Comment s’organise le contrôle des techniques de renseignement

Dans son rapport annuel 2021, la Commission nationale de contrôle des techniques de renseignement revient sur le nouveau cadre législatif s'appliquant aux services de renseignement. Mais aussi les difficultés qu'elle rencontre pour effectuer ses missions de contrôle a posteriori, via le groupement interministériel de contrôle (GIC). Deuxième volet de notre présentation détaillée.

« Depuis l’entrée en vigueur du cadre légal, le 3 octobre 2015, les avis défavorables de la CNCTR ont toujours été suivis par le Premier ministre », se félicite la commission dans son rapport d'activité 2021, qui relevait cela dit une augmentation de 25 % des demandes de techniques de renseignement depuis 2017.

• 1er volet : 87 588 techniques de renseignement, 22 958 personnes surveillées
• 2eme volet : Comment s'organise le contrôle des techniques de renseignement
• 3eme volet (à venir) : Les irrégularités constatées par la CNCTR

Pour autant, la CNCTR « estime nécessaire un approfondissement de sa mission de contrôle a posteriori, face à l’accroissement du nombre de demandes de surveillance, à l’augmentation du volume des données recueillies et, pour certaines techniques, à la complexité croissante des moyens utilisés par les services de renseignement ».

Elle précise à ce titre que le renforcement de ses effectifs, « notamment ceux ayant une expertise technique », a été initié en 2021 et « doit se poursuivre afin qu’elle continue de disposer d’un niveau de compétence adéquat au regard [...] des évolutions technologiques qui caractérisent certaines activités de renseignement ».

La commission souligne en outre que l’efficacité de ses vérifications dépend de la bonne articulation entre les contrôles qu’elle effectue sur pièces et sur place, dans les locaux des services, et ceux qu’elle réalise à distance, depuis ses propres locaux, grâce aux outils informatiques sécurisés mis à sa disposition.

À cet égard, des améliorations sont attendues, car, paradoxalement, la CNCTR ne dispose pas d’une telle faculté à distance pour les techniques dont la mise en œuvre est la plus complexe à contrôler.

Un nouveau cadre législatif, une double mission de contrôle

La CNCTR revient longuement sur la loi du 30 juillet 2021 relative à la prévention du terrorisme et au renseignement (dont elle énumère, dans son Annexe n°7, les 22 modifications législatives adoptées), qui a apporté « un nouveau cadre législatif aux échanges de renseignements entre ces services, avec l’objectif de les favoriser tout en les encadrant de façon plus précise » : 

« Il s’agit, en premier lieu, des transmissions de renseignements collectés, réalisées pour une finalité différente de celle qui en a justifié le recueil. Cela concerne les renseignements à l’état brut, tels qu’ils ont été recueillis avant toute exploitation par le service intéressé.

Il s’agit, en second lieu, des transmissions de renseignements collectés, extraits ou transcrits qui sont issus de la mise en œuvre d’une technique de renseignement à laquelle le service destinataire n’aurait pu recourir au titre de la finalité motivant la transmission. Sont ici concernés à la fois les renseignements à l’état brut ainsi que les transcriptions et extractions réalisées à partir des données collectées. »

Ce cas peut notamment se rencontrer lorsque le service destinataire appartient à la catégorie des services de renseignement du « second cercle », précise la CNCTR : « ces services n’ont en effet accès qu’à un nombre limité de techniques de renseignement [...] qui peuvent varier selon la finalité poursuivie », contrairement aux services du « premier cercle » (DGSE, DGSI, DRM, DRSD, DNRED et Tracfin).

Relèvent également de ce second cas de figure les « transmissions de données issues de la surveillance des communications électroniques internationales ».

Cette « double mission de contrôle », a priori et a posteriori, a pour objet de « garantir que les services concernés respectent l’ensemble des obligations que leur impose la loi lorsqu’ils se transmettent des renseignements et qu’ils ne recourent à cette faculté qu’à des fins nécessaires et proportionnées aux buts recherchés ».

Le décret n’a toutefois jamais été pris

Or, ce « régime nouveau, combinant procédure d’autorisation et de déclaration », vient « renforcer dans une mesure encore difficile à déterminer les obligations des services et les responsabilités de la Commission » : 

« Cette dernière ne peut que se féliciter de ce souci de perfectionnement du cadre protecteur des libertés. Mais elle se préoccupe aussi de la méthode mise en œuvre : ce n’est qu’une fois la réforme adoptée que l’on a entrepris de déterminer exactement son impact sur l’activité des services, ainsi que sa compatibilité avec certaines pratiques antérieures essentielles à leur bon fonctionnement. »

De plus, la loi « renvoyait à un décret en Conseil d’État la détermination des modalités et conditions d’application de ce régime », mais « ce décret n’a toutefois jamais été pris » (voir l'état d'application de la loi avec plusieurs décrets qui étaient attendus en... octobre 2021). 

Outre les « conséquences de ce travail tardif sur les délais d’application de la loi nouvelle, la crainte est que ne se développent alors des dispositifs procéduriers sophistiqués, que les services n’avaient pas anticipés, et dont la Commission se verrait finalement reprocher la lourdeur, parce qu’il lui appartient de s’assurer que la loi nouvelle est pleinement, exactement et effectivement appliquée ».

Il s'agit d'une « nouvelle mission » pour la CNCTR, qui relève plusieurs enjeux : « pour être en mesure d’apprécier la légalité de ces échanges, [la commission] doit faire la part entre la sensibilité des données concernées d’un côté, et l’utilité d’un tel partage pour le service destinataire, de l’autre ».

Or, elle « constate que l’appropriation de ce nouveau cadre juridique par les services de renseignement a nécessité des efforts d’adaptation de leur part et s’est révélée, pour cette raison, plus tardive que prévu ».

Elle estime « par conséquent qu’une mise au point régulière avec eux sera nécessaire pour vérifier qu’en pratique ce nouveau cadre juridique est mis en œuvre conformément à l’intention du législateur. Elle en fera état dans son prochain rapport ».

« Aussi paraît-il très souhaitable qu’en cas de réforme, la Commission puisse être associée tout en amont à sa préparation, le Coordonnateur national du renseignement et de la lutte contre le terrorisme paraissant à même de fédérer cette préparation », souligne en outre Serge Lavisgnes, conseiller d’État honoraire et Président de la CNCTR.

Un cas de transmission irrégulière de renseignements

La CNCTR rappelle que la première condition posée par la loi est que la transmission doit être « strictement nécessaire à l’exercice des missions du service destinataire », qu'elle fait « notamment obstacle à ce qu’un service puisse se voir transmettre des renseignements relevant d’une finalité qu’il n’est pas autorisé à poursuivre », et  souligne, à cet égard, « que ce type de manquement n’est pas hypothétique ».

À l’occasion de l’un des contrôles a posteriori menés en 2021, la CNCTR a en effet « découvert un cas de transmission irrégulière de renseignements ». Il s’agissait, en l’espèce, du « partage de transcriptions issues de l’exploitation de deux interceptions de sécurité » entre un service du « premier cercle » et un service du « second cercle ».

L'autorisation avait été accordée au premier sur le fondement d'une finalité (la défense et la promotion des intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère) accessible à aucun des services du « second cercle ».

Le destinataire a fait valoir que les transmissions étaient intervenues au titre de la finalité de « prévention des violences collectives de nature à porter gravement atteinte à la paix publique ». Sauf qu'après avoir examiné l’ensemble des transcriptions transmises à ce service, la CNCTR a cependant « estimé qu’aucune des informations qui y étaient consignées n’était susceptible de se rattacher à une telle finalité » : 

« La transmission litigieuse avait permis en conséquence à un service du "second cercle" d’exploiter des renseignements ne présentant pas de lien avec le champ de compétence que lui a attribué le pouvoir réglementaire. La découverte de cette irrégularité a donné lieu à la destruction de l’intégralité des transcriptions dont il avait été destinataire. »

Si la commission « sera vigilante à ce qu’une telle situation ne se réitère pas », elle se dit « consciente de l’importance que revêtent ces échanges de renseignements pour l’efficacité de l’action des services », et « n’entend pas les freiner par un contrôle inutilement formaliste et procédurier » : 

« Elle veillera en revanche à ce que les demandes tendant à les autoriser, ainsi que les relevés réalisés lors des transmissions, comportent, même de façon succincte, les éléments concrets permettant d’en apprécier la légitimité. »

La CNCTR relève cela dit que ses contrôles « devront toutefois être soumis à l’épreuve de la pratique », à mesure qu' « aucun service de renseignement n’a été en mesure de lui fournir des indications, même approximatives, sur la fréquence et le volume des transmissions à venir ».

L'intendance ne peut pas suivre, en l'état

Après avoir initialement « admis que la complexité du régime introduit par la loi du 30 juillet 2021 impliquait un délai de mise en œuvre », bien que « d’application immédiate », la CNCTR s’était accordée avec le Gouvernement sur un calendrier, mais s’est « heurtée à deux séries de difficultés » : 

« Les premières, de nature juridique, portent sur l’interprétation et la portée qu’il convient de donner à certaines dispositions. Les secondes, d’ordre pratique, concernent l’adaptation des outils informatiques du GIC nécessaires, notamment, au traitement des demandes d’autorisation et à l’établissement voire, selon les cas, à la communication des relevés de transmissions. »

En outre, « l’appropriation de ces nouvelles dispositions par les services de renseignement suppose des modifications importantes des procédures internes propres à chacun d’entre eux ainsi qu’une évolution des méthodes et des outils de travail qu’ils utilisent » :

« Les exigences de traçabilité imposées par le législateur pour répondre aux besoins de la CNCTR ont également nécessité que des précisions soient apportées concernant l’établissement des relevés de transmission ou, lorsque la loi le prévoit, les modalités pratiques de leur communication à la commission. »

Les « nombreuses préoccupations exprimées par les services de renseignement quant à l’ampleur des adaptations à entreprendre » ont au surplus retardé le travail de concertation.

La CNCTR estime à ce titre que « la mise en œuvre du nouveau régime applicable aux échanges, eu égard aux difficultés d’adaptation qu’elle semble représenter pour les services, devra faire l’objet d’une mise au point régulière avec eux ».

Deux à trois contrôles sur pièces et sur places par semaine

En matière de contrôle a posteriori, la CNCTR rappelle avoir « recours à deux méthodes pour s’assurer de la conformité du recueil, de la transcription, de l’extraction et de la conservation des renseignements » obtenus en matière de sécurité intérieure.

« D’application quotidienne », la première consiste à opérer des vérifications depuis ses locaux « grâce aux outils informatiques mis à sa disposition par le GIC » qui offrent, pour certaines techniques, « un accès direct aux données recueillies, voire aux transcriptions et extractions réalisées à partir de ces données ».

La seconde repose sur des « contrôles sur pièces et sur place au sein des services de renseignements », diligentés par une équipe composée de chargés de mission « présentant des profils à la fois juridiques et techniques » accompagnés d’un membre de la commission et menés, « en moyenne, à un rythme de deux ou trois par semaine, tous services confondus ».

La relative amélioration de la situation sanitaire en 2021 a ainsi permis à la CNCTR de conduire un nombre de contrôles sur pièces et sur place comparable à celui atteint antérieurement à la pandémie de Covid-19. 117 contrôles ont en effet été réalisés en 2021, contre 76 en 2020, chiffre « supérieur à la centaine de contrôles comptabilisés en 2018 et 2019 et proche des 120 mis en œuvre en 2017 ». La CNCTR précise que « plus d’une vingtaine de ces contrôles » ont porté sur la surveillance des communications électroniques internationales.

« Les contrôles sur pièces et sur place constituent la méthode privilégiée par la CNCTR », précise la commission, parce qu'ils offrent « l’occasion de mener un dialogue utile et efficace avec les services et garantit à la commission une bonne connaissance du fonctionnement et des difficultés rencontrées par chaque service ».

Pour autant, la commission se « heurte néanmoins à la progression continue du nombre de techniques mises en œuvre et à leur degré de complexité croissant alors que les moyens matériels et humains de la CNCTR sont restés stables depuis 2015 » : 

« Le temps nécessairement limité consacré aux contrôles sur place et sur pièces, les conditions dans lesquelles ils sont réalisés et le nombre restreint d’outils mis à disposition de la commission par les services pour effectuer les vérifications nécessaires, ne permettent pas aux agents de la CNCTR de contrôler des volumes de données en rapport avec ceux générés par l’augmentation de l’usage des techniques. »

Ce pourquoi « il apparaît aujourd’hui nécessaire que les contrôles sur pièces et sur place soient doublés d’un renforcement des possibilités de contrôle à distance de la commission ».

Les réticences de la majorité des services de renseignement

Les outils informatiques mis à sa disposition par le GIC « offrent actuellement à la commission un accès exhaustif aux données recueillies » par la mise en œuvre des techniques de recueil de données de connexion en temps différé, de géolocalisation en temps réel, de balisage, d’interception de correspondances émises par la voie des communications électroniques auprès des opérateurs, « ainsi, plus récemment, qu’à celles recueillies grâce aux techniques de captation de paroles et d’images qui font désormais l’objet d’une centralisation effective par le GIC ».

En 2020, la CNCTR « avait par ailleurs essayé de mettre en œuvre de nouvelles modalités d’échanges avec les services de renseignement à partir des moyens de communication sécurisés qui leur sont communs » : 

« Cette forme d’échanges s’est toutefois heurtée aux réticences de la majorité des services de renseignement. Cette difficulté n’a pas été surmontée au cours de l’année 2021. »

« La mise en place d’un accès direct à distance apparaît dès lors comme la condition nécessaire » pour « prendre en compte le manque de disponibilité des services, tout en évitant que l’effectivité du contrôle dont la loi charge la commission ne dépende que de la bonne volonté de ceux-ci » : 

« Ce besoin s’impose tout particulièrement en matière de surveillance des communications électroniques internationales, pour laquelle la commission ne dispose actuellement d’aucun moyen de contrôle à distance. »

La poursuite de l’essor des contrôles à distance est, « en outre, rendue indispensable par l’accroissement des missions de contrôle confiées à la CNCTR au terme des modifications législatives successives ». Et ce, alors que les modifications de la loi du 30 juillet 2021 auront, « a effectifs constants [et] à court terme, un impact notable sur l’activité de la commission » : 

« En effet, les nouvelles techniques ou facultés que cette loi offre aux services de renseignement afin d’améliorer l’efficacité de leur action sont, en contrepartie, placés sous le contrôle de la CNCTR. La commission doit, dès lors, disposer des moyens lui permettant d’exercer la mission qui lui est assignée. »

Et si la commission envisage un renforcement de ses onze chargés de mission, « celui-ci devra être accompagné d’une amélioration de ses moyens techniques pour atteindre des résultats suffisants » : 

« Au demeurant, le développement des contrôles à distance permettrait à la CNCTR de mobiliser efficacement ses moyens matériels et humains pour accomplir sa mission, ce dont les services tireraient également profit. »

Des captations centralisées, à l'exception de la DGSE et de la DGSI

La CNCTR « rappelle régulièrement » que l’efficacité et la pertinence de ses contrôles a posteriori dépend d'une part de la « centralisation du recueil et de l’exploitation des données issues des techniques de renseignement », d’autre part de la « traçabilité de la mise en œuvre des techniques et de l’exploitation des données recueillies », une fois celles-ci retranscrites et analysées.

Le GIC avait à ce titre entrepris de centraliser, dans son système d'information classifié, les techniques de captation de paroles et d'images. Cette centralisation « devenue effective » courant 2020, l'ensemble des services l'ont désormais adoptée, à l'exception de la DGSE et de la DGSI, qui « disposent de leurs propres dispositifs de centralisation » : 

« L’accès aux données "brutes" collectées par la mise en œuvre de cette technique est possible depuis les locaux des services de renseignement ou depuis les centres d’exploitation à distance du GIC. L’exploitation de ces données, par la réalisation de transcriptions ou d’extractions, s’effectue prioritairement dans les locaux du GIC.  »

Source : Exposition Espions à la Cité des sciences et de l’industrie

En outre, « l’ensemble des transcriptions et extractions réalisées par les services sont soumises à la validation du GIC, ainsi qu’au contrôle de la CNCTR ». La commission bénéficie en effet d’un « accès direct et immédiat, depuis ses locaux, à l’ensemble des renseignements collectés, transcriptions et extractions ».

La centralisation de la technique de captation d’images, « qui était en cours de finalisation à la fin de l’année 2020, est devenue pleinement opérationnelle en 2021 », et s’opère dans les mêmes conditions et selon les mêmes modalités.

La CNCTR précise toutefois que « la centralisation de ces données n’est réellement effective que pour les dispositifs d’enregistrement sonore ou vidéo en continu ». Lorsque la surveillance se limite à la prise de clichés photographiques ou à des opérations ponctuelles et mobiles de captation sonore, « les données sont conservées et exploitées au sein des locaux des services de renseignement ».

Les « relevés de mise en œuvre », plus couramment dénommés « fiches de traçabilité », qui permettent à la CNCTR d’avoir connaissance des modalités de mise en œuvre des techniques et matériels utilisés, ne peuvent donc « être contrôlées qu’à l’occasion d’un déplacement dans les locaux des services concernés ».

Des moyens limités ne permettant pas de contrôler le volume de données générées

La commission souligne que « la plupart des techniques de renseignement sont ainsi couvertes par le dispositif de centralisation du GIC », à l’exception des techniques de recueil de données de connexion par IMSI catcher et de recueil ou de captation de données informatiques, « toutes deux caractérisées par une collecte décentralisée et des modalités diverses de stockage des données recueillies ».

Or, « les projets de développement de réseaux informatiques sécurisés capables d’acheminer les données volumineuses recueillies et d’organiser leur centralisation ont peu avancé cette année encore, laissant ainsi subsister un stockage décentralisé au sein des directions centrales ou d’échelons territoriaux des services de renseignement ».

De plus, les moyens matériels et humains « limités » dont elle dispose ne lui « permettront pas de contrôler un volume de données en rapport avec ceux générés par l’augmentation à venir du recours aux techniques de recueil de données de connexion par IMSI catcher et de recueil ou de captation de données informatiques » :

« Dans ces conditions, l’accès à distance, c’est-à-dire depuis ses locaux, de la CNCTR aux données recueillies par la mise en œuvre de ces techniques pourrait devenir une contrepartie appropriée et nécessaire à l’absence de centralisation. »

Une traçabilité « globalement satisfaisante » qui « n’a cessé de progresser »

Si la CNCTR qualifie la traçabilité de la mise en œuvre des techniques de renseignement de « situation globalement satisfaisante » qui « n’a cessé de progresser » depuis « la tendance positive constatée à compter de 2017 », la traçabilité de leur exploitation rencontre pour sa part des « difficultés récurrentes » : 

« Pour mémoire, chaque technique de renseignement autorisée doit donner lieu à l’établissement d’un relevé ou "fiche de traçabilité" indiquant si la technique a pu ou non être mise en œuvre et mentionnant les dates de début et de fin de mise en œuvre ainsi que la nature des renseignements collectés et le matériel utilisé.

Ce relevé est tenu à la disposition de la commission qui peut y accéder de manière permanente, complète et directe quel que soit son degré d’achèvement. »

Ces fiches sont « en principe rédigées dès la fin de la mise en œuvre d’une technique ou, en l’absence de mise en œuvre, dès l’arrivée à échéance de l’autorisation », de sorte de permettre à la commission d'y « vérifier de façon immédiate l’existence et le contenu des relevés » via les applications mises à disposition par le GIC : 

« La refonte des interfaces dédiées à la transmission et à la mise à disposition des fiches de traçabilité lancée par le GIC en 2020 a progressé en 2021 et devrait être déployée au cours des deuxième et troisième trimestres de l’année 2022. »

« Grâce à la rigueur et de la diligence avec laquelle la plupart des services s’efforcent de renseigner ces fiches de traçabilité, seules quelques-unes d’entre elles manquaient à la fin de l’année 2021 », se félicite la CNCTR.

Les rares techniques de renseignement qui ne sont pas centralisées

Pour autant, la traçabilité de la mise en œuvre des techniques de renseignement « se heurte néanmoins à une difficulté concernant les rares techniques de renseignement dont la validation n’est pas réalisée sur les applications informatiques du GIC mais par des canaux de transmission différents » : 

« Il s’agit notamment des interceptions de correspondances échangées au sein d’un réseau de communications électroniques empruntant exclusivement la voie hertzienne et n’impliquant pas l’intervention d’un opérateur de communications électroniques, lorsque ce réseau est conçu pour une utilisation privative par une personne ou un groupe fermé d’utilisateurs et des autorisations de mise en œuvre des algorithmes. »

L’absence d’outil de centralisation des demandes d’autorisation de ces techniques « impose à la CNCTR de solliciter directement les services demandeurs ou le GIC afin de connaître l’état de leur mise en œuvre, le volume des données éventuellement recueillies ou encore la date de délivrance et d’échéance de l’autorisation délivrée par le Premier ministre ».

S’agissant de la traçabilité de l’exploitation des données recueillies, « la situation a peu évolué depuis l’an passé et n’est pas satisfaisante », déplore en outre la commission, qui « s’efforce depuis 2018, de renforcer son contrôle sur la phase d’exploitation des données recueillies, en particulier sur la réalisation, la diffusion et la conservation des transcriptions et des extractions de ces données » : 

« Cette exploitation, qui consiste à examiner et à trier les données brutes recueillies, peut prendre la forme d’extractions ou de transcriptions qui pourront être conservées tant qu’elles demeurent indispensables à la poursuite des finalités qui ont motivé leur réalisation. »

La majorité des services bloquent l’accès à leurs fichiers de souveraineté 

Pour assurer ce contrôle, la CNCTR dispose d’un « accès permanent, complet, direct et, pour certaines techniques, immédiat, aux relevés, registres, renseignements collectés, transcriptions et extractions », qui est « garanti par la loi, où que ces éléments se trouvent ».

Pour autant, et « en pratique, d’importants progrès restent à accomplir en matière de suivi de l’exploitation des données recueillies par les techniques de renseignement » : 

« Comme la CNCTR l’indiquait dans ses précédents rapports d’activité, la majorité des services de renseignement lui refusent l’accès aux données contenues dans les fichiers intéressant la sûreté de l’État au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, communément dénommés "fichiers de souveraineté". »

Ces services justifient leur position par le fait qu’outre les données issues de techniques de renseignement, « figureraient, dans ces fichiers, des données de provenances différentes, incluant des données communiquées par des services étrangers ou des éléments susceptibles de dévoiler, directement ou indirectement, l’identité des sources des services de renseignement, non soumis au contrôle de la CNCTR » : 

« Faute de pouvoir accéder à ces fichiers, la commission ne peut, en l’état, s’assurer qu’ils ne contiennent pas d’éléments issus de renseignements collectés, transcrits, extraits voire transmis irrégulièrement et qu’il n’y subsiste aucune trace de données dont la destruction a été demandée puis réalisée à la suite d’un contrôle. »

Des « solutions alternatives à l’accès aux fichiers de souveraineté » avaient bien été proposées à la CNCTR en 2019, accueillies favorablement et qualifiées de « constructives » par la commission, « le constat de leur mise en œuvre est cependant décevant » : 

« Les résultats initialement annoncés par les services de renseignement n’ont pas été atteints au cours de l’année 2020 en raison des difficultés engendrées par la crise sanitaire. Au terme de l’année 2021, force est de constater que la situation n’a pas progressé. »

De plus, « les rares solutions élaborées par les services consistant, pour l’essentiel, à synthétiser dans un tableur informatique les données issues de techniques de renseignement destinées à alimenter les documents d’analyse, les notes et les fichiers de souveraineté, n’ont, en pratique, pas été exécutées avec rigueur ». Et les informations renseignées « se sont révélées très largement incomplètes, imprécises et parfois inexactes » : 

« La commission forme le vœu qu’une solution soit trouvée à ce problème avec l’aide du Premier ministre, de manière à éviter l’existence d’une faille dans la garantie "de bout en bout" du contrôle qu’exige la jurisprudence de la Cour de Strasbourg. Elle rappelle que le Premier ministre a aussi la faculté de saisir le Conseil d’État d’une demande d’avis permettant d’éclairer l’exacte portée de l’article L. 833-2 s’agissant des fichiers de renseignement. »