Mme Sylvie Goy-Chavent. Exactement !
M. Claude Malhuret. En premier lieu, les IMSI catchers doivent être strictement paramétrés, dès leur conception et leur fabrication, afin qu’ils ne puissent intercepter que les conversations émanant de numéros de téléphone dûment spécifiés et non toutes les conversations de tous les téléphones dans leur rayon d’action.
Mme Sylvie Goy-Chavent. Très bien !
M. Claude Malhuret. En deuxième lieu, les logiciels espions doivent être restreints à la capture des échanges sortant ou rentrant d’un domicile et non à l’intrusion à l’intérieur du domicile, qui n’a jamais été autorisée en France jusqu’à ce jour sans décision d’un juge judiciaire – je regrette que Mme la garde des sceaux soit absente de l’hémicycle au moment où je prononce cette phrase.
M. Christian Cambon. Ça ne l’intéresse pas !
M. Claude Malhuret. En troisième lieu, l’interception des communications internationales permet notamment la collecte de masse des données de nos concitoyens à l’étranger ou en France. Rien dans la loi n’interdit leur communication dans le cadre des échanges entre services de renseignement alliés. S’il est compréhensible de jeter un voile pudique sur ces pratiques, au moins faut-il préciser que ces échanges ne peuvent concerner, dans des proportions significatives, nos propres concitoyens – c’est le sens d’un amendement que j’ai déposé.
Enfin et surtout, l’article L. 854–1 du code de la sécurité intérieure, celui qui autorise la surveillance par les boîtes noires des connexions de l’ensemble de la population, doit être supprimé. Un traitement de masse des données personnelles par l’État n’est pas compatible avec la vie d’une société démocratique.
Ces conditions me paraissent indispensables pour pouvoir voter un projet de loi nécessaire – parce qu’il réglemente des pratiques aujourd’hui totalement « a-légales » –, mais qui n’est acceptable que dans la mesure où il ne remet pas en cause les principes de base de notre démocratie. (Applaudissements sur les travées du groupe Les Républicains, de l'UDI-UC, du RDSE, du groupe écologiste et du groupe CRC.)
M. le président. La parole est à M. Michel Boutant.
M. Michel Boutant. Monsieur le président, monsieur le ministre, mes chers collègues, l’exercice auquel nous sommes en train de nous livrer est pour le moins insolite : il consiste au fond à mettre en lumière une activité qui prospère plutôt dans l’ombre, la discrétion, la confidentialité, voire le secret, comme si nous devions résoudre un paradoxe ou réduire un oxymore.
La volonté du Gouvernement, à travers le projet de loi, c’est de donner un cadre légal aux activités de nos six services de renseignement sur le territoire national. Donner un cadre légal, certes, mais, dans le même temps, faire droit à celles et à ceux qui s’inquiètent que ces activités, les moyens mis en œuvre pour les exercer, les conditions de cette mise en œuvre puissent aboutir à une immixtion dans la vie privée, à une atteinte à la liberté individuelle.
Tous autant que nous sommes ici savons cela, et notre sensibilité politique personnelle nous conduit à nous positionner soit plus en faveur de la défense d’une liberté que nous avons au cœur, soit plus en faveur de la défense de notre sécurité. Tenir l’un sans lâcher l’autre, l’exercice est difficile, mais le Gouvernement a le courage de soumettre à notre réflexion ce sujet délicat.
Alors que le projet de loi était en gestation, notre pays a été sauvagement frappé au début du mois de janvier. Je ne reviens pas sur ces événements à la fois tragiques et cruels, mais ceux-ci nous rappellent la nécessité pour une nation de se prémunir contre de telles attaques, bien entendu préparées dans le secret. C’est à ce niveau de secret que l’action doit se faire plutôt de manière anticipée.
Notre pays a besoin de services de renseignement à la fois forts, efficaces – efficacité pour déjouer les attentats, les attaques cybernétiques qui peuvent porter gravement atteinte à la souveraineté de notre pays, efficacité dans la défense des intérêts vitaux également, comme le Premier ministre le rappelait tout à l’heure –, mais également respectueux des droits fondamentaux et qui agissent donc dans un cadre juridique sans nuire à l’exercice serein de la démocratie et à l’État de droit, sans nuire à l’efficacité de son travail, indispensable à la sécurité des Français, indispensable à la défense des intérêts économiques, scientifiques et sociaux.
Le projet de loi fait écho à la loi du 10 juillet 1991 relative au secret des correspondances émises par la voie des communications électroniques. Or les techniques et les moyens de communication qui se sont développés depuis cette époque ont beaucoup évolué : téléphone portable, internet, réseaux sociaux, techniques d’intrusion, de géolocalisation, de balisage, de sonorisation. Le projet de loi donne donc un cadre, détermine les techniques autorisées, précise les conditions d’utilisation, les autorisations en amont, les dérogations éventuelles, les dérogations concernant certaines interventions en cas de danger imminent.
Certains voient dans le projet de loi – nous venons de l’entendre – une version française de tout ou partie du Patriot Act américain. Bien sûr, il arrive devant le Parlement après les tueries de janvier 2015, celle de Verviers, de Copenhague, mais qui pourrait penser qu’il s’agit d’un texte d’opportunité ? Ce n’est pas le cas puisqu’il a été initié voilà plus d’un an. Il vise à légaliser des pratiques, à protéger également nos agents – à qui je veux rendre hommage – dans l’exercice de leur métier et surtout à rappeler aux Français qu’ils peuvent compter sur leur engagement, ici ou ailleurs, au risque de leur vie.
Pour conclure, je voudrais dire que l’activité des services de renseignement éveille bien des fantasmes, souvent alimentés par la littérature et le cinéma. Or un État ne vit pas dans les fantasmes. En posant un cadre légal, le projet de loi doit éloigner des fantasmes tant les activistes, en leur rappelant que nous sommes dans un État de droit où les officines et les barbouzes n’ont pas leur place, que ceux qui seraient habités par la peur de ne plus vivre dans un État de droit. (Applaudissements sur les travées du groupe socialiste.)
M. le président. La parole est à Mme Catherine Morin-Desailly.
Mme Catherine Morin-Desailly. Monsieur le président, madame la garde des sceaux, monsieur le ministre, mes très chers collègues, au sommet de la pyramide est placé Big Brother. Big Brother est infaillible et tout-puissant ! C’est l’affaire Snowden qui aura démontré que nous ne sommes désormais plus très éloignés du monde effrayant de 1984 imaginé par George Orwell. En 2013, les révélations de ce jeune informaticien sur les pratiques de la NSA ont en effet mis en lumière un système de surveillance de masse exercée en ligne, précipitant la fin du mythe originel d’internet.
Quarante ans après sa naissance, internet, synonyme de liberté, se révèle être aussi un instrument de puissance qui nous échappe, support d’un monde d’hyper-surveillance et de vulnérabilité. Tel est le diagnostic réalisé l’année dernière par la mission commune d’information sur la gouvernance mondiale de l’internet, voulue par le groupe UDI-UC, dont j’ai eu l’honneur d’être la rapporteur.
Forte de ce constat, notre mission a réfléchi au rôle que devraient jouer la France et l’Europe dans cette gouvernance. Parmi les soixante-trois propositions sur un ensemble de sujets, étaient évoqués l’urgence d’un cadre juridique renouvelé et modernisé, le nécessaire renforcement de l’encadrement légal des activités de renseignement, mais aussi l’indispensable amélioration de leur contrôle politique. C’est dire si je suis, comme vous tous, préoccupée par les questions de sécurité, que je considère comme un droit fondamental. Tout comme je considère comme fondamental – ce n’est pas opposable – le respect de nos libertés.
Sur ce sujet, à en juger le texte initial du Gouvernement, je dois dire que nous revenons de loin. C’est ici au Sénat, grâce au travail effectué par Philippe Bas pour la commission des lois et par Jean-Pierre Raffarin pour la commission des affaires étrangères, qu’il a été sensiblement amélioré. Je remercie d’ailleurs la commission des lois d’avoir intégré certains de mes amendements. Néanmoins, en l’état, ce texte est encore source de grande inquiétude. Je ferai à cet égard plusieurs remarques.
Première remarque : une législation exclusivement nationale reste à mon sens insuffisante. Aujourd'hui, si chaque membre de l’Union européenne s’interdit d’espionner sa propre population, il obtient néanmoins des renseignements sur celle-ci auprès de ses voisins. C’est ce qu’Edward Snowden a qualifié de « bazar européen » lors de son audition au Parlement européen.
Il faut donc un cadre juridique européen harmonisé de contrôle des échanges d’informations entre services de renseignement, et ce sans préjudice de la compétence exclusive de l`État français en matière de politique de renseignement. Il faut aussi se préoccuper de la sécurité de nos réseaux et de nos infrastructures. Je l’ai expliqué dans un autre rapport fait au nom de la commission des affaires européennes en 2013 : nous sommes sur bien des sujets, et sur celui-ci en particulier, une « colonie du monde numérique ».
Deuxième remarque, et c’est un point à mes yeux rédhibitoire : ce texte, à travers les mesures proposées, qui n’ont en rien prouvé leur efficacité, instaure la suspicion numérique généralisée. Ce n’est pas pour rien si tant d’institutions expertes et qualifiées, comme le Conseil national du numérique, la Commission nationale de l’informatique et des libertés, l’INRIA - l’Institut national de recherche en informatique et en automatique -, les barreaux, le Conseil national des droits de l’homme nous alertent quant aux graves risques d’abus de dispositifs par nature intrusifs. Hier, au sujet d’une question prioritaire de constitutionnalité, le rapporteur au Conseil d’État lui-même a recommandé à l’institution qu’il représente de saisir le Conseil constitutionnel.
Il y a tout d’abord la question des métadonnées, c’est-à-dire des données sur les données. Parce qu’elles seraient, nous dit-on, moins intrusives que le contenu lui-même, elles pourraient être collectées et traitées sans que cela constitue un risque pour le droit à la vie privée de nos concitoyens. Eh bien, c’est tout le contraire ! En raison de la montée en puissance des capacités de traitement des données en masse, le « big data », et aussi de la numérisation de toute l’activité humaine, ces métadonnées sont devenues plus révélatrices du comportement des modes de vie, des opinions, des usagers que nous sommes.
Il y a ensuite la question des « boîtes noires », les fameux algorithmes, posées chez les fournisseurs d’accès à internet, les hébergeurs de sites web ou encore les grands services en ligne que l’on utilise au quotidien et où se trouvent les métadonnées de chaque internaute.
Disons-le clairement, le projet de loi tel qu’il a été voulu par le Gouvernement s’apparente bien à un Patriot Act à la française : une loi d’exception, prise au lendemain des attentats du 11 septembre 2001 et qui a abouti à l’émission de plus de 200 000 national security letters – lettres de sécurité nationale – permettant d’avoir accès aux données d’usagers de télécommunications entre 2003 et 2006.
Non content d’alerter sur les potentielles dérives d’une détection algorithmique et de démontrer qu’un programme informatique, même bien réglé, produit systématiquement des erreurs, l’INRIA souligne également l’inefficacité de cette technique algorithmique, apportant la preuve qu’ils sont facilement contournables, même sans connaissance technique et informatique élaborée.
Ironie du sort, comme l’a rappelé notre collègue Claude Malhuret, au moment où le Congrès américain remet en cause la reconduite de l’article 215 du Patriot Act, sans tirer de conclusions de l’application de celui-ci lors des quinze dernières années, nous nous apprêtons à légiférer aujourd’hui pour amplifier notre dispositif légal du renseignement avec des conséquences démocratiques mais aussi économiques imprévisibles.
Outre le fait qu’il convient de supprimer des dispositifs dits de « boîtes noires » et de prendre quelques garanties supplémentaires, que j’aurai l’occasion d’évoquer lors de la discussion des articles, concernant notamment les « professions protégées », il faut absolument donner à la CNIL la possibilité d’un contrôle a posteriori des fichiers. C’était d'ailleurs la recommandation n° 54 de notre rapport.
Enfin, troisième remarque : il est important de préciser une menace sous-jacente à ce texte, à savoir la création de « failles » par les services de renseignement qui seront autant de portes dérobées dans les algorithmes cryptographiques, des failles accessibles tant aux agences de sécurité qu’aux terroristes et autres cybercriminels. Il a été démontré que les programmes de surveillance de masse comme ceux de la NSA fragilisent les dispositifs de sécurité d’internet. Ils rendent encore plus vulnérables les entreprises et les infrastructures critiques des États et, donc, leurs données. Les conséquences économiques liées à la crise de confiance numérique sont d'ailleurs devenues telles aux États-Unis que l’agence fédérale américaine chargée d’élaborer les standards de chiffrement souhaite désormais s’émanciper de la NSA.
Mes chers collègues, je dirai, en conclusion, qu’à l’hyper-surveillance, qui nous touche tous, doit correspondre la mise en place d’hyper-moyens de contrôle de la surveillance, seul rempart contre l’arbitraire. La France et les Français ont besoin d’être protégés, mais ils ont aussi besoin de voir leur démocratie et ses valeurs protégées sur le long terme.
Pour avoir participé ce matin, dans le cadre du deuxième forum de la gouvernance de l’internet, à un débat sur ces sujets, je vous mets en garde. À la question posée par un atelier intitulé « La sécurité peut-elle être le résultat d’un algorithme ? », la réponse a bien sûr été négative. La conclusion a été qu’une fois les dispositifs établis, nul ne pouvait garantir l’utilisation qui en serait faite. Quel que soit le gouvernement, il sera toujours tentant de mettre le doigt dans le pot de confiture. (Applaudissements sur les travées de l'UDI-UC, du groupe Les Républicains, ainsi que sur certaines travées du groupe socialiste. – Mme Esther Benbassa applaudit également.)
M. le président. La parole est à M. le ministre.
M. Jean-Yves Le Drian, ministre de la défense. Monsieur le président, mesdames, messieurs les sénateurs, la réponse que je ferai au nom de Mme Christiane Taubira, garde des sceaux, de M. Bernard Cazeneuve, ministre de l’intérieur, et en mon nom personnel sera assez brève en raison de la visite d’État du roi d’Espagne. Nous aurons l’occasion de revenir sur l’ensemble des sujets lors de l’examen des amendements.
Je retiens de ce débat que nous avons la même volonté d’établir une politique publique du renseignement à la fois efficace, moderne et protectrice. Nous partageons également la volonté de trouver un point d’équilibre entre efficacité et contrôle. Si j’ai bien entendu Philippe Bas et Jean-Pierre Raffarin, nous sommes sur le point d’aboutir. Grâce à l’engagement des uns et des autres, des compromis ont pu être trouvés ou sont en voie de l’être sur plusieurs sujets sensibles : la finalité du renseignement, la durée de conservation des données, les modalités de centralisation des données collectées afin de favoriser leur contrôle ou la protection de certaines professions. Le Premier ministre l’a clairement dit : la volonté du Gouvernement est bien de travailler de concert avec le Parlement dans un esprit de responsabilité et d’efficacité, avec le souci de parvenir à un consensus chaque fois que cela sera possible.
Les travaux de l’Assemblée nationale ainsi que ceux de la commission des lois et de la commission des affaires étrangères du Sénat – je remercie d’ailleurs leur rapporteur et tous ceux qui ont travaillé sur ce texte – ont déjà enrichi le projet de loi. Je ne doute pas que l’état d’esprit constructif qui anime la Haute Assemblée permettra de parvenir à un résultat de grande qualité.
Vous avez été nombreux à souligner la gravité de la menace terroriste. En ma qualité de ministre de la défense, j’y suis confronté quotidiennement. Je ne reviendrai pas sur ce diagnostic partagé.
J’ai constaté avec intérêt que chacun reconnaissait que notre législation était devenue, dans cet environnement, lacunaire et obsolète. Il importe donc de trouver les voies d’élaboration d’un cadre de nature à intégrer la révolution numérique dans un dispositif qui n’était absolument pas pris en compte dans la loi de 1991. Car la révolution numérique, qui a bouleversé les techniques et les missions de renseignement, a aussi modifié l’action des groupes terroristes ! Vous l’avez dit, monsieur Raffarin, ce texte est en train de devenir une loi de maturité. À cet égard, nos débats permettront encore de le faire progresser.
Mesdames, messieurs les sénateurs, je voudrais appeler votre attention sur plusieurs sujets qui me paraissent préoccupants ou qui me semblent nécessiter des précisions. C’est le cas des moyens techniques, notamment des moyens intrusifs, susceptibles d’affecter la protection de la vie privée dont disposeront nos services de renseignement. Beaucoup d’interventions ont été consacrées à ce sujet – je pense en particulier à M. Mézard et à Mmes Cukierman et Benbassa.
Permettez-moi de revenir sur un certain nombre de points majeurs rappelés par le Premier ministre : toutes les techniques nouvelles sont soumises à une autorisation. Le texte n’autorise que des techniques de surveillance ciblée, strictement proportionnée aux objectifs poursuivis. Contrairement à ce qui a été soutenu par certains, il ne s’agit en aucun cas d’établir un système de surveillance de masse.
Ainsi, la surveillance en temps réel par recueil direct sur les réseaux ne sera possible que si une personne est au préalable individuellement identifiée comme représentant ou pouvant représenter une menace terroriste. La Commission nationale de contrôle des techniques de renseignement sera consultée et devra émettre un avis. Ces techniques de surveillance en temps réel permettront le recueil des seules données de connexion à l’exclusion du contenu des correspondances.
De même, s’agissant de la détection sur données anonymes, les opérateurs ne transmettront aux services de sécurité que les données de nature à caractériser l’existence d’une menace terroriste. Ces données, qui ne concernent que le terrorisme et non pas d’autres sphères de l’activité publique ou privée, seront donc sélectionnées – j’insiste sur ce point – au moyen d’algorithmes. Il ne s’agit en aucun cas de cette surveillance généralisée et massive évoquée ici ou ailleurs ! Un certain nombre d’amendements adoptés par les députés et visant à dissiper tout malentendu sur ce sujet figurent dans le texte de loi.
Je tiens à redire ici, en tant que ministre de la défense, que cette technique est nécessaire à l’efficacité des services de renseignement. On ne comprendrait pas que, face à des réseaux clandestins se jouant des modes de surveillance classique, nous ne fassions rien. Nous devons donc tout faire pour repérer ces réseaux et ces filières. Cette capacité est pour nous cruciale – MM. Détraigne et Sueur l’ont dit également – afin d’entraver et de prévenir des actes terroristes sur notre sol. Il importe toutefois que ce dispositif soit soumis à des règles draconiennes, ce qui sera le cas.
Je rappelle qu’un amendement spécifique relatif aux algorithmes, déposé par le Gouvernement, a été adopté par les députés pour tenir compte des préoccupations exprimées par certains parlementaires ou commentateurs. Le dispositif tel qu’il sera institué, dans une perspective expérimentale, est ainsi prévu pour une durée temporaire, en l’occurrence trois ans, et sa prolongation dépendra de la décision du Parlement. Chaque algorithme fait l’objet d’un renouvellement, le cas échéant, tous les quatre mois, sachant que le premier ne vaut que pour deux mois. Il s’agit, là encore, d’une garantie supplémentaire, en sus du contrôle permanent de la CNCTR sur la proportionnalité et la finalité de ce type d’interventions.
Par ailleurs, le Gouvernement vous proposera de préciser dans le texte, par voie d’amendement, que les données de connexion retenues par les algorithmes devront être rapidement détruites, s’il n’est pas confirmé que les personnes auxquelles elles correspondent méritent d’être surveillées au nom de la prévention du terrorisme. Je le précise, car ce sujet donne lieu à de nombreuses incompréhensions, voire à des illusions. Il n’y a rien de commun entre ce texte et le Patriot Act américain, quoi qu’en pense M. Malhuret. Je tiens d’ailleurs à lui faire remarquer que ce dispositif – cela relève de la responsabilité des autorités américaines – ne sera pas supprimé, mais transformé en Freedom Act, lequel reprendra les mêmes mesures ; les excès et les conséquences néfastes du Patriot Act, qui ont pu être observés jusqu’à présent, ne disparaîtront donc pas. Nous ne nous situons ni dans le même contexte ni dans la même logique.
Je souhaite revenir sur deux autres points qui ont été évoqués.
Le premier concerne les mesures de surveillance internationale.
Le Premier ministre l’a dit dans son intervention liminaire, ces mesures ne faisaient l’objet jusqu’à présent d’aucune organisation réglementaire. Ainsi, la loi de 1991 n’avait pas intégré ce dispositif de surveillance, pourtant essentiel. Le projet de loi y remédie, et c’est un progrès décisif pour le droit.
J’ajoute que ces mesures de surveillance internationale doivent faire l’objet de deux décrets : un décret en Conseil d’État « classique », et un autre, non public, qui sera tout de même communiqué à la CNCTR, au Conseil d’État et à la délégation parlementaire au renseignement. Ce décret « non classique » fixera les modalités techniques de recueil des données nécessaires lors des interceptions au niveau international. Le Gouvernement a souhaité préciser dans la loi elle-même le contenu du décret classique, afin de faire montre encore plus clairement de sa volonté de transparence.
Ce sujet ressortissant de la compétence du ministre de la défense, le Gouvernement a déposé un amendement que je défendrai demain visant à définir l’objet des autorisations, leur durée de validité, les instruments de contrôle de la CNCTR et la nature du droit au recours devant le Conseil d’État, lequel sera ouvert, le cas échéant, à l’encontre de ces mesures de surveillance internationale. Cela constitue une première dans notre droit, mais aussi une avancée significative dans l’esprit d’équilibre entre contrôle et efficacité que j’évoquais précédemment.
Le deuxième point, évoqué par M. Hyest, concerne le rôle du Conseil d’État et la place du juge judiciaire. Je rappelle, comme il l’a fait, que le renseignement relève de la police administrative et que son contentieux concerne la légalité des décisions du Premier ministre. Par ailleurs, le renseignement ne relève pas du champ de l’article 66 de la Constitution, lequel énonce que l’autorité judiciaire est « gardienne de la liberté individuelle », dès lors que, en vertu de la jurisprudence du Conseil constitutionnel, cet article ne commande la compétence du juge judiciaire que pour les mesures privatives de liberté. Or celles-ci ne sont pas en cause ici. Il est donc logique, comme cela a été dit, que le juge administratif soit compétent pour connaître de la légalité des techniques de renseignement. C’est le point de vue que défendent à la fois, au nom du Gouvernement, la garde des sceaux et le ministre de l’intérieur.
Monsieur le président, mesdames, messieurs les sénateurs, telles sont les remarques que je souhaitais faire avant que nous ne débutions l’examen des articles du projet de loi, examen qui permettra au Gouvernement de préciser de nouveau sa position dans une volonté d’ouverture et de compromis entre le contrôle et l’efficacité. (Applaudissements sur les travées du groupe socialiste, ainsi que sur certaines travées de l’UDI-UC.)
M. le président. La parole est à M. le ministre.
M. Jean-Yves Le Drian, ministre. Monsieur le président, je demande l’examen par priorité, demain, mercredi 3 juin, à la reprise de la séance du soir, des articles 2 et 3 du projet de loi. Je tiens en effet à être présent au Sénat lorsque seront examinées les dispositions de ce texte relatives aux algorithmes de la surveillance internationale, dans la mesure où celles-ci relèvent en grande partie de ma compétence.
Aux termes de l’ordre du jour prévu, ces dispositions devaient être examinées jeudi 4 juin. Or, ce jour-là, je serai retenu à l’Assemblée nationale par l’examen en séance publique du projet de loi actualisant la programmation militaire. Je vous remercie de votre compréhension.
M. le président. Quel est l’avis de la commission sur cette demande de priorité ?
M. Philippe Bas, rapporteur. La commission ne s’y oppose pas.
M. le président. Il n’y a pas d’opposition ?...
La priorité est ordonnée.
La suite de la discussion du projet de loi et de la proposition de loi organique est renvoyée à la séance de demain, mercredi 3 juin 2015.
Mes chers collègues, nous allons maintenant interrompre nos travaux ; nous les reprendrons à vingt et une heures trente.
La séance est suspendue.
(La séance, suspendue à dix-neuf heures trente-cinq, est reprise à vingt et une heures trente-cinq, sous la présidence de M. Hervé Marseille.)