Après les députés, au tour des sénateurs de rendre leur copie : sous la plume de Christian Cambon (LR), le rapport relate les cinq ans de la loi Renseignement. 300 pages gorgées là encore de plusieurs propositions.
Fait au nom de la délégation parlementaire au renseignement (DPR), le rapport de Christian Cambon a été déposé le 11 juin 2020, mais ce n’est que le 28 septembre qu’il a été rendu public. Du moins presque public puisque le PDF contient 317 occurrences « ****** », soit autant de signes d’un caviardage d’informations jugées trop sensibles.
« Nonobstant leur souci de répondre aux légitimes attentes de transparence des citoyens, les membres de la DPR ont également conscience que certaines informations portées à leur connaissance doivent être soustraites à la curiosité de nos rivaux comme de nos adversaires » se justifie le document. « C’est pour parvenir à concilier ces deux impératifs antagonistes qu’il a été décidé de masquer quelques passages sensibles au moyen d’un signe typographique (*****), invariable quelle que soit l’ampleur des informations rendues ainsi illisibles ».
Ce travail d’évaluation a été programmé par la loi de 2015 sur le renseignement dans un délai maximal de cinq ans après entrée en vigueur. Comme son équivalent à l’Assemblée nationale, le rapport d’évaluation revient de long en large sur les rouages du texte, déjà détaillés dans nos colonnes.
Il rappelle ainsi que le texte a été adopté pour combler une « faille importante » à savoir le risque non négligeable « de condamnation par la Cour européenne de sauvegarde des droits de l’homme et des libertés fondamentales, au regard de l’atteinte portée à la vie privée et familiale ». Et pour cause, aussi impérieuses soient-elles, des pratiques menées jusqu’alors par les services ne répondaient pas aux standards portés par les textes internationaux.
Après ces cinq années d’exercice, la mission sénatoriale juge le bilan « globalement satisfaisant », non sans réclamer « des besoins ponctuels d’ajustements ». Tellement ponctuels qu’ils se traduisent par plusieurs dizaines de recommandations pour mettre à jour le texte de 2015.
Pour mémoire encore, le texte met en œuvre plusieurs techniques de renseignement qui permettent alors aux services, dans le cadre de la défense ou la promotion (actions pro-actives) de plusieurs finalités, de porter atteinte à la vie privée d’individus. Et ces opérations sont placées sous le contrôle de la CNCTR, la Commission nationale de contrôle des techniques du renseignement, consultée pour avis simple a priori et qui dispose d’un pouvoir de contrôle a posteriori.
Des procédures fluidifiées, normalisées…mais pas toujours
« Consultés par la délégation, les services de renseignement font état d’un processus désormais fluidifié et normalisé » applaudit le rapport, avant de tempérer : « des directeurs de service entendus par la délégation n’excluent pas que la charge procédurale ait pu conduire des services opérationnels à faire des choix en opportunité et à renoncer, de manière ponctuelle, à la mise en œuvre de techniques de renseignement ».
Parfois, ce n’est pas la lourdeur des procédures qui a réduit les ardeurs. « Des analystes ont pu renoncer à demander la mise en œuvre d’une technique de renseignement, anticipant des difficultés d’exploitation en raison de leur volume ou du délai restreint de conservation ».
Néanmoins, au-delà de ces cas, le rapport Cambon considère que les services disposent d’une bonne maîtrise du cadre légal et qu’il n’y a pas eu d’autocensure de la part des services. En guise de témoignages, il s’appuie sur la baisse des avis défavorables émis par la CNCTR depuis 2016 : de 6,9 %, ils ont fondu à 1,4 % en 2019. Spécifiquement pour les accès en temps différé aux données de connexion, il y a tout de même eu une hausse (de 0,14 à 0,2 % sur la même période).
Trois irrégularités importantes
Au fil des pages, on découvre cependant que trois irrégularités importantes ont été repérées par la CNCTR. En 2018, une personne avait été surveillée sans autorisation du Premier ministre. « La délégation a été informée par la CNCTR de deux nouvelles irrégularités significatives en 2019, pour lesquelles elle n’a pu obtenir d’informations complémentaires ». Ambiance…
De même, ses pouvoirs de contrôle ne sont pas entiers. Impossible pour elle d’accéder aux fichiers de souveraineté, ceux relevant de la sécurité publique ou de la défense nationale.
Des procédures à alléger, y compris celles des IMSI catchers
Pour alléger la partie administrative, la délégation plaide pour plusieurs réformes. À l’instar de son miroir à l’Assemblée nationale, elle souhaiterait voir « simplifier la procédure d’autorisation de l’introduction dans un lieu d’habitation à des fins de retrait d’un dispositif de surveillance ». Un seul membre de la CNCTR serait bien suffisant à ses yeux, et non celui d’une formation collégiale, alors que l’atteinte à la vie privée a déjà eu lieu.
Elle préconise aussi un allongement de la durée d’autorisation de plusieurs techniques du renseignement en particulier les IMSI Catchers, ces fausses antennes relai intermédiaires qui permettent d’alpaguer les données de connexion entre un téléphone et une (vraie) antenne. De deux mois, elle souhaite une extension à 4 mois.
Pour s’en justifier, elle considère que « l’atteinte portée à la vie privée et au secret des correspondances par cette technique, qui ne permet pas d’accéder au contenu des correspondances, mais uniquement aux données de connexion, n’est en effet pas plus forte que dans le cadre d’une pose de balise ou d’une géolocalisation en temps réel, dont les durées maximales d’autorisation sont de 4 mois ».
Même mouvement en faveur d’une extension de la durée d’autorisation d’exploitation des données collectées dans le cadre d’une surveillance internationale. Un vœu exprimé par la DRM et la DGSE. . « Actuellement fixée à 4 mois, elle pourrait par exemple être élevée à 6 mois, ce qui ne nécessiterait qu’un renouvellement par an, contre deux aujourd’hui ».
Les sénateurs repoussent cependant le souhait de la CNCTR de confier au Groupement Interministériel de Contrôle la mission, aujourd’hui assurée par elle, de contrôler a priori le recueil des données de connexion auprès des opérateurs.
« Au regard du volume de dossiers concernés, qui représentent, depuis cinq ans, plus de la moitié du total de demandes traitées par la CNCTR, cette évolution serait, certes, de nature à alléger la charge de la commission et à libérer des ressources pour le renforcement d’autres formes de contrôles ». Cependant, « la délégation s’interroge au demeurant sur la sécurité juridique, du point de vue constitutionnel, de cette évolution, qui conduirait à confier à une même entité, le GIC, à la fois un rôle de contrôleur et un rôle d’opérateur ».
Des données pas toujours centralisées
Autre point, « l’entrée en vigueur de la loi du 24 juillet 2015 a posé un défi technique majeur à la communauté du renseignement : celui de la centralisation des données collectées et de la traçabilité des opérations d’exploitation ». La problématique a plusieurs fois été soulevée par la CNCTR
« Plusieurs techniques, en particulier le recueil de données de connexion par IMSI catcher ainsi que le recueil et la captation de données informatiques, se caractérisent encore en effet par une collecte et une conservation disparate » constate la délégation qui craint aussi des défaillances dans la traçabilité des renseignements collectés. Elle « regrette, en dépit de ses sollicitations, n’avoir pu obtenir d’informations plus précises sur les insuffisances effectivement observées de même que sur les services concernés ».
L’article L. 822-1 du code de la sécurité intérieure exige pourtant que les services de renseignement établissent un « relevé de chaque mise en œuvre d’une technique de recueil de renseignement », avec en particulier « les dates de début et de fin de cette mise en œuvre ainsi que la nature des renseignements collectés ». La délégation invite du coup l’inspection des services de renseignement à contrôler ces points. Et à lui communiqué son rapport.
De plus en plus de demandes de surveillance
La mission relève que les demandes de surveillance n’ont cessé de croître depuis 2015. Ce nombre « a augmenté d’environ 8,5 % en quatre ans, passant de 69 083 demandes en 2016 à 75 082 demandes en 2019, toutes techniques confondues ». Pour la seule année 2019, 22 210 « cibles ont fait l’objet d’au moins une technique de renseignement (hors accès aux données de connexion en temps différé) ».
Toujours selon ce document, « le recours aux techniques de renseignement plus intrusives tend à s’accentuer depuis l’entrée en vigueur de la loi », seulement le tableau fourni a été caviardé. Impossible d’avoir ces données dans le détail.
Comment expliquer cette hausse ? Meilleure appréhension du cadre et des procédures, hausse du nombre d’agents.
Même mouvement à l’international, là où les techniques sont beaucoup vastes, y compris pour les traitements algorithmiques : « une hausse constante, depuis 2015, des demandes d’autorisations d’exploitation de données collectées dans le cadre d’une surveillance internationale ».
La prévention du terrorisme a occupé en 2019 plus du tiers des mesures, suivie par la prévention de la délinquance et de la criminalité organisées (environ 18,5 %), et par la défense ou la promotion des intérêts majeurs de la politique étrangère et des engagements internationaux (15,5 %).
De l’utilité (relative) des boites noires
Parmi les outils de surveillance, la question des boites noires reste posée. « Sur les trois algorithmes actuellement actifs, deux sont gérés par la DGSI et un par la DGSE », cependant « il ressort des auditions et déplacements conduits par la délégation qu’en dépit de premiers résultats encourageants, ce dispositif technique n’a pas encore donné tous les résultats escomptés ». A savoir la détection au plus tôt des tentations terroristes, dans l’océan des métadonnées chalutées sur les services en ligne.
Manque de recul, manque d’expérience, le renseignement explique aussi ces résultats par « le champ trop restreint des données susceptibles d’être analysées par les traitements automatisés mis en œuvre, qui n’inclut pas, à ce jour, l’ensemble des éléments des URL ». Le Conseil constitutionnel a en effet expliqué que les URL, lorsqu’elles relèvent de la catégorie des informations consultées, devaient être exclues, à l’instar du contenu des correspondances.
« Si le Conseil constitutionnel n’interdit pas, par principe, que des services de renseignement puissent accéder, sous réserve de garanties sérieuses, au contenu des communications, il n’a reconnu, jusqu’à présent, la conformité à la Constitution que d’une collecte individualisée, c’est-à-dire visant nominativement une personne susceptible de présenter une menace. Il n’est pas certain, en revanche, que les mêmes conclusions seraient tirées s’agissant d’une technique induisant un traitement en masse de données de communications » estime le rapport, qui n’hésite donc pas à parler de « traitement de masse » s’agissant des boites noires.
Pour faire passer la pilule de la surveillance des URL, même celles relevant des données de localisation, il considère judicieux de renforcer les garanties, avec mise en place d’un contrôle parlementaire renforcé.
Au passage, sa recommandation n° 25 demande que soit expertisée la possibilité pour le renseignement pénitentiaire de recourir à cette technique de l’algorithme si elle venait à être pérennisée, au-delà de sa période de test en vigueur désormais jusqu’à fin 2021.
Surveillance de l’entourage
Dans le flot de ses dizaines de recommandations, la délégation plaide aussi, à la demande des services, pour une extension des mesures de surveillance à l’entourage d’une personne « susceptible d’être en lien avec une menace ». Cela concernerait la géolocalisation en temps réel, le balisage, la captation d’images ou de paroles et notamment le recueil de données informatiques. Une mise à jour qui devrait être auscultée avec soin par le Conseil constitutionnel, lui qui a déjà censuré un dispositif similaire dans le passé.
Pour passer entre les gouttes, le rapport préconise la mise en place d’un contingent maximal d’autorisations délivrées simultanément. Sera-t-il suffisant pour apaiser la jurisprudence du Conseil constitutionnel ?
Des oublis à combler
Aux yeux des sénateurs, la loi de 2015 souffrirait de plusieurs oublis malheureux, qu’il faudrait combler. Il s’agit d’abord d’ouvrir la possibilité de réaliser des tests sur les matériels de collecte de renseignement. Une mesure plébiscitée par les services, qui exigerait en outre de pouvoir conserver plus longtemps les données collectées aux fins de recherche et développement.
D’autres lacunes sont à corriger, comme celle visant à autoriser les agents à ouvrir les correspondances physiques (lettres, paquets, etc.) ou encore à échanger en pleine sécurité juridique avec les autres services. Cette mesure est prévue par un décret, qui n’a jamais été appliqué.
Sur ce dernier point, « l’absence de cadre réglementaire n’a pas empêché les services de procéder à des partages réguliers non seulement de renseignements exploités, c’est-à-dire d’extractions et de transcriptions, mais également de renseignements collectés, c’est-à-dire de données brutes recueillies dans le cadre d’une technique de renseignement ».
Cette concession ouvre la voie à une brèche juridique, puisque les services ont partagé des éléments attentatoires à la vie privée, sans y être autorisés. La délégation « regrette de n’avoir pu obtenir (…) d’informations plus précises sur les conditions juridiques et opérationnelles dans lesquelles il est procédé à des partages de données ».
La 5G et l'avenir des IMSI catchers
Un véritable défi, avaient commenté les députés dans leur rapport. Les sénateurs ne disent pas autre chose : « Il est en particulier probable qu’elle complexifie, voire rende obsolète, la technique de recueil de proximité de données de connexion par les dispositifs de type Imsi-catcher ».
Pourquoi ? Avec la 5G ; « les identifiants électroniques des terminaux qui seront échangés avec les antennes-relais ne seront plus uniques, comme actuellement, mais éphémères ». Seul l’opérateur pourra ainsi faire le lien entre identifiants uniques et ceux éphémères.
La conservation généralisée et indifférenciée des données de connexion
Même constat à l’Assemblée et au Sénat : la jurisprudence de la Cour de justice de l’Union européenne a condamné la conservation généralisée et indifférenciée. « Dans les faits, cette décision remet en cause l’existence même des techniques d’accès aux données de connexion en temps différé, non seulement en matière pénale, mais également dans le champ du renseignement, dont la mise en œuvre repose sur l’obligation légale imposée aux opérateurs de communications électroniques ainsi qu’aux fournisseurs d’accès à internet de conserver, pendant une durée d’une année, l’ensemble des données de connexion transitant par leurs réseaux ».
C’est mardi que la CJUE rendra sa décision, a-t-on appris. Les services ont fait état de « fortes préoccupations » si les conclusions de l’avocat général devaient être suivies.
Commentaires (1)
#1
Comme ça avait été dit avant que la loi ne soit votée, les boites noires servent à rien à part avaler les données de pleins de gens sans raisons valables…
Et pour le coup de la 5G c’est une bonne chose a savoir, même si c’est probable qu’ils trouvent un contournement à termes, comme solliciter les opérateurs pour faire les liens par exemple.
Merci pour l’article !