C’était prévisible... ou craint : la CNCTR se plaint de plus en plus bruyamment du manque de centralisation des informations collectées par les services du renseignement. Une lacune qui gage la qualité de son contrôle, alors que le spectre des données collectées gagne en amplitude. Explications.
La Commission nationale du contrôle des techniques du renseignement (CNCTR) est la nouvelle tourelle en charge de vérifier les activités du renseignement. Instaurée par la loi du 24 juillet 2015, elle doit être saisie de tout projet de surveillance voulu par les services et autorisé par le Premier ministre. Son avis rendu a priori dit alors si les justifications écrites collent avec la loi, notamment au regard des finalités poursuivies (terrorisme, indépendance nationale, intégrité du territoire et défense nationale, intérêts économiques, industriels et scientifiques majeurs de la France, etc.).
À l’échelle internationale ou nationale, son intervention est également a posteriori afin de vérifier, cette fois, que ce qui a été recueilli, conservé et traité correspond bien à l’autorisation initiale. Elle profite à ce titre d'« un accès permanent, complet et direct aux relevés, registres, renseignements collectés, transcriptions et extractions mentionnés » précise l’article L.833-2 du Code de la sécurité intérieure (CSI).
Cependant, on le comprend aisément à la lecture des débats parlementaires : ces opérations de contrôle n’ont de réalité concrète que si elles sont accompagnées de mesures de centralisation. Pourquoi ? Des renseignements disséminés dans toute la France, avec une partie hébergée sur les Terres australes ou sur la Lune, rendraient la surveillance des surveillants bien vaine.
En ce sens, l’article L.822-1 du CSI introduit par la loi sur le Renseignement prévoit une saine mesure : « le Premier ministre organise la traçabilité de l'exécution des techniques autorisées […] et définit les modalités de la centralisation des renseignements collectés ». Cependant, à y regarder de plus près, la loi n’impose pas au gouvernement de centraliser en un point toutes les données de contenants et de contenus collectées, mais de définir des modalités de centralisation. Une nuance importante qui empoisonne la CNCTR.
Pour la CNCTR, la centralisation s’impose
Concrètement qu’en est-il ? Le 12 novembre dernier, cette commission est consultée par le ministre de l’Intérieur pour rendre un avis interne sur un projet de décret fondamental. Ce texte a été publié fin décembre au Journal officiel. Il décrit la liste, pour le moins impressionnante, des services du renseignement, autres que ceux du premier cercle, également autorisés à espionner.
Nous avons obtenu par demande « CADA » l’avis en question. Page 3, la commission rappelle à Bernard Cazeneuve que « l’exercice effectif de [son] contrôle a posteriori impose une centralisation des données recueillies auxquelles la CNCTR doit avoir un accès libre et permanent ».
Or à cette date, la centralisation rêvée n'est toujours pas effective. La CNCTR suggère au ministre du coup plusieurs pistes : par exemple, que les données collectées par les services du second cercle, disséminés dans toute la France, puissent passer par les canaux utilisés par le Groupement interministériel de contrôle (GIC), qui centralise traditionnellement les écoutes et autres interceptions de correspondance. À défaut, la CNCTR chuchote une autre solution : une centralisation « au niveau de l’état-major des grandes structures de rattachement des services mentionnés dans le projet de décret ». Cela vise donc la direction générale de la police nationale, la direction générale de la gendarmerie et la préfecture de police.
Pour pousser les murs, elle appelle « à l’attention du Gouvernement sur l’urgence de la mise en œuvre de cette centralisation qui impliquera l’élaboration d’infrastructures et de réseaux de communication robustes et répondant aux exigences de sécurité requises pour le stockage et le transport des données de renseignement » (voir notre capture). Trois mois plus tard après ce signal d’alarme, où en est-on ? Au point mort si on en croit les propos du président de la CNCTR.
Extrait de la délibération CNCTR de novembre 2015
Des moyens limités
Auditionné au Sénat le 10 février, Francis Delon a réitéré cette fois publiquement ses vœux, laissant craindre la sourde oreille du ministère de l’Intérieur. Ce problème est d’autant plus vif que plusieurs données chiffrées ont permis de matérialiser l’ampleur de sa tâche.
La CNCTR compte un collège de neuf membres, dont quatre parlementaires, disposant en plus de sept personnes dans ses rangs, dont un ingénieur. Fin 2016, elle devrait tripler ses effectifs pour atteindre vingt personnes, le tout financé avec une enveloppe annuelle de 400 000 euros. « Un budget de fonctionnement qui permettra à la Commission d’exercer notamment le contrôle a posteriori que la loi lui a confié » assure Delon, qui dans sa prose, préfère le futur au présent.
Voilà pour les moyens. Apprécions maintenant le chantier : avant la loi du 24 juillet 2015, seules les demandes d’interception, de géolocalisation et d’accès aux données devaient faire l’objet d’un avis préalable de l’ancêtre de la CNCTR, la Commission nationale de contrôle des interceptions de sécurité. Aujourd’hui, quelles que soient les techniques, toutes passent par la CNCTR. Et là, c’est le drame.
De plus en plus de facteurs d’intervention
Depuis le 3 octobre 2015, elle a ainsi rendu 4 400 avis, soit une augmentation de plus de 50 % par rapport à l’activité de la CNCIS, un an plus tôt. Statistiquement, 30 % de ses avis sont occupés par la prévention de la criminalité organisée, mais à 40 %, celle du terrorisme gagne le haut du podium. En comparaison encore, le principal motif des demandes d’interception et de géolocalisation de la CNCIS se rapportait à la délinquance organisée (60%), dont la lutte contre le trafic de drogue.
Si elle ne rend que des avis simples, tous ses avis négatifs (inférieur à 1% du total) ont été suivis par le Premier ministre. Bien qu’élevés, ces 4 400 avis ne sont toutefois pas grand-chose par rapport à ce qui se dessine. « La croissance du nombre de demandes devrait s’intensifier en raison de plusieurs facteurs » annonce Francis Delon, la main tremblante. Quels sont ces facteurs ?
La loi sur le renseignement a autorisé les services du premier cercle (DGSI, DGSE, DPSD, DRM, DRNE et TRACFIN) à recueillir l’ensemble des techniques du renseignement, lesquelles ont été de plus élargies par la loi.
De plus, comme déjà exposé, le décret de fin décembre autorise une ribambelle de services du second cercle à recourir à certaines de ces techniques, toujours après avis de la CNCTR. Pour l’instant, cette dernière profite d’une réserve d’oxygène : le nombre de demandes est encore faible, non par timidité excessive, mais parce que les agents sont en formation.
Les épaules de la CNCTR doivent se préparer à une plus intense formation physique : un autre décret de fin janvier a ouvert les vannes de l’accès aux données de connexion, puisées chez les opérateurs, les FAI et même les sites Internet. On vise ici les contenants techniques des communications (identification du titulaire d’une ligne, accès aux FADET, etc.) dont le recueil exigera un avis de cette commission si sollicitée.
40 000 demandes d'accès aux données de connexion soit 4,6 par heure
En extrapolant les premiers chiffres d’activités, Delon concède dignement : « Nous serons amenés à traiter annuellement un volume de 40 000 demandes à ce titre, ce qui est évidemment important ». Soit 109 demandes par jour (365/365) ou 4,6 demandes par heure (24h/24) face auxquelles la commission de contrôle devra contrôler.
Mais ce n’est pas tout ! Le décret de fin janvier active encore l’article L.851-2 du Code de la sécurité, à savoir le suivi en temps réel des personnes présentant une menace terroriste. Une nouvelle charge sur sa modeste barque : vérifier que les personnes en cause représentent bien individuellement une telle menace, au regard des éléments rapportés par les services dans des rapports confidentiels.
Tout cela est déjà beaucoup, mais ne dépeint que la moitié de son activité ! La CNCTR est aussi appelée à vérifier parallèlement tout ce qui est sécrété par de déluge d'oreilles électroniques issues de la loi Renseignement. C'est le fameux contrôle a posteriori.
Apprécions ce lourd parfum d'heures supp’ : auprès du GIC, la commission est censée vérifier interceptions, géolocalisation et données de connexion. Et pour les nouvelles techniques, comme les balises, la sonorisation, la surveillance visuelle, tout se complique puisque ces données sont disséminées sur tout le territoire...
Bref, une véritable attaque DDoS administrative ! Il n’est guère étonnant donc que ce 10 février, le numéro un de la CNCTR a tiré la sonnette d’alarme devant les sénateurs : la centralisation qui permettrait un accès direct et simple dans un lieu unique et déterminé « est un point sur lequel en permanence, nous insistons auprès du Gouvernement » car « il est hors de question que nous passions notre temps à courir d’un endroit à un autre pour contrôler telle ou telle donnée. »
Quand le gouvernement a besoin d'être convaincu
Ce tableau esquissé par le principal concerné a évidemment inquiété les élus. Le sénateur Jacques Mézard, membre de la Commission des lois et président du Rassemblement Démocratique et Social Européen (RDSE) : « avec les chiffres que vous nous avez indiqués, je me demande vraiment comment vous pourrez avoir un avis en aussi peu de temps ! ». Le socialiste Jean-Pierre Sueur, vice-président de la Commission des lois demande lui : « Est-ce que la centralisation est une utopie ? ».
En réponse, Francis Delon a suggéré une nouvelle fois l’utilisation des moyens de transmissions sécurisés du GIC, via ses 18 centres en Province. « On peut utiliser ce tuyau sécurisé pour faire remonter les données ». De son aveu, le ministère de l’Intérieur travaille sur le sujet. Mais cela reste « des chantiers qui nécessitent de la volonté politique. Nous appuyons en ce sens, car nous sommes convaincus que la centralisation est nécessaire pour que la loi soit appliquée. Le gouvernement n’a jamais dit qu’il n’était pas d’accord, mais il doit être convaincu qu’il faut le faire ».
Si des évolutions sont espérées dans les semaines à venir, rappelons qu’en attendant, la CNCTR doit rendre ses avis consultatifs dans un délai de 24 heures. Si elle ne respecte pas ce délai de droit commun ? Pas de tragédie pour Bernard Cazeneuve : l’avis est réputé rendu à la faveur du gouvernement.