé la position prise dans son arrêt Tele2 Sverige 56 ( * ) , selon laquelle la directive 2002/58 interdit « une conservation généralisée et indifférenciée de lensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Cette décision a semblé remettre en cause l'ensemble des mécanismes de surveillance et d'enquête fondés sur l'analyse des données de communication.
La décision du Conseil d'État était donc particulièrement attendu pour déterminer le régime de l'exploitation des données conservées pour les besoins du renseignement. Le Conseil d'État a constaté que la CJUE ninterdisait pas absolument la conservation de données et admet la légitimité de celle-ci en cas de menace existante pour la sécurité nationale, circonstance actuellement existante. L'exploitation des données conservées n'est cependant autorisée par la Cour que si les services de renseignement sont soumis à l'autorisation d'une autorité indépendante.
Le Conseil d'État a considéré que le contrôle préalable par une autorité indépendante prévu par le cadre juridique français nest pas suffisant, puisque l'avis que rend la commission nationale de contrôle des techniques de renseignement (CNCTR) avant toute autorisation nest pas contraignant. Il a donc estimé que le droit national devait être modifié, même si, en pratique, le Premier ministre na jamais outrepassé un avis défavorable de la CNCTR pour l'accès des services de renseignement à des données de connexion.
En conséquence, le Conseil d'État a ordonné au Premier ministre de modifier le cadre réglementaire pour respecter ces exigences dans un délai de 6 mois.
Larticle 16 tire les conséquences de cette exigence.
1.2. Une solution dans la continuité du droit existant.
Au regard des conséquences potentielles de la décision de la CJUE, les modifications procédurales envisagées affectent peu la pratique des services de renseignement. L'intégration du contrôle de la CNCTR à la pratique des services a nécessité depuis 2015 une adaptation et un engagement des services dont la DPR a souligné la qualité.
L'alignement du contrôle exercé par la CNCTR pour lensemble des techniques de renseignement sur celui déjà exercé pour les introductions dans un domicile, ainsi que la mention explicite dun recours systématique devant le Conseil d'État en cas de désaccord avec le Premier ministre, n'introduisent pas de rupture en matière d'exigence pesant sur les services.
2. La position de la commission
La commission approuve ce renforcement des garanties en matière de contrôle des techniques de renseignement.
La commission a adopté l'article 16 sans modification .
Article 16
bis
Simplification de la procédure de maintenance
et de retrait
des dispositifs techniques dans un lieu d'habitation
ou pour l'accès
aux données stockées dans un système informatique
Introduit par l'Assemblée nationale en commission, l'article 16 bis tend à simplifier la procédure de maintenance et de retrait des dispositifs techniques de captation de son ou d'image ou de localisation en temps réel dans un lieu d'habitation ou des dispositifs d'accès aux données stockées dans un système informatique.
La commission a adopté cet article, en prévoyant que la formation plénière de la commission nationale de contrôle des techniques de renseignement (CNCTR) est informée des avis rendus dans le cadre de la maintenance ou du retrait des dispositifs placés dans des lieux d'habitation par un membre de la commission statuant seul.
L'intrusion dans des lieux privés ou dans un véhicule pour la pose de certains dispositifs techniques est soumise à une autorisation du Premier ministre après avis de la commission nationale de contrôle des techniques de renseignement (CNCTR).
1. Une procédure respectueuse du principe à valeur constitutionnelle d'inviolabilité du domicile
L'article L. 853-2 du code de la sécurité intérieure prévoit que l'intrusion dans un lieu privé ou un véhicule pour la mise en place, l'utilisation et le retrait de certains dispositifs spécifiques nécessite une autorisation du Premier ministre, accordée après avis de la CNCTR.
Les dispositifs techniques concernés sont les dispositifs de localisation en temps réel ou balise (article L. 851-5 du code de la sécurité intérieure), ceux permettant la captation, la fixation, la transmission et l'enregistrement de paroles ou d'images (article L. 853-1 du même code) et l'accès à des données informatiques (article L. 853-2 dudit code), qu'il s'agisse de celles directement stockées dans un système informatique, ou de celles constitutives du flux de données informatiques (données s'affichant sur l'écran pour l'utilisateur d'un système de traitement automatisé de données, celles qu'il y a introduit par saisie de caractères ou celles qui sont reçues et émises par des périphériques).
Différents cas de figure ont été
prévus par le législateur dépendant à la fois de la
technique utilisée et du lieu concerné par la pose du dispositif
- véhicule ou lieu privé hors lieu d'habitation, ou lieu
d'habitation - en ce qui concerne le régime d'autorisation.
Le législateur a ainsi souhaité apporter des garanties supplémentaires pour les lieux privés à usage d'habitation et les accès aux systèmes informatiques , afin de prendre en compte le principe de valeur constitutionnelle d'inviolabilité du domicile :
- dans les lieux privés qui ne sont pas des lieux d'habitation et les véhicules, la mise en place, l'utilisation et le retrait des dispositifs techniques de localisation en temps réel, d'enregistrement de paroles ou d'images ou de captation des flux de données informatiques nécessite une autorisation du Premier ministre selon la procédure habituelle - après avis simple de la CNCTR ;
- pour la mise en place, l'utilisation et le retrait de ces mêmes dispositifs au sein d'un lieu d'habitation ou pour lorsqu'il s'agit d'un dispositif technique permettant d'accéder aux données stockées dans un système informatique , un avis exprès de la CNCTR est nécessaire. La CNCTR statue alors en formation restreinte ou plénière.
Saisi a priori de ce dispositif, le Conseil constitutionnel a estimé, dans sa décision n° 2015-713 DC du 23 juillet 2015, que les garanties apportées par le législateur permettait que « les restrictions apportées au droit au respect de la vie privée ne revêtent pas un caractère manifestement disproportionné ». Il a par ailleurs souligné que l'exigence de l'avis exprès préalable de la CNCTR dans le cas de l'introduction dans un lieu privé à usage d'habitation excluait l'application de la procédure d'urgence prévue à l'article L. 821-5 du code de la sécurité intérieure.
2. L'article 16 bis : simplifier la procédure de maintenance ou de retrait des dispositifs installés dans un lieu à usage d'habitation
Introduit en commission à l'Assemblée nationale, à l'initiative des rapporteurs, de Dimitri Houbron et du rapporteur pour avis de la commission de la défense nationale et des forces armées, l'article 16 bis vise à simplifier la procédure de maintenance et de retrait des dispositifs techniques installés à l'intérieur d'un lieu à usage d'habitation.
Alors que la loi exige un avis exprès de la CNCTR statuant en formation plénière ou restreinte, l'Assemblée nationale a souhaité distinguer la procédure selon qu'il s'agit de la mise en place et de l'utilisation des dispositifs, d'une part, ou de la maintenance ou le retrait, d'autre part, de ces dispositifs.
Comme le soulignait la délégation parlementaire au renseignement dans son rapport pour l'année 2019-2020, la procédure d'examen des demandes par la CNCTR en formation collégiale « se justifie au moment de la pose d'un équipement de surveillance, au regard de l'atteinte portée à la vie privée », « elle apparait en revanche source de complexité lorsque la demande d'introduction dans un lieu d'habitation est formulée pour le retrait d'un dispositif et ne donne, dans les faits, jamais lieu à un avis défavorable » 57 ( * ) . La délégation parlementaire au renseignement estimait, en conséquence, possible « d'alléger la procédure d'examen des demandes d'introduction dans un lieu d'habitation formulées à des fins de maintenance, en supprimant l'obligation d'avis en formation collégiale ». Cette évolution permettra de raccourcir les temps de procédure , l'avis étant rendu en 24 heures contre 72 heures dans le cadre d'un avis en formation plénière ou restreinte.
L'article 16 bis prévoit ainsi de maintenir un avis exprès rendu en formation collégiale pour la mise en place et l'utilisation des dispositifs concernés, mais de permettre à la CNCTR de rendre un avis du président ou d'un membre issu du Conseil d'État ou de la Cour de cassation pour la maintenance et le retrait de ces mêmes dispositifs .
La commission a considéré, par l'adoption d'un amendement COM-109 de ses rapporteurs, qu'il était dans ce second cas nécessaire de prévoir que la formation plénière de la CNCTR est informée , à une fréquence a minima mensuelle, des avis rendus dans le cadre de la maintenance ou du retrait des dispositifs placés dans des lieux d'habitation par un membre de la commission statuant seul.
La commission a adopté l'article 16 bis ainsi modifié .
Article 17
Communication d'informations par les services
judiciaires
aux services de l'État exerçant des missions en
matière de sécurité
et de défense des
systèmes d'informations
et aux services de renseignement
L'article 17 est issu de la lettre rectificative au projet de loi. Il permet la communication, par le procureur de la République de Paris ou par le juge d'instruction, d'informations issues de procédures judiciaires d'une très grande complexité en matière de lutte contre la cybercriminalité et la criminalité organisée.
La commission a adopté cet article avec une modification rédactionnelle.
L'article 17 tend à créer au sein du code de procédure pénale un nouvel article 706-105-1 étendant les modalités de communication existantes au titre de l'article 706-25-2 du code aux procédures d'enquête ou d'instruction d'une très grande complexité en matière de cybercriminalité ou concernant des affaires relatives à la lutte contre la criminalité organisée.
1. Une dérogation au principe du secret de l'enquête et de l'instruction nécessairement limitée
L'article 11 du code de procédure pénale dispose que « sauf dans le cas où la loi en dispose autrement et sans préjudice des droits de la défense, la procédure au cours de l'enquête et de l'instruction est secrète ». Des dérogations sont donc possibles mais doivent être limitées.
L'article 706-25-2 du code de procédure pénale prévoit ainsi que « par dérogation à l'article 11, le procureur de la République antiterroriste, pour les procédures d'enquête ou d'instruction ouvertes sur le fondement d'une ou de plusieurs infractions entrant dans le champ d'application de l'article 706-16, peut communiquer aux services spécialisés de renseignement mentionnés à l'article L. 811-2 du code de la sécurité intérieure, de sa propre initiative ou à la demande de ces services, des éléments de toute nature figurant dans ces procédures et nécessaires à l'exercice des missions de ces services en matière de prévention du terrorisme ». C'est cette procédure, créée par la loi du 28 février 2017 relative à la sécurité publique 58 ( * ) , qu'il est proposé d'étendre aux affaires de cybercriminalité et à celles relatives à la criminalité organisée présentant une complexité particulière. Elle est limitée aux affaires relevant du procureur de la République de Paris et des juges d'instruction du même ressort.
Le I de l'article 706-105-1 qu'il est proposé de créer permet au procureur de la République de Paris, pour les procédures d'enquête et d'instruction en matière de cybercriminalité, de communiquer des éléments de toute nature figurant dans ces procédures.
Ces éléments peuvent être transmis aux services de l'État exerçant des missions de sécurité et de défense des systèmes d'information, à l'initiative du procureur de la République ou à la demande de ces services, dès lors que les informations concernées sont nécessaires à l'exercice de leurs missions.
En outre, l'alinéa 3 permet au juge d'instruction de procéder, selon les mêmes modalités, à cette communication d'informations, après avoir recueilli l'avis du procureur de la République.
Le II du même article prévoit une disposition similaire pour certains crimes et délits commis en bande organisée d'une très grande complexité, limitativement énumérés. Sont concernés le trafic de stupéfiants, la traite des êtres humains, les infractions relatives aux armes et produits explosifs ainsi que le délit d'aide à l'entrée, à la circulation et au séjour irréguliers d'un étranger.
Cette disposition s'applique également au blanchiment de ces infractions.
Les informations figurant dans les procédures d'enquête ou d'instruction peuvent être transmises aux services de renseignement du premier cercle ainsi qu'à ceux du second cercle, au regard de leurs missions.
Le projet d'article 706-105-1 prévoit enfin, d'une part, que les informations communiquées au titre de ces deux procédures ne peuvent pas être transmises à des services étrangers ou partagées avec des organismes internationaux compétents dans le domaine du renseignement et, d'autre part, que toute personne qui en est destinataire est tenue au secret professionnel.
2. La position de la commission
La commission admet l'intérêt des échanges d'informations prévus par cet article sur des enjeux émergents en matière de cybersécurité ou complexes. Elle rappelle que la préservation du secret de l'instruction ne peut souffrir d'exceptions trop nombreuses et qu'il est donc nécessaire de les limiter. En effet, outre la nécessité du secret elle-même, il convient que le partage d'informations, même s'il a été demandé par les services de renseignement, reste une faculté pour le juge et ne devienne pas une obligation.
La commission adopté l'amendement rédactionnel COM-87 de Ludovic Haye.
La commission a adopté l'article 17 ainsi modifié .
Article 17
bis
Renforcement des prérogatives
de la délégation
parlementaire au renseignement
Introduit par l'Assemblée nationale lors de l'examen en commission, l'article 17 bis modifie l'article 6 nonies de l'ordonnance du 17 novembre 1958 relatif à la délégation parlementaire au renseignement (DPR) afin d'en accroître les pouvoirs.
La commission a adopté cet article en précisant les modalités selon lesquelles le rapport de la DPR est présenté aux présidents des assemblées.
L'article 17 bis a été introduit par deux amendements identiques cosignés par les quatre membres de la délégation parlementaire au renseignement (DPR) pour l'Assemblée nationale (Françoise Dumas et Yaël Braun-Pivet, Loïc Kervran et Claude de Ganay) et par le rapporteur pour avis de la commission de la défense nationale et des forces armées. Il fait l'objet d'un consensus avec l'ensemble des membres de la DPR du Sénat.
En effet, malgré un élargissement de ses prérogatives par la loi de programmation militaire pour les années 2014 à 2019, la délégation parlementaire au renseignement (DPR), créée par la loi n° 2007-1443 du 9 octobre 2007, bénéficie de prérogatives moindres que dans les principales démocraties occidentales.
Le présent amendement précise la mission de la DPR, étend les modalités de son droit à l'information et renforce son pouvoir d'audition.
Il élargit le champ d'action de la DPR en lui reconnaissant explicitement la possibilité de traiter des enjeux d'actualité liés au renseignement. Il s'agit, sans interférer sur les opérations en cours, de souligner l'intérêt pour la DPR de mener des travaux en prise avec l'actualité, en usant d'un droit d'accès à des informations classifiées, ce qui n'est permis à aucun autre organe parlementaire.
Il est également prévu l'obligation pour le Gouvernement de transmettre à la DPR, chaque semestre, la liste des rapports de l'inspection des services de renseignement (ISR) et de ceux des services d'inspection générale des ministères portant sur les services de renseignement qui relèvent de leur compétence. En effet, pour pouvoir en demander la communication, encore faut-il que la DPR ait connaissance de leur existence.
L'article ouvre également à la DPR la faculté de demander la communication de tout document, information et élément d'appréciation utiles à l'accomplissement de sa mission. Cette possibilité demeure toutefois encadrée par le besoin d'en connaître de la délégation. Cette limite vaut également pour les rapports de l'ISR et ceux des services d'inspection générale des ministères.
S'agissant du Plan National d'Orientation du Renseignement (PNOR), si la délégation ne reste destinataire que d'« éléments d'information », l'amendement prévoit que le coordonnateur national du renseignement et de la lutte contre le terrorisme puisse effectuer chaque année devant la délégation une présentation du PNOR et de ses évolutions.
S'agissant enfin des personnalités susceptibles d'être auditionnées par la DPR, outre quelques ajustements rédactionnels, l'amendement élargit ce pouvoir d'audition à toute personne exerçant des fonctions de direction au sein des services, au-delà des seules personnes occupant un emploi pourvu en conseil des ministres. Les auditions de ces personnes devront se tenir en présence de leur hiérarchie, sauf si celle-ci y renonce.
La commission partage pleinement l'objectif de cet article. Elle a, par l'adoption des amendements identiques COM-110 et COM-116 de ses rapporteurs et du rapporteur pour avis de la commission des affaires étrangères, de la défense et des forces armées, précisé les modalités de présentation du rapport de la DPR aux présidents des assemblées.
La commission a adopté l'article 17 bis ainsi modifié .
Article 17 ter A
(nouveau)
Modalité de communication des rapports de la commission de
verification
des fonds spéciaux aux commissions des finances des
assemblées
Issu de deux amendements identiques des rapporteurs de la commission des lois et du rapporteur pour avis de la commission des affaires étrangères, de la défense et des forces armées, cet article précise les modalités de présentation du rapport de la commission de vérification des fonds spéciaux aux commissions des finances des assemblées.
L'article 17 ter A est issu des amendements identiques COM-111 et COM-117 des rapporteurs de la commission des lois et du rapporteur pour avis de la commission des affaires étrangères, de la défense et des forces armées.
Le décret n° 2019-1271 du 2 décembre 2019 relatif aux modalités de classification et de protection du secret de la défense nationale a substitué un système à deux niveaux de classification au système antérieur à trois niveaux, supprimant ainsi le niveau « confidentiel-défense ».
Dès lors, les rapports de la commission de vérification des fonds spéciaux (CVFS) seront nécessairement classifiés au niveau « secret-défense » ; leur diffusion, leur conservation, et leur archivage devront donc obéir à des règles plus strictes, imposées par l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale (dite « IGI 1300 »). Or, la CVFS, en sa qualité d'autorité émettrice, n'est pas en mesure de vérifier que les mesures de sécurité pourront être respectées par leurs destinataires.
Par conséquent, cet article propose d'informer les présidents des assemblées parlementaires, ainsi que les présidents et rapporteurs généraux des finances, des seules conclusions du rapport, à l'occasion d'une présentation faite par le président de la délégation. Les exemplaires du rapport qui leurs sont destinés seront conservés par le secrétariat de la CVFS conformément aux dispositions de l'IGI 1300, et mis à la disposition des autorités parlementaires prévues par la loi lorsqu'elles en feront la demande.
La commission a adopté l'article 17 ter A ainsi rédigé .
Article 17 ter (non
modifié)
Avis de la Commission nationale de contrôle des
techniques
de renseignement (CNCTR) sur les demandes
d'autorisation
d'exploitation de communications internationales
de
personnes susceptibles d'être françaises
Introduit par l'Assemblée nationale lors de l'examen en commission, l'article 17 ter étend les garanties prévues par l'article 16 du projet de loi à la surveillance internationale lorsque la personne visée est susceptible d'être française.
La commission a adopté cet article sans modification.
L'article 17 ter a été introduit en séance publique par trois amendements identiques, dont un des rapporteurs.
Il précise le régime des avis de la Commission nationale de contrôle des techniques de renseignement (CNCTR) sur les demandes d'autorisation d'exploitation prévues au V de l'article L.854-2 du code de la sécurité intérieure relatives aux communications internationales de personnes susceptibles d'être françaises.
D'une part, en renvoyant aux conditions prévues à l'article L. 821-3, il précise les modalités de procédure (et non pas seulement de délai) suivant lesquelles l'avis est rendu : celui-ci est émis par le président de la commission ou l'un des membres issus du Conseil d'État ou de la Cour de cassation, dans un délai de vingt-quatre heures, l'avis étant réputé rendu en cas de silence gardé dans ce délai.
D'autre part, l'amendement étend la procédure d'avis suspensif de la CNCTR, introduite par l'article 16 du projet de loi, dans le seul cas où la demande d'autorisation concerne une personne qui communique depuis le territoire national. Dans ce cas particulier, il convient d'appliquer les garanties prévues en cas de mise en oeuvre d'une technique de renseignement sur le territoire national. Ainsi, si la Commission nationale de contrôle des techniques de renseignement est amenée à rendre un avis défavorable à une demande d'autorisation d'exploitation, l'autorisation délivrée ne pourra être mise en oeuvre qu'une fois que le Conseil d'État, obligatoirement saisi, se sera prononcé, à moins que le Premier ministre en ordonne la mise en oeuvre immédiate en cas d'urgence dûment justifiée.
La commission estime adaptée cette extension des garanties lorsque la personne faisant l'objet d'une surveillance internationale est susceptible d'être française. Elle considère que ce dispositif permettra d'amorcer le nécessaire débat sur la conformité des pratiques françaises en matière de surveillance internationale à la jurisprudence de la Cour européenne des droits de l'homme telle qu'elle ressort notamment des arrêts du 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni et Centrum för Rättvisa c. Suède . L'équilibre à trouver entre le contrôle susceptible d'être exercé et la nécessité de relations de confiance et de travail avec des États étrangers doit faire l'objet d'un travail attentif du Gouvernement et des services de renseignements concernés.
La commission a adopté l'article 17 ter sans modification .
* 29 Rapport d'activité 2019-2020 n° 506 (2019-2020) de M. Christian Cambon, fait au nom de la délégation parlementaire au renseignement, déposé le 11 juin 2020. Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r19-506/r19-506.html .
* 30 Cf. l'article de Yann LeCun « Qu'est-ce que l'intelligence artificielle ? » : https://www.college-de-france.fr/media/yann-lecun/UPL4485925235409209505_Intelligence_Artificielle______Y._LeCun.pdf
* 31 Ordonnance n° 2021-650 du 26 mai 2021 portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen et relative aux mesures d'adaptation des pouvoirs de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
* 32 Articles 100 à 100-8 du code de procédure pénale.
* 33 Décision n° 2000-441 DC du 28 décembre 2000 [Loi de finances rectificative pour 2000].
* 34 Articles 21 et 11, devenus respectivement L. 244-3 et L. 242-9 du code de la sécurité intérieure.
* 35 Article L. 851-1 du code de la sécurité intérieure.
* 36 Article L. 851-2 du code de la sécurité intérieure.
* 37 Article L. 851-3 du code de la sécurité intérieure.
* 38 Articles 706-73 et 706-73-1 du code de procédure pénale.
* 39 Articles 706-95 à 706-95-3 du code de procédure pénale.
* 40 Article 706-95-20 du code de procédure pénale.
* 41 Le recours à cette technique est en recul de près de 11 % depuis 2016, selon les chiffres communiqués par la CNCTR dans son dernier rapport annuel.
* 42 Par décision du Premier ministre du 11 janvier 2021, prise après avis de la CNCTR, le nombre maximal d'autorisations simultanément en vigueur est de 100, contre 60 antérieurement.
* 43 Article 706-95-3 du code de procédure pénale.
* 44 « Au cours de la procédure pénale, les mesures portant atteinte à la vie privée d'une personne ne peuvent être prises, sur décision ou sous le contrôle effectif de l'autorité judiciaire, que si elles sont, au regard des circonstances de l'espèce, nécessaires à la manifestation de la vérité et proportionnées à la gravité de l'infraction. »
* 45 Décision n° 2015-713 DC du 23 juillet 2015.
* 46 Article R. 10-3 du code des postes et des communications électroniques et article 1 du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.
* 47 Arrêt « La Quadrature du net » du 6 octobre 2020 (affaires C 511/18, C 512/18 et C 520/18)
https://curia.europa.eu/juris/document/document.jsf?mode=req&doclang=fr&docid=232084 .
* 48 Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
* 49 Soit le numéro d'identification de l'abonné (IMSI), le numéro de téléphone mobile (MSISDN), le numéro de téléphone fixe (NDI), l'identifiant sur le WIFI communautaire (login), l'identifiant logique lors d'une communication data de l'utilisateur (adresse IP, Port), l'identifiant physique du mobile (IMEI) ou l'identifiant physique de la box (adresse mac de la box).
* 50 Outre les obstacles techniques, il est difficile, voire impossible, de déterminer par avance une zone géographique dans laquelle se trouvent les personnes susceptibles de commettre des infractions et leurs éventuels complices ou les personnes ou catégories de personnes susceptibles de commettre de tels actes.
* 51 Lors de la table ronde « Pouvoir régalien et droit européen » organisée par la commission des lois et commission des affaires européennes le 10 juin 2021.
* 52 Cour de cassation, chambre criminelle, arrêt n° 90 du 12 janvier 2021 (20-84.045).
* 53 Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
* 54 Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil.
* 55 CJUE, 6 octobre 2020, Privacy International, aff. C-623/17 ; La Quadrature du Net e.a., French Data Network e.a., aff. C-511/18 et C-512/18 ; Ordre des barreaux francophones et germanophone e.a., aff. C-520/18.
* 56 21 déc. 2016, aff. C-203/15.
* 57 Rapport d'activité 2019-2020 n° 506 (2019-2020) de M. Christian CAMBON, fait au nom de la délégation parlementaire au renseignement, déposé le 11 juin 2020. Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r19-506/r19-506.html .
* 58 Loi n° 2017-258