Les irrégularités constatées par la CNCTR, le gendarme du renseignement

CnCtrl+z
Droit 13 min
Les irrégularités constatées par la CNCTR, le gendarme du renseignement
Crédits : PeopleImages/iStock

Dans son rapport d'activité 2021, la Commission nationale de contrôle des techniques de renseignement revient en détail sur les irrégularités qui lui ont été notifiées par les services, ou qu'elle a pu constater lors de ses contrôles a posteriori, à distance ou bien sur pièces et sur places. Troisième volet de notre dossier sur ce rapport annuel.

Si la mise en œuvre des contrôles à distance « a connu un résultat mitigé » (voire notre actualité), la pratique des contrôles a posteriori « révèle que les cellules ou bureaux juridiques des services justifient d’une excellente maîtrise du cadre juridique en vigueur depuis 2015, qu’il s’agisse de celui applicable aux techniques de renseignement mises en œuvre sur le territoire national comme de celui régissant la surveillance des communications électroniques internationales ».

Cela dit, et « comme les années précédentes », la CNCTR a « relevé certaines irrégularités, parfois récurrentes ». La situation serait telle que la commission va jusqu'à écrire que « force est de constater que le cadre juridique n’est pas assimilé par l’ensemble des acteurs intervenant dans le cycle de vie d’une technique de renseignement, [...] en particulier au stade de l’exploitation de ces techniques » : 

« Les irrégularités constatées au cours de l’année 2021 relèvent, pour l’essentiel, de catégories déjà constatées au cours des années précédentes. La plupart d’entre elles ont été signalées aux services concernés au cours des contrôles et rapidement corrigées par leurs agents. » 

« Dans un cas cependant », la CNCTR a « décidé de saisir formellement le chef du service par un courrier lui recommandant la destruction immédiate de certaines des données recueillies ».

La première catégorie d’irrégularités, « constatées à trois reprises en 2021 (contre huit en 2019 et une en 2020) », a consisté en « un court dépassement de la durée légale de conservation des données brutes collectées », qui doivent être détruits avant l’expiration d’un certain délai, « dont la durée varie en fonction de la nature des données et de l’atteinte portée à la vie privée ».

La deuxième catégorie a trait au dépassement de la durée d’autorisation d’une technique de renseignement : « comme en 2020, une seule irrégularité de cette nature a été relevée en 2021 (trois en 2019) ». 

Dans les deux cas, la CNCTR a « veillé à ce que les données irrégulièrement conservées ou les renseignements collectés en dehors des périodes d’autorisation soient détruits dans les plus brefs délais ». 

La commission précise que ces irrégularités « ne relèvent pas d’une démarche intentionnelle mais témoignent de négligences ou d’insuffisances dans la gestion et le suivi de la mise en œuvre des techniques de renseignement ».

Des données irrégulièrement conservées, et détruites dans la foulée

 

La troisième catégorie d’irrégularités observées en 2021 correspond à des retranscriptions de conversations obtenues par la mise en œuvre de techniques d’interceptions de sécurité ou de captation de paroles ne présentant « aucun lien apparent avec l’une des finalités » prévues par le Code de la sécurité intérieure : 

« En général, le constat d’irrégularité est partagé avec le service concerné et tout ou partie des transcriptions concernées sont détruites dans de brefs délais. »

La CNCTR, qui ne donne pas de chiffre, précise en outre qu'elle a « vérifié l’intégralité des transcriptions » réalisées à partir des techniques de renseignement mises en œuvre à l’égard des personnes exerçant l’une des professions ou mandats « protégés » (à savoir les parlementaires, magistrats, avocats et journalistes).

La quatrième catégorie, « constatées à deux reprises en 2021 », concerne des extractions ou des transcriptions de données ne présentant aucun lien avec la cible faisant l’objet de la technique de renseignement.

Dans un cas, les données irrégulièrement conservées ont été détruites « dans les plus brefs délais ». Dans l'autre, la CNCTR avait signalé aux représentants du service concerné que « plusieurs extractions, en l’espèce des photographies, réalisées à partir de trois techniques de renseignement, ne présentaient aucun lien apparent, ni avec la cible placée sous surveillance, ni avec l’un des intérêts fondamentaux de la Nation » mentionnés dans le code de la sécurité intérieure et censés servir de finalité autorisant, ou non, une technique de renseignement.

Les explications du service, qui « entendait néanmoins les conserver », n'ayant pas convaincu la commission, son président a « adressé au chef du service concerné, au ministre de tutelle ainsi qu’au Premier ministre une recommandation de destruction immédiate des extractions en litige, où qu’elles se trouvent, sous forme d’impression papier ou de fichier informatique » : 

« La CNCTR a pu s’assurer que sa recommandation avait été intégralement mise en œuvre sans qu’il soit besoin de faire usage de la faculté [...] de saisir le Conseil d’État d’un recours. »

Une vingtaine de cas en 2021, contre une dizaine en 2020

La cinquième catégorie décelées en matière de surveillance intérieure concerne la traçabilité de l’exploitation des données recueillies. « Dans une vingtaine de cas en 2021, contre une dizaine l’année précédente », des extractions ou des transcriptions n’avaient été ni signalées ni rendues immédiatement accessibles à la commission.

La CNCTR rappelle à ce titre qu’elle « dispose en effet [...] d’un accès permanent, complet et direct aux relevés, registres, renseignements collectés, transcriptions et extractions », garanti par la loi, « quels que soient les supports, fichiers ou documents comportant des éléments obtenus grâce à la mise en œuvre d’une technique de renseignement ». 

Si la commission « considère, à ce stade, que les anomalies relevées ne témoignent pas d’une volonté délibérée de dissimulation ou de contournement du cadre légal », elle estime que leur portée « ne doit, toutefois, pas être sous-estimée », car elles limitent, « en pratique », l’efficacité des contrôles a posteriori de la CNCTR, et qu'elles « mettent en évidence les difficultés d’appropriation des bonnes pratiques par certains agents des services de renseignement » : 

« En dépit des efforts déployés par les équipes juridiques de ces services pour formaliser, expliquer et diffuser le cadre d’emploi des techniques de renseignement, les procédures internes visant à centraliser l’ensemble des extractions et transcriptions réalisées dans des applications informatiques accessibles à la CNCTR ne sont pas encore correctement appliquées. »

« La situation est, en revanche, satisfaisante s’agissant de la traçabilité de la mise en œuvre des techniques de renseignement autorisées », relève néanmoins la CNCTR : « les efforts constatés par la CNCTR en 2020 ont été confirmés en 2021 » : 

« Comme l’année précédente, aucune divergence entre les mentions portées dans une fiche de traçabilité et la mise en œuvre effective de la technique correspondante n’a été constatée. De même, aucune carence dans la production de ces fiches n’est à signaler. Des retards subsistent encore mais diminuent. »

Négligences des agents et erreurs de manipulation 

Les irrégularités en matière de surveillance des communications électroniques internationales ne peuvent, de leur côté, être constatées que lors des contrôles sur pièces et sur place, la CNCTR ne disposant pas d'accès direct, depuis ses locaux, aux données collectées.

Elle n'en souligne pas moins que « ces contrôles mettent en évidence, depuis 2015, une appropriation progressive et désormais solide par les services, du cadre légal applicable en matière de surveillance dite "internationale", en dépit de sa complexité ».

La CNCTR rappelle en effet qu'aux termes de l’article L. 854-2 du code de la sécurité intérieure, le Premier ministre peut délivrer « différents types d’autorisation d’exploitation des données (de connexion ou de contenu) interceptées par les réseaux de communications électroniques internationale » : 

« Ainsi, il peut autoriser l’exploitation non individualisée des données de connexion interceptées (II du même article), l’exploitation des communications ou des seules données de connexion, relatives à des zones géographiques, à des organisations, à des groupes de personnes ou à des personnes (III) ou encore l’exploitation des communications ou des seules données de connexion, de numéros d’abonnement ou d’identifiants techniques rattachables au territoire national dont l’utilisateur communique depuis ce territoire (V). »

La CNCTR précise que « l’exploitation de ces données est réalisée par des agents spécialisés, à partir d’applications informatiques spécifiques dont les droits et les conditions matérielles d’accès sont strictement limités et contrôlés ».

En 2021, la commission a néanmoins relevé des irrégularités se répartissant en trois grandes catégories, dont deux avaient déjà été exposées en 2020, et dont la plupart ont été « rapidement corrigées ».

La première catégorie concerne des consultations et exploitations « réalisées sur le fondement d’une autorisation inappropriée ». La CNCTR a en effet découvert, « à plusieurs reprises », que des consultations ou exploitations de données avaient été « informatiquement rattachées à une autorisation erronée alors que l’autorisation pertinente était en cours de validité » : 

« Ce type d’anomalies, déjà constaté les années précédentes, est encore fréquent. Les explications fournies par les services révèlent que ces anomalies résultent de négligences de la part des agents exploitants ou d’erreurs de manipulation de l’outil informatique, lequel assiste l’utilisateur en lui proposant, à chaque nouvelle requête, la précédente autorisation sélectionnée. »

Des cibles expressément exclues par l’autorisation délivrée

La seconde catégorie d’irrégularités concerne des exploitations de données réalisées cette fois sur le fondement de la bonne autorisation, « mais excédant les limites qui lui sont attachées » : 

« Quelques difficultés ont été rencontrées en 2021. D’une part, la CNCTR s’est aperçue que des transcriptions issues de l’exploitation de communications utilisant un identifiant technique rattachable au territoire national avaient été réalisées au titre d’une finalité légale non autorisée. »

« À une reprise en 2021 (contre deux en 2020) », la CNCTR a ainsi constaté que « les éléments transcrits et conservés par le service concerné se rattachaient à une finalité différente, non prévue dans cette liste, de celle ayant servi de fondement à l’autorisation délivrée par le Premier ministre ». 

Le service concerné a « admis le caractère irrégulier des transcriptions » et les a détruites « dans les jours qui ont suivi les contrôles au cours desquels elles ont été détectées ». 

La CNCTR a d'autre part découvert, « plusieurs fois », une exploitation de données se rapportant à des cibles « expressément exclues par l’autorisation délivrée par le Premier ministre » : 

« Si ces irrégularités n’ont pas révélé une intention délibérée de contournement de l’autorisation accordée, leur répétition a cependant conduit le président de la CNCTR, au tout début de l’année 2022, à formellement demander au service concerné de venir lui exposer les procédures mises en œuvre pour prévenir leur renouvellement. »

La troisième catégorie d’irrégularités a concerné ce que le IV de l’article L. 854-2 du Code de la sécurité intérieure désigne comme des « vérifications ponctuelles », qui « ne peuvent excéder une certaine durée », et qui n'avaient pas été respectée : 

« Il s’agit d’une exploitation individualisée réalisée aux seules fins de détecter une menace pour les intérêts fondamentaux de la Nation liée aux relations entre des numéros d’abonnement ou des identifiants techniques rattachables au territoire français et des zones géographiques, organisations ou personnes faisant l’objet d’une surveillance. »

Suite aux recommandations formulées par la commission, le service concerné « étudie la possibilité de développer un processus informatique automatisé empêchant toute vérification au-delà d’un certain délai ».

48 réclamations, 8 requêtes au Conseil d'État 

La CNCTR rappelle enfin qu'elle peut être saisie par toute personne qui souhaite vérifier qu’aucune technique de renseignement n’est ou n’a été irrégulièrement mise en œuvre à son égard par les services de renseignement au titre de leurs missions de police administrative.

Elle constate à ce titre « un exercice limité des voies de recours ouvertes contre la mise en œuvre des techniques de renseignement », bien que le nombre de réclamations qui lui ont été adressées l'an passé ait connu une « légère progression ».

CNCTR

Elle a en effet reçu 48 réclamations en 2021, contre 33 en 2020, mais « souligne toutefois que le volume des réclamations dont elle est saisie relève du même ordre de grandeur depuis son installation, sans que les variations constatées d’une année sur l’autre puissent être regardées comme significatives ».

Si aucune personne n’a présenté plus d’une réclamation au cours de l’année 2021, « en revanche, six réclamations ont été présentées par des personnes ayant déjà saisi la CNCTR au cours des années antérieures et souhaitant que des vérifications soient à nouveau conduites à leur sujet ».

Le délai de réponse aux réclamations « contenant toutes les informations nécessaires à leur traitement a été inférieur à deux mois », et « aucune réclamation n’a conduit la CNCTR à envoyer de recommandation au chef du service de renseignement concerné, au ministre dont il relève ou au Premier ministre pour que la mise en œuvre d’une technique soit interrompue et les renseignements collectés détruits ».

En 2021, la CNCTR n'a pas non plus été saisie par le truchement du dispositif propre aux « lanceurs d’alerte » mis en œuvre pour « garantir qu’il soit mis fin aux éventuelles violations manifestes du cadre juridique applicable aux techniques de renseignement », mais dont les dispositions « n’ont pas reçu d’application depuis l’entrée en vigueur du cadre légal en 2015 ».

En 2021, « comme les années précédentes, le Premier ministre a suivi tous les avis défavorables émis par la CNCTR », qui n'a donc pas saisi le Conseil d'État comme le permet la loi renseignement de 2015. A contrario, et « comme en 2020, huit nouvelles requêtes ont été enregistrées devant le Conseil d’État sur le fondement de l’article L. 841-1 du code de la sécurité intérieure en 2021 ». Un article qui permet à toute personne de « vérifier qu'aucune technique de renseignement n'est irrégulièrement mise en œuvre à son égard » : 

« Celui-ci a statué sur seize requêtes au cours de l’année 2021 contre sept en 2020 et en 2019. Cette hausse est liée aux reports d’audiences décidés en 2020 en raison de la crise sanitaire. Au 31 décembre 2021, trois affaires demeuraient en instance, enregistrées en 2021. »

14 requêtes pendantes à la CEDH

La CNCTR relève enfin que « quatorze requêtes introduites devant la CEDH entre le 7 octobre 2015 et le 21 avril 2017 par des avocats et des journalistes contre la loi du 24 juillet 2015 relative au renseignement sont toujours pendantes » : 

« Pour mémoire, les requérants soutiennent, d’une part, que les techniques de renseignement n’ont pas de base légale suffisante. Ils se plaignent, d’autre part, d’une insuffisance des garanties procédurales et de l’absence de recours effectif. »

Le Gouvernement français a, à ce titre, « souhaité porter à la connaissance de la Cour les nouvelles dispositions issues de la loi du 30 juillet 2021 » (sur lesquels nous sommes revenus) et l’a, « en substance, invité à prendre en considération le renforcement des garanties opéré par cette loi, qui encadre encore davantage la mise en œuvre des techniques de recueil de renseignement, tout en relevant que cette évolution législative venait entériner, sur plusieurs aspects, la pratique antérieure » : 

« Le Gouvernement a rappelé à cet égard qu’avant que le législateur français n’instaure, en 2021, un mécanisme de saisine immédiate du Conseil d’État en cas de désaccord entre la CNCTR et le Premier ministre sur une demande de mise en œuvre de technique de renseignement, celui-ci a toujours suivi les avis défavorables rendus par la commission sur de telles demandes depuis l’entrée en vigueur de la loi du 24 juillet 2015 relative au renseignement. »

Ces observations ont été transmises en octobre 2021, et la décision de la Cour « devrait intervenir avant la fin de l’année 2022 sans qu’aucune indication précise de calendrier soit disponible à la date de publication de ce rapport ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !