Dans le cadre du projet de loi sur le renseignement, un des points importants du dispositif concerne la centralisation des données aspirées par les outils intrusifs que ce texte institue. Des améliorations ont été apportées en Commission des lois au Sénat, mais d'importantes brèches subsistent.
Au Sénat, les sondes et les boîtes noires ont été mieux encadrées, selon le rapporteur Philippe Bas (UMP). Seulement, le texte inquiète toujours, notamment la CNIL, qui pointe en aval le manque de contrôle des fichiers nourris par ces techniques intrusives.
Mais restons en amont, car tout est loin d'être parfait, même à ce stade. Spécialement, comment savoir si les services du renseignement n’ont pas avalé plus de données que l’autorisation du Premier ministre ne le prévoyait ? Simple, en assurant la centralisation des informations collectées !
Sur ce point, dans la version votée par les députés, le Premier ministre sera chargé de deux missions. D’un, assurer la traçabilité de la mise en œuvre des techniques de renseignement. De deux, définir les modalités de la centralisation des renseignements ainsi recueillis. « Chaque mise en œuvre ferait l’objet d’un registre mentionnant les dates de début et de fin ainsi que la nature des renseignements collectés » résume en ce sens Philippe Bas, rapporteur et président de la Commission des lois du Sénat.
De même, la Commission nationale de contrôle des techniques de renseignement (CNCTR) recevra communication de l’ensemble des demandes et autorisations de mise en œuvre des techniques. Elle profitera en outre d’un « accès permanent » à tous les relevés, registres, renseignements collectés, transcriptions et extractions, mais également aux dispositifs de traçabilité. Cette CNCTR aura par ailleurs le droit de connaître les modalités des exécutions en cours (article L.833-2), mais seulement sur demande.
Une meilleure centralisation
En Commission des lois, Philippe Bas a fait adopter son amendement visant à mieux synthétiser ces obligations de centralisation (Com-43). Surtout, avec le Com-56, il est désormais prévu que la CNCTR dispose d’un accès non seulement « permanent » mais également « direct » aux éléments centralisés.
Cette nuance a été apportée suite aux critiques émises par Jean-Marie Delarue, l’actuel président de la Commission nationale de contrôle des interceptions de sécurité. Lors de son audition au Sénat, voilà quelques jours, celui-ci avait décrit la future CNCTR comme un « colosse aux pieds d’argile » en raison notamment de son incapacité à disposer d’un tel accès direct et instantané aux données brutes collectées, « contrairement à la CNCIS qui peut consulter les interceptions de sécurité depuis ses propres locaux » explique le rapport de la Commission des lois. L’amendement Com-75 vient tout autant rectifier le tir en indiquant que cet accès direct et permanent se fera sur les données brutes recueillies par les outils d’espionnage, et donc pas seulement sur les données épurées par les services.
L’amendement Com-56 a un autre intérêt : la CNCTR pourra désormais solliciter du Premier ministre tous les éléments qui n'auraient pas été correctement retracés dans ces registres, mais dont elle aurait eu connaissance « par exemple, par un "lanceur d'alerte" au sein des services de renseignement ». Par définition, des renseignements un peu trop sauvages pourraient ne pas être dûment inscrits dans les registres...
Une centralisation non absolue
Cependant, cette « centralisation » ne sera pas absolue, en un seul et même lieu, comme l'a tenté vainement cet amendement UDI. Bernard Cazeneuve, ministre de l’Intérieur, a expliqué pourquoi : « Certaines techniques, comme le processus de sonorisation, ne peuvent être mises en œuvre que de façon décentralisée, par les services opérationnels eux-mêmes ». Autre argument : « Centraliser les données ainsi recueillies en un seul point créerait une vulnérabilité considérable. Des modalités de décentralisation sont envisageables, dans un nombre d’endroits limités, auxquels la CNCTR aurait un accès immédiat. Leur liste sera arrêtée par le Premier ministre, en concertation avec cette commission. »
En clair, la centralisation sera multiple et c’est un texte ministériel qui en définira les modalités. On peut donc très bien imaginer la centralisation dans les territoires d’outre-mer des données qui y seraient glanées. Les membres de la CNCTR devront donc se déplacer loin de Paris pour savoir si l’appétit des services n’a pas trop cannibalisé la vie privée des citoyens.
Pas d’accès permanent et direct pour les données internationales
Mais il y a une autre brèche. Ce contrôle renforcé s’arrêtera aussi aux données aspirées à l’intérieur des frontières de notre pays. Le projet de loi prévoit en effet que la CNCTR dispose d’un « accès permanent et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés au présent livre » mais il exclut le cas de « ceux mentionnés à l'article L. 854-1. »
Quel est cet article ? Il concerne tout le périmètre des mesures de surveillance des communications internationales, définies comme telles dès lors que la communication est « émise ou reçue de l’étranger ». Il suffira donc d’un élément d’extranéité - par exemple l’adresse IP d’un service étranger utilisé par un Français - pour que soit raboté le pouvoir d’investigation de la CNCTR. Le cas parfait sera évidemment celui de l'utilisation d'un VPN, lequel placardera sur les écrans des services la nationalité du service, non celle de l'utilisateur. En imaginant que celui-ci fasse appel à un prestataire brésilien, ou que sais-je, on comprend évidemment l'ampleur de la faille...
En l’état du texte actuel, ces mesures de surveillance internationale seront prévues « aux seules fins de protection des intérêts fondamentaux de la Nation », expression pour le moins floue. C’est en outre un décret non publié qui décrira leurs modalités de mise en œuvre. La CNCTR interviendra certes pour avis lors de sa rédaction, mais se mettra ensuite en large retrait. Ces outils seront en effet déployés sans son avis initial, contrairement aux mesures franco-françaises, et donc sans accès direct et permanent.
Seule exception, lorsqu’une correspondance écoutée renvoie finalement à un numéro d’abonnement ou un identifiant technique rattachable au territoire national, elle sera exploitée dans les conditions prévues pour les interceptions françaises. Ce rattachement bleu blanc rouge est également programmé lorsque sont visées des personnes écoutées en France, mais qui ont depuis quitté le territoire. Dans ces cas, le contrôle de la CNCTR reviendra dans le droit commun. Seulement, on le voit, cette intervention ne sera que tardive...
Enfin, l’article en question prévoit tout autant que, de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt direct et personnel, la CNCTR pourra s’assurer que les mesures mises en œuvre respectent les conditions de la loi, du décret et des autorisations données par le Premier ministre. Toutefois, ce contrôle sur demande sera conditionné à sa curiosité et surtout à ses moyens financiers et humains, à propos desquels on ne sait rien.
