Loi Renseignement : compte rendu de la troisième journée de débats

Les débats autour du projet de loi sur le renseignement ont débuté lundi à 16h00. Voici notre compte rendu de ceux de la troisième journée dans leur intégralité (voir ceux de la première journée, et celui de la deuxième journée).

La composition de la CNCTR

16h20. Les débats reprennent avec l'amendement 15 de Lionel Tardy (UMP), concernant la composition de la CNCTR. Selon le député UMP de Haute-Savoie, il n'est pas possible d'avoir dans ses ranges deux députés et deux sénateurs. Il propose que celle-ci soit composée de : cinq membres dont deux du Conseil d’État, deux de la Cour de Cassation et une personnalité désignée par l'ARCEP et la CNIL. « Vu l’importance du rôle de la CNCTR, en être membre est difficilement compatible en termes d’agenda avec un mandat représentatif. »

Le député Jacques Myard (UMP) propose la même chose avec son amendement 157 : réduire la composition de la CNCTR, qui passerait de neuf à cinq membres, en supprimant la présence des parlementaires. « Il convient que les membres de la CNCTR aient la capacité de se consacrer à leur mission de contrôle sans restriction. Dans son avis du 12 mars 2015, le Conseil d’État recommande un effectif resserré de personnalités indépendantes et disponibles, à même d’assurer l’effectivité du contrôle. »

La Commission nationale de contrôle est en l'état composée de neuf membres (L. 831-1) :

1. Deux députés
2. Deux sénateurs
3. Deux membres du Conseil d’État (actuels ou retraités)
4. Deux magistrats (actuels ou retraités) de la Cour de cassation
5. Une personnalité qualifiée pour sa connaissance en matière de communications électroniques (nommée sur proposition du président de l’ARCEP)

Jean-Jacques Urvoas (PS), président de la commission des lois et rapporteur du texte, refait un historique des structures de contrôle des opérations de renseignement. Par exemple, « nous avons (maintenant) un document classifié sur la totalité des crédits attribués aux activités du renseignement », et transmis à la délégation parlementaire du renseignement (DPR) depuis la loi de programmation militaire.  « Ce ne sont pas des administrations hors sol, des barbouzes ». La question de la CNCTR, admet-il, a été un long débat au sens de la DPR. À ce jour, la CNCIS est composé trois membres, un magistrat (actuellement Jean-Marie Delarue) et deux parlementaires (dont Urvoas, pour la partie Assemblée natinonale).

Dans le projet de loi, la composition a été élargie, mais selon lui les membres parlementaires n'ont rien à faire dans cette commission. La commission des lois a émis un avis défavorable dans le passé, elle veut qu'il y ait des parlementaires, tout comme la DPR. Un éventail de propositions va être proposé au sein des débats pour revoir cette composition.

Bernard Cazeneuve : nous souhaitons une loi qui encadre l'activité des services du renseignement. Je souhaite que toutes  les techniques et finalités soient sur la table, l'État de droit doit progresser. Au fond, des amendements arrivent et disent des choses totalement contraires sur la composition : certains ne veulent pas de parlementaires, d'autres que ceux ci soient majoritaires, etc. Essayons de tomber d'accord sur deux principes : l'indépendance du contrôle effectué et que ce contrôle soit pluriel dans la composition de l'instance pour que nul ne puisse être suspecté que l'activité des services du renseignement pourrait être dirigée en défaveur de tel, en faveur de tel autre. 

Il propose déjà d'écarter les amendements qui excluent les parlementaires de la CNCTR.

Pierre Lellouche (UMP) : le contrôle politique au sein de la DPR est assez elliptique (Mais Lellouche s'appuie sur un texte daté). Urvoas lui réexplique le droit tel qu'il a été décidé depuis la loi de programmation militaire.  Mais Lellouche considère qu'il est malgré tout nécessaire d'avoir plus des parlementaires.

Claude Goasguen (UMP) : nous manquons d'un système qui surveille le renseignement. Donnez-nous des éléments qui nous permettront de dire qu'un certain contrôle puisse se faire. La représentation des parlementaires au sein de la CNCTR pourrait donner l'image que la responsabilité politique sera très importante.

Eric Ciotti (UMP) : la question de la composition est essentielle pour lever certains doutes, certaines incompréhensions. Il fait état de l'amendement 265 déposé par la quasi totalité des députés et qui vise à augmenter le nombre de membres de la CNCTR afin d’y renforcer la présence des parlementaires et les rendre majoritaires au sein de la Commission (trois députés et trois sénateurs, de la majorité et de l'opposition).

Bernard Cazeneuve s'en prend à deux députés de l'opposition qui ont évoqué le risque d'une police politique... Une suspension de séance est programmée pour discuter du nombre de parlementaires. Le Conseil d'État a émis un avis sur la composition de la CNCTR, expliquant que le nombre de membres au sein de la CNCTR était trop important (il en a proposé cinq plutôt que neuf). Pour lui c'est plus efficace. D'un autre côté, plus il y a de bras, plus ce contrôle sera important... Il y a aussi la question de l'indépendance.

Pascal Cherki (PS) : le plus important dans le renseignement, c'est la tradition républicaine... Avec cette loi, nous codifions des pratiques de rensiegnement, mais il ne faut pas mettre les services dans une situation d'extrême difficulté. 

Pascal Popelin (PS) juge que l'état actuel du projet de loi est satisfaisant. Pas d'amendement déposé par le groupe sur cette question, si ce n'est sur la garantie d'indépendance des non-parlementaires qui y siègeront.

Sandrine Mazetier (PS) : le rôle de cette commission est de s'assurer de la porportionnalité des moyens employés, vérifier la durée de conservation et de destruction des données. Je trouve naturel et indispensable que la composition garantisse le pluralisme. il faut aussi conserver l'objectif de parité.  Pour assurer que les parlementaires puissent être là tout le temps, elle propose que ce soient des parlementaires honoraires qui siègent, plutôt que des élus en activité.

Patricia Adam (PS) : il y a des parlementaires présents à la DPR, à la future CNCTR, et à la délégation sur la surveillance. C'est cette présence qui nous permet d'avoir une discussion responsable.

Larrivé : nous tenons à la montée en puissance du nombre de parlementaires. Pour le député Fromion, il faudrait que le président soit désigné parmi les députés et sénateurs, pour ne pas être aux ordres d'un juge par exemple... Mais Cazeneuve estime que l'autorité administrative indépendante doit être présidée par un non politique (en substance) pour assurer son indépendance.

Alain Tourret (RRDP) : l'équilibre actuel n'est pas si mal que cela. Il faut que ce soit un haut magistrat qui puisse présider, signe d'indépendance. Mais pour que la commission puisse travailler, il lui faut des parlementaires disponibles, pourquoi pas retraités.

Alain Marsaud (UMP) engage un débat juridique sur une décision du conseil constitutionnel de 2001.  Les magistrats retraités sont ils plus à même d'assurer une permanence au sein de la CNCTR ?

Myard : on pourrait imagine que ce soient des gens de la DPR qui y siègent. La problématique de cette décision tient aux capacités des parlementaires à contrôler des opérations en cours.

Candelier : la CNCTR ne doit pas un truc qui ne servira à rien. Il nous faut des gens disponibles. Mettons des personnes honoraires.

Cazeneuve : dans les grandes démocraties, les prérogatives de contrôle des parlementaires occupent autant de temps que les missions législatives.

Amendement 226 de Sergio Coronado, qui propose un député et un sénateur désignés conjointement par le Président de l’Assemblée nationale et le Président du Sénat, dont au moins un appartient à un groupe ne soutenant pas le Gouvernement (après chaque législature de l’Assemblée ou renouvellement partiel du Sénat).

Amendement 265 : Cioti veut six parlementaires dont trois du Sénat et trois de l'Assemblée nationale. 

Suspension de séance pour trouver un arbitrage sur ces amendements et la composition de la commission.

18h16 reprise.

Tous les autres amendements tombent car un terrain d'entente a été trouvé finalement entre tous les groupes, ou la plupart, pour régler la question de la composition de la CNCTR. Il y aurait donc 13 membres au sein de la CNCTR :

• Trois Députés
• Trois Sénateurs
• Trois magistrats du Conseil d'Etat
• Trois magistrats de la Cour de Cassation
• Et le représentant désigné par l'ARCEP (sous réserve, attente de copie de l'amendement)

Les règles de quorum ont été modifiées en conséquence. On remarquera pour notre part qu'avec plus de parlementaires et de magistrats, la personnalité ARCEP s'en retrouve diluée dans ces rangs. (S'en suivent des discussions généralistes...).

Plusieurs amendements veulent assurer une parité au sein de la composition. Certes ce n'est pas simple avec 13 personnes, mais on peut envisager une majorité femme alternant une majorité homme dans le temps. Mais l'amendement 260 a été adopté : égalité homme/femme, dont la différence ne peut être supérieure à 1.

Les amendements pleuvent, beaucoup sont repoussés. On sent que le gouvernement et le parlement veulent aller vite. La rustine 179 de Sergio Coronado vise ainsi à garantir une indépendance renforcée dans la nomination du président de la CNCTR. L'amendement est retiré.

Amendement 318 et 320 rédactionnels, adoptés. 319 aussi. 439 et 440 (amendements de conséquence à la modification de la compostion) adoptés. 100 pas défendu. etc.

Amendement 17. Il n’est plus précisé dans le projet de loi amendé que les agents de la CNCTR seront choisis « en raison de leurs compétences juridiques, économiques et techniques en matière de communications électroniques et de protection des données personnelles ». Ce qui laisse une plus large manœuvre d’actions, même si ce genre de profils sera évidemment précieux. Mais Urvoas estime que la CNCTR, autorité indépendante, pourra recruter qui elle veut. Il est rejeté.

Amendement 58 Tardy veut que la CNCTR soit informée au fil de l'eau, non sur demande. Le rapporteur n'en veut pas. Échec.

Amendement 280 : vise à ce que la CNCTR puisse solliciter tous les rapports de l'inspection générale des services (déposé par Robilliard). Taubira refuse. Urvoas s'appuie sur la loi de programmation militaire pour le repousser : cela empêchera l'autorité d'avoir les rapports puisque le gouvernement pourra refuser la communication de l'intégralité des rapports. L'amendement est retiré.

180 et 181 pas défendus.

Amendement 263 : Ciotti souhaite que la délégation parlementaire du renseignement puisse échanger avec la CNCTR lors de son rapport public. Urvoas est contre car cela restreindrait les capacités d'échanges entre les deux institutions. C'est une restriction dans les programmes de travail. Retrait.

163 pas défendu

Amendement 18 : Tardy veut que la commission diffuse dans son rapport le nombre d’avis rendus par son président, par l’un ou par l’ensemble de ses membres, du nombre de renouvellements d’autorisations demandés.  Pourquoi ? « Il s’agit d’assurer une transparence sur le nombre d’avis rendus, entre ceux rendus par le président ou par un des membres du judiciaire et ceux rendus par l’ensemble de la commission (cf. art. 821‑3 alinéa 1).Il s’agit également de séparer, dans la comptabilisation, les demandes d’autorisations initiales et les renouvellements simples. »

Dans le 323 d'Urvoas :  cet amendement veut que le rapport de la Commission nationale de contrôle des techniques de renseignement fasse état du nombre de demandes de mise en œuvre d’une technique de renseignement ainsi que du nombre d’autorisations accordées, afin de pouvoir établir des ratios tels que le taux d’acceptation ou le taux de refus. Tardy retire son amendement.

Amendement 234 : Il parait essentiel que la DPR, pour sa complète information et sa mission de contrôle, puisse être destinataire systématiquement des observations de communiquées par la CNCTR au Premier ministre. Mais Urvoas n'en veut pas, il demande à ce qu'on fasse confiance aux parlementaires qui siègent en commission. Il craint que cet amendement s'analyse comme une injonction à l'exécutif, ce qui n'est pas possible. Christiane Taubira précise que le parlement n'est pas censée avoir connaissance des opérations en cours.  Retrait.

Amendement 235 :  Lorsque que la CNCTR reçoit des demandes d'avis du Premier ministre, des présidents des assemblées parlementaires et de la délégation parlementaire au renseignement, elle répond à ces demandes de manière systématique afin d'assurer entre autre la meilleure information possible des assemblées parlementaires. En l'état, ce n'est qu'une option. La CNCTR devra donc répondre. Là par contre ce n'est plus une injonction...

Amendement 19 :  il faut que la CNCTR puisse discuter avec la CNIL (et pas seulement l'Arcep). Avis défavorable d'Urvoas, sans explication. Avis défavorable de Taubira. « Je suis un peu étonné », répond Lionel Tardy. Urvoas explique que ceci n'empêchera pas la CNCTR de discuter avec la CNIL, et que si on prévoit une liste limitative, il faudra mentionner le défenseur des droits ou encore le CSA...

Amendement 379 du gouvernement : Le texte prévoit déjà la capacité de la CNCTR de consulter l’ARCEP (Autorité de Régulation des Communications Electroniques et des Postes).Il s’agit de permettre symétriquement à la CNCTR de répondre aux demandes de l’ARCEP, notamment dans le cadre de sa mission de vérification des obligations de permanence, de qualité, de disponibilité, de sécurité et d’intégrité des réseaux et des services de communications électroniques. Il est adopté.

La protection des lanceurs d'alertes repoussée

Amendement 183 défendu par Segio Coronado. La protection des lanceurs d'alertes : aucune mesure concernant notamment le recrutement, la titularisation, la formation, la notation, la discipline, la promotion, l’affectation et la mutation ne peut être prise à l’égard d’un fonctionnaire pour avoir relaté ou témoigné, de bonne foi, de l’illégalité dans la mise en œuvre d’une technique de renseignement.  Urvoas propose à Coronado de retirer son amendement au profit d'un amendement qu'il prépare (388). Le gouvernement est perplexe sur la rédaction de l'amendement du texte du député écologiste. Retiré.

Amendement 41 :  cet amendement demande des protections pour certaines professions ou certains élus  Il propose une double précaution : un avis conforme de la CNCTR pour les parlementaires, les magistrats, les avocats et les journalistes et une information des présidents des assemblées, premiers présidents, procureurs généraux et bâtonniers concernés.

Amendement 42 : redéfinir la notion de données de connexion, qui peut être en l'état interprétée de manière très extensive.

Amendement 182 : même idée, défendue cette fois par Lionel Tardy.

Amendement 386  : le projet n'est pas assez respectueux du secret professionnel et des journalistes, estime A. Filippetti. Un journaliste faisant une enquête sur une grande entreprise pourrait être espionné. Avis défavorable d'Urvoas, qui rappelle que ce sujet a déjà été discuté lors des débats.

Faut-il ou ou non, et de quelle façon, protéger ces professions là ? demande un député.

L'amendement Filippetti est rejeté. Celui de Coronado est retiré.

L'article 1 est adopté.

Les peines en cas de piratage informatique sont doublées

Amendement 389 : voulu par Urvoas. Il vise à augmenter les peines de piratage informatique suite à l'affaire TV5 Monde.  Avis défavorable du gouvernement car sans lien avec le renseignement. Il est adopté.

Amendement 69 d'Eric Ciotti.  Sur l'interdiction au retour en France des terroristes (ou assimilés). Selon le gouvernement c'est contraire aux engagements internationaux de la France. Rejet.

Amendement 242 de Guillaume Larrivé. Il est proposé qu’un décret en Conseil d’État, pris en application de la loi sur le renseignement, précise le périmètre de la communauté du renseignement, jusqu’alors défini par un décret simple.

Amendement 200 défendu par Isabelle Attard. Il vise à organiser un contrôle des fichiers de renseignement par la CNCTR, en association avec la CNIL. Pour Urvoas, on mélange les genres, alors que les missions sont distinctes.  Il est rejeté.

On passe à l'article 2.

Les techniques de renseignement : haro sur la boîte noire !

Nous allons étendre le champ des techniques du renseignement, avec des choix franco-français, regrette Lionel Tardy. il évoque la question des boites noires. L'État n'a pas de droit de regard particulier sur le citoyen, les garanties ne sont pas satisfaisantes.

Isabelle Attard revient sur les boites noires : une surveillance généralisée, technique inefficace, car tous ceux qui utilisent du chiffrement seront invisibles. Liberticide, car on a tous quelque chose à cacher. C'est ma vie privée, et j'y tiens. Nous seront tous surveillés, nos comportements changeront. Économiquement, les acteurs français vont se délocaliser. Quand la croissance existe, même si je ne suis pas fanatique, je ne crache pas dessus. Enfin aux USA, avec les conséquences de l'affaire PRISM, le climat n'est pas un climat de confiance. Il décourage les investissements étrangers ; les pertes estimées sont de 21 milliards de dollars en estimations basses. Est-ce à ce résultat que nous voulons arriver ?

Laure de la Raudière : cet article 2 recueille une levée de boucliers. Il permet la mise en place de la surveillance dont vous dites que c'est un fantasme. Or, dans l'article 1, vous ouvrez un champ du possible très important, et dans l'article 2 vous mettez en place des techniques qui vont collecter massivement des données et bien au-delà des personnes qui auraient décidé de devenir djihadistes. Pour calibrer des recherches avec les algorithmes, il faut une base de données très vaste. Expliquez-nous comment vont fonctionner les boites noires. On a l'impression à lire le texte qu'elles vont analyser toutes les données. Quelles sont les données que vous cherchez à collecter ? Où allez-vous placer vos sondes sur les réseaux télécoms ? En extrémité de réseaux (des dizaines de milliers d'équipements) soit sur les routeurs d'interconnexions, dans le cœur. Soit vous récoltez les données de connexion, et alors c'est redondant avec ce qui existe sur les interceptions, soit vous voulez aspirer des métadonnées avec des adresses de navigations. Et cet équipement se nomme Deep Packet Inspection. Lors de la loi de lutte contre le terrorisme, vous l'aviez dénoncé, comme étant une technique trop intrusive.

Christian Paul : en 20 lignes dans l'étude d'impact, vous allez modifier le paradigme du renseignement en France avec votre dispositif. Comment est-ce que cela fonctionne réellement ? Y a-t-il une collecte ? L'étude d'impact le dit incidemment. Est-ce que c'est en cœur de réseau, ou à l'entrée de grandes plateformes comme Google ? Il y a beaucoup d'inquiétudes. Nous souhaitons, avant l'examen des amendements, une description précise de cette technologie.

Aurélie Filippetti : cette boite noire est la boite de Pandore du projet de loi. Il n'y pas de contrôle réel, pas d'assurance sur le fonctionnement des services qui vont utiliser l'algorithme secret. Ce sont des dispositifs informatiques de pointe que seuls les services, la DGSE, sauront utiliser. Ce n'est pas avec un seul ingénieur de l'ARCEP qu'on pourra être rassuré. La grosse masse de données qui sera auscultée sera des métadonnées, mais elles seront plus intrusives dans la vie privée. C'est un filtrage sur lequel nous n'avons aucune transparence démocratique. On nous dit que ce n'est pas grave, car les données seraient anonymes. C'est paradoxal, puisqu'elles permettront d'identifier des terroristes, comme l'a relevé la CNIL. Qui va garantir que les lois fondamentales seront respectées par ces services qui vont agir sur le territoire national, alors que l'ARCEP nous dit qu'il est très difficile de localiser la nationalité d'une communication (nationale ou internationale)

(pause jusqu'à 21h30)

Les débats reprennent. Suite de la discussion sur la question des boîtes noires.

Sergio Coronado, dernier orateur avant les amendements  : dans l'économie globale du texte, cet article évoque le recours à des techniques de recueils de données de grande ampleur, si ce n'est de masse. Il permet notamment l'exploitation des informations et documents des FAI et opérateurs pour détecter des menaces terroristes par algorithmes. Il y a une idée reçue : les métadonnées c'est anonyme, ca ne risque rien. Mais si je partais avec toutes vos données de connexion, j'en saurais plus sur votre vie privée qu'en cinq ans de mandat.

Amendement 42 : revoir la définition des données de connexion. Urvoas repousse cet amendement. Le gouvernement aussi car ces données sont définies par le domaine réglementaire depuis des années.

Laure de la Raudière revient à la charge faute de réponse du député Urvoas et du gouvernement, en reprenant ses questions (DPI, etc.). Toujours pas de réponse. L'amendement est repoussé.

Amendement 20, 21, et 22 Lionel Tardy : Comme évoqué lors de la discussion de la loi de programmation militaire 2014‑2019, les éléments pouvant être recueillis ne sont que des données de connexion. On ne voit donc toujours pas à quels « documents » il pourrait être fait référence. Pou lui le périmètre est mal défini, il  veut que seules les données de connexion puissent être glanées. Urvoas repousse car le sujet a été purgé par la LPM et le décret de 2014 sur les données de connexion, qui a apaisé les craintes. Même avis du gouvernement. Rejet.

Amendement 59 : Comme demandé lors de la discussion de la loi de programmation militaire 2014‑2019, il convient de fixer exhaustivement la liste des données de connexion pouvant être recueillies. Lionel Tardy insiste pour que la liste des documents et informations soit fermée (alors qu'elle est actuellement ouverte par une liste qui se termine par un "y compris").

Avis défavorable de la commission et du gouvernement.

Amendement 103 et 184 : la boite noire. C'est l'ensemble du trafic qui est concerné, l'ensemble de données sera dans le filet, passant à l'analyse. Sept des principaux hébergeurs se sont inquiétés du dispositif. Or l'algorithme utilisera uniquement les seules métadonnées, mais s'il analyse les URL visitées, on utilisera le Deep Packet Inspection pour analyser chaque paquet IP.

Laure de la Raudière revient sur les sondes, et sur les algorithmes : êtes-vous certains que ce sera bien efficace ? Les chercheurs nous disent que ce ne sera pas efficace et que la surveillance sera massive. Vous voulez trouver des cas rares dans une meule de foin. Vous allez lever l'anonymat de beaucoup de personnes, quel résultat espérez-vous ?

Urvoas : ces amendements veulent supprimer les boites noires et les sondes. Techniquement le L851-3 ne procède pas de la police judiciaire, ne comparons pas avec la police administrative. Sur le 851-4, la commission et le gouvernement ne veulent pas une collecte passive, il n'y a pas de captation sauf si la menace est détectée, "d'après ce que j'ai compris". L'arrêt de la CJUE du 8 avril 2014 Digital Right ne concerne pas les États mais les opérateurs privés, et il n'est pas pertinent car l'article ne propose pas de surveillance de masse. Enfin l'anonymat des données de connexion n'existe pas, en effet, on préfère utiliser la notion d'identification des personnes.

Le ministre de la Défense : sur les sondes, ce mécanisme reste dans une mécanisme de ciblage individuel mais agit sur l'ampleur des données de connexion et dans l'immédiateté. Il permet de cibler des personnes, terroristes, surveillance en temps réel. Ce sont des données de connexion, non de contenu.  Le contrôle est précisé. La finalité est seulement celle de la prévention du terrorisme.

Sur les algorithmes : ce mécanisme répond effectivement comme l'ont relevé les observateurs à une nouvelle logique. La surveillance ne porte pas sur des cibles préalablement identifiées, mais procédera de manière ciblée à la surveillance de moyens de communications utilisés par des personnes. Le L851-4 permet d'imposer aux opérateurs d'installer sur leur réseaux, et donc sur les flux, des traitements automatisés qui repèrent des comportements de communication suspecte en terme de risque terroriste. Ces traitements permettent dans un deuxième temps d'identifier les personnes. Ni surveillance de masse, mais ciblage sur des modes de communications identifiés comme caractérisés dans l'implication terroriste. Ils échangent par procédé clandestin, avec des outils spécifiques ou détournés de l'usage usuel. Ces personnes font évoluer leurs procédés de communications. Ce sont ces procédés qui permettent de cibler les algorithmes.

Un exemple est donné : si Daesh met en ligne une vidéo de décapitation lancée sur des sites connus, dont la réception est vérifiée sur d'autres sites, avec des connexions à certains heures, l'algorithme permettra de cibler un échange caractéristique.

Les garanties majeures sont apportées par le texte. Les résultats sont soumis au GIC et au Premier ministre, et la méthode de mise en œuvre des traitements sera négociée avec les opérateurs. Les garanties sont les suivantes:

1. Finalité du terrorisme
2. Les opérations ne portent que sur les données de connexions
3. Réalisées sous pilotage et contrôle du GIC
4. Méthode de recherche soumise préalablement à la CNCTR
5. La CNCTR pourra contrôler en permanence le dispositif
6. Seules les données nécessaires à la détection des alertes seront détectées
7. (Manquante)
8. Pas d'accès à l'identité des personnes sans autorisation du Premier ministre

Le gouvernement a été sensible aux revendications des hébergeurs. Ce matin les ministres de l'Intérieur, de l'Économie et du Numérique ont rencontré les représentants. « Nous avons trouvé un accord important » sur la compréhension des objectifs, la méthode de mise en oeuvre et sur les éléments à renforcer dans la rédaction de cet article, d'où des amendements qui vont être déposés par le gouvernement. Ils apportent de nouvelles garanties, le principe de proportionnalité s'appliquent, le Premier ministre doit indiquer le périmètre sur lequel l'algorithme sera appliqué ensuite, en garantissant aux opérateurs que ce sont leur propres agents qui installeront ces dispositifs. Ensuite, il sera exclu de toute application du régime d'urgence. Et les modalités seront limitées dans le temps (quatre mois) et l'article sera mis en oeuvre jusqu'au 31 décembre 2018.

Isabelle Attard : il est devenu à la mode de faire un vrai faux sur le projet de loi. Vous nous dites que les données de connexion sont moins précises que le contenu lui même, c'est faux ! Tous ceux qui s'y connaissent en informatique vous le diront. On peut savoir avec qui vous êtes en relation deux fois par jour,  où vous allez vous connecter, etc. Faux également, quand vous nous dites que ces algorithmes vont détecter des comportements suspects. Les comportements sont différents à chaque attaque. Mais ce sont des humains qui vont donner les consignes et les mots-clefs. Ces comportements sont différents, on n'a pas attaqué des tours en janvier, on a attaqué une rédaction. Il ne s'agit pas de surveillance de masse ? Pour une fois, vous avez raison, il s'agit d'une surveillance généralisée.

Larrivé : Plus j'entends ces arguments, plus je suis convaincu par ces dispositions.

Laure de la Raudière revient à la charge, faute de réponse à ses questions.

Lionel Tardy : le ministre justifie son algorithme par le fait que les géants du net font de l'analyse comportementale. Le problème est que le terrorisme ne présente pas une fréquence suffisante pour permettre de nourrir une méthode automatisée. Ces algorithmes procèdent par induction.

Popelin (PS) : Si les services passaient leur temps à tout prendre, ils perdraient leur temps et auraient un bien piètre algorithme. Il n'y a pas de surveillance de masse, c'est contraire à la loi, ce n'est pas possible.

Ciotti : Au-delà de la question technique, nous devons nous attacher à des valeurs et des convictions politiques (etc.)

Christian Paul (dernier intervenant sur ces deux amendements) : il questionne le ministre sur l'exhaustivité des données collectées. Vous avez voulu encadrer cette affaire par la finalité des opérations (terrorisme), mais on n'a pas dans la loi de norme suffisante pour encadrer la nature des documents qui seront aspirés. Risque d'effet de brèche.

Cazeneuve : il y a une part d'hypocrisie dans le débat public. Les opérateurs internet ont déjà nos données personnelles, j'en veux pour preuve : allez sur FB, on vous demandera si vous ne voulez pas être amis avec des gens que vous ne connaissez pas. Comment fait M. Facebook ? Et quand un État essaye de prévenir le terrorisme, il est suspecté de poursuivre des objectifs indignes. Il y a une faiblesse ou une soumission à l'égard des grands groupes du Net. « Moi ce qu'il y a dans les articles de presse, par principe je n'y crois pas, par nature et par essence. Ce n'est pas parce qu'on répète à l'envie "surveillance de masse" qu'on a raison ». Comment ça marche ? Pas de prélèvement en masse.

Pour les sondes : on va essayer de déterminer des listes de données de connexion à partir de listes de personnes qui représentent un risque terroriste particulièrement élevé. Cela ne concerne que ces personnes, ce n'est pas une surveillance de masse, insiste le ministre. Il est des parlementaires ici qui considèrent qu'il ne faut rien faire pour être sûr qu'on interviendra après l'acte, ce n'est pas mon approche.

Les algorithmes : on ne prend pas tout. Autre exemple. Des terroristes sur le darknet procèdent à des échanges de communications qui donnent des élements sur leur intention de commettre des actes terroristes. D'autre part, vous savez qu'il utilisent des vidéos appelant au terrorisme et faisant la publicité de leurs actes, en utilisant de multiples adresses IP qui se masquent les unes les autres (VPN) sur la planète, et que vous devez prévenir ces actes.  Quand les services disent qu'il y a une possibilité de prévenir ces actes par ces algorithmes, qui permettent d'identifier ces personnes, nous proposons d'uiliser ces techniques de ciblage, qui ne sont pas de masse. Nous utilisons des formules mathématiques pour prendre sur le flux ce dont nous avons besoin. Si on veut aller dans le contenu, alors on repasse devant la CNCTR qui peut saisir le juge administratif, qui peut saisir le juge judiciaire, etc.

Fasse à des lobbies puissants, une vérité peut être un temps plus faible qu'un agglomérat de mensonge. La vérité implique de la rigueur.

Les deux amendements sont rejetés.

Amendement 94 : défendu, défavorable, repoussé.

Amendement 145. Rejet.

Amendement 105 : vise à préciser que les données de connexion sont les seules à être aspirées.

De la Raudière revient à la charge : Allez-vous utiliser le DPI ? Bernard Cazeneuve confirme : hors de question d'utiliser le DPI.

Isabelle Attard : les écoutes généralisées n'ont permis d'éviter qu'un seul attentat aux États-Unis. Et Facebook n'a rien à voir avec la lutte antiterroriste.

Amendement 105 repoussé.

Amendement 22 déjà défendu, rejet.

Amendement 23. Il convient de rétablir un principe de subsidiarité (opérateurs) afin d’éviter une aspiration massive de données sur sollicitation directe du réseau, comme l’évoque la CNIL. Il s'agit d'éviter que les services puissent avoir accès directement aux infrastructures des opérateurs. Urvoas repousse. Cela minorerait le rôle du Premier ministre.

Amendement 24 rejet.

Amendement 25 :  il y a selon Tardy un problème philosophique dans ces algo, on ne connait pas la localisation de ces sondes, ni le périmètre des métadonnées, l'étude d'impact est très légère sur les coûts, le caractère intrusif reste potentiellement élevé. Le problème n'est pas la durée, mais la technique et son contrôle.

Amendement 185 : qualifier de non républicain ou non patriote ceux qui sont contre certaines techniques, c'est regrettable, explique Coronado. Selon lui, « cela nous amène vers le système dénoncé par Edward Snowden qui a été mis en place dans certains pays. Du fait de sa rédaction extrêmement large, un nombre très important de données et de personnes pourraient être contrôlées avec ces algorithmes. Par ailleurs, la notion d’anonymat avancée par le projet de loi initial est totalement illusoire. Il n’y a pas sur le net des données qui ne puissent être identifiantes. La pose de boites noires fragilise également l’ensemble du réseau en étant un point d’affaiblissement important de la sécurité. On peut s’interroger de la conformité de cette mesure avec le droit européen. Dans son arrêt Digital Rights Ireland du 8 avril 2014, la CJUE a rappelé que tout traitement de ce type doit être ciblé et proportionné. Enfin, la commission de réflexion et de propositions sur le droit et les libertés à l’âge numérique de l’Assemblée nationale, dans ses recommandations sur le projet de loi, publiées le 1er avril 2015, a souhaité la suppression de cet article, estimant qu’il « ouvre la possibilité, à des fins de prévention du terrorisme, d’une collecte massive et d’un traitement généralisé de données ». C’est pour toutes ces raisons que cet amendement propose de supprimer cette innovation dangereuse »

Amendement 228, seul amendement de Christian Paul (PS) : vise à retirer les algorithmes et les sondes du projet de loi sur le renseignement.

Amendement 259 :  toujours afin de supprimer ces deux dispositifs.

Urvoas refuse : si on légifère aujourd'hui, c'est pour s'inspirer de la loi de 91 afin de la moderniser. La CNCTR aura accès à l'algorithme, elle saura s'il évolue. La responsabilité sera assumée par les pouvoirs publics. Toutes les conditions du contrôle seront là. Rejet demandé. Gouvernement aussi.

Isabelle Attard : je n'ai pas d'arrogance, j'ai des inquiétudes. Les algorithmes ont besoin de tout regarder pour pouvoir ensuite cibler. Ce n'est pas la couleur de l'aiguille qui va changer dans la botte de foin, mais la forme de l'objet, aujourd'hui une aiguille, demain un camélon et après demain une fourchette.

Tardy : Éclairez-moi sur ce qu'est une boite noire exactement. C'est une boite ou une armoire ? Selon le député, vous allez vous trouvez face à une soupe numérique. En plus vous dites que vous allez regardez ce qui va se passer, les gens qui réellement ont envie de le faire utiliseront des moyens détournés, vous attraperez de la soupe numérique comme Hadopi.

Lellouche : Est-ce que la commission sera efficace pour contrôler les algorithmes ?

Bloche : Je sera bref, je n'ai qu'une question à poser. Que pourraient faire les dispositions dans les mains d'un gouvernement qui ne serait pas aussi soucieux des principes républicains et des données personnelles que celui d'aujourd'hui ?

Urvoas : Nous n'inventons pas la technique, la technique existe, on veut juste créer de la norme pour protéger l'État de droit.

Rejet total.

Amendement 104 : L’article 851‑4 prévoit la mise en place d’un dispositif algorithmique pour détecter les comportements d’individus susceptibles de commettre un acte terroriste. La rédaction actuelle de l’article 851‑4 n’empêche pas le passage d’une surveillance ciblée à la surveillance de masse permise par les nouvelles technologies, en particulier les technologies de big data ou de profilage. Une seule personne sur neuf au sein de la CNCTR sera supposée avoir les compétences techniques nécessaires à l’évaluation du dispositif. Ce n’est clairement pas suffisant pour assurer un contrôle démocratique suffisant des dispositions prévues à cet alinéa. Repoussé.

Laure de la Raudière : Si vous utilisez les mêmes algorithmes que Facebook, vous êtes mal... (en substance)

Amendement 26 de Lionel Tardy : demande un avis conforme de la CNCTR pour l'implantation des boites noires, refus d'Urvoas car prérogative de l'exécutif.

Amendement 382 du gouvernement, pour limiter à quatre mois ces opérations, mais autorisation renouvelable.

Amendement 437 : après réunion avec les opérateurs ce matin, cet amendement gouvernemental veut apporter de nouvelles garanties pour rassurer tout le monde et éviter une fuite des entreprises françaises à l'étranger. Il précise trois points :

1. L’autorisation du Premier ministre précisera le champ technique de la mise en œuvre de la mesure, qui sera, en vertu du principe de proportionnalité, limité aux éléments strictement nécessaires à la détection d’une menace terroriste
2. Les opérateurs auront la possibilité, ainsi que le précise le renvoi à l’article L.861-3 du code de la sécurité intérieure, de s’assurer par eux-mêmes que les données de contenu seront exclues de la mise en œuvre de ces traitements
3. Enfin, le présent amendement énonce que la procédure d’urgence n’est pas applicable au dispositif.

Selon Cazeneuve, les opérateurs pourront s'assurer que l'aspiration ne porte que sur les métadonnées, non les contenus. Seulement, les affirmations ne sont pas très justes (voir notre actualité).

Sergio Coronado a déposé deux sous amendements, 443 et 442. Tardy, le 441. Ils estiment que, contrairement à ce qui est indiqué, l'amendement gouvernemental n’apporte rien de nouveau pour s’assurer que les boîtes noires ne recueillent pas de données de contenu.

Pour Urvoas, la commission regrette de ne pas avoir pu étudier l'amendement du gouvernement. Mais il est pour. Mais contre ceux des députés.

Tardy décrypte l'amendement et considère, à raison, qu'il n'y a qu'une nouveauté (formelle).

Pour Attard, l'amendement est même pire car il fait des opérateurs, des auxiliaires du renseignement. Comment éviterez vous les risques de piratage ? 

Tous les amendements sont repoussés, sauf celui du gouvernement.

Amendement 284 :  Au regard de l’intrusion dans la correspondance privée qui pourrait être autorisée, un avis conforme apparait nécessaire à la protection des libertés. S’agissant d’une autorité indépendante, la Commission est parfaitement qualifiée pour le donner. : rejet.

IMSI Catcher et autres outils de surveillance

Amendement 27 : La CNCTR doit également pouvoir contrôler le dispositif. La modification intervenue en ce sens en commission est bienvenue. Mais il faut également que le contrôle s’opère à chaque modification du dispositif. Avis défavorable, inutile, rejet.

Amendement 413 : l'IMSI catcher a été abandonné en Commission, en référence au 226-3 du code pénal qui est nettement plus large. Urvoas : on a laissé tombé les techniques en préférant les finalités.

Dans le 186, Coronado veut cibler davantage les finalités pouvant être utilisées par ces techniques intrusives.  Tout comme le 28 de Tardy.

Pour Urvoas, inutile, le cadre est strict et protecteur, les services doivent avoir une flexibilité dans l'usage puisque le contrôle est garanti.

Amendement 29,  Tardy : Vous voulez aspirez des documents, mais c'est quoi ?

Amendement 187 : Coronado veut plus de contrôle. Rejet.

Amendement 357, propose de porter de 30 à 90 jours le délai permettant aux services de renseignement de discriminer les données collectées au moyen d’un dispositif de proximité. Il tient en cela compte des délais proposés par un amendement précédent et de la législation allemande qui prévoit quant à elle un délai de six mois.

Dans son amendement 30, Tardy propose lui 10 jours. Tout comme Coronado avec le 188.

Urvoas et le gouvernement donnent un avis favorable au 357, adopté.

Le 358 et 395 : avis favorable.  Les dispositifs de proximité, en plus d’être inscrits sur un registre spécial contrôlé par la CNCTR, feront l’objet d’un contingentement à l’image de la pratique applicable aux interceptions de sécurité.

Situation d'urgence opérationnelle, les interceptions de sécurité

Amendement 412 de Tardy (sous-amendement au 380) : faire en sorte qu’en cas d’urgence également, la CNCTR soit non seulement informée des résultats, mais exerce une veille sur les finalités et puisse s’assurer de l’opportunité de l’urgence. Avis défavorable sur le 412 par Urvoas, mais favorable sur le 380.  Seul ce dernier est adopté.

Amendement 148 de Candelier : La loi du 10 juillet 1991 précisait que les interceptions étaient réalisées « à titre exceptionnel ». Il s’agit par cet amendement d’encadrer le recours aux interceptions de sécurité en faisant figurer expressément dans la loi leur caractère exceptionnel. Mais Urvoas a déjà repoussé cela...

Repoussé.

Amendement 43. Cet amendement vise à préciser que les interceptions de sécurité ne sont possibles que lorsque les renseignements ne peuvent être recueillis par un autre moyen légalement autorisé. Urvoas n'en veut pas : la CNCTR n'a pas à être juge de la subsidiarité, repoussé.

Amendement 149 veut limiter les écoutes dans les environs d'une personne déjà écoutées. L'actuel projet de loi permet d'étendre ces mesures à toutes les personnes qui sont en contact avec elle.  Rejet.

Amendement 44 : Actuellement, le projet de loi prévoit que les personnes susceptibles de jouer un rôle intermédiaire, même involontaire, pourront se voir imposer des interceptions de sécurité. Un très grand nombre de personnes peuvent être soupçonnées d’être des intermédiaires involontaires. Vu l’atteinte à la vie privée que constituent les interceptions de sécurité, il semble nécessaire de préciser cette notion et de limiter les autorisations quand il existe des indices sérieux qu’une personne joue le rôle d’intermédiaire, même involontaire. Il est adopté.

Amendement 45 retiré

Amendement 46 retiré

Amendment 189 : vise à ce que les modalités de centralisation des interceptions ne soient définies qu’après avis de CNCTR. Adopté.

Amendement 414 de Tardy : propose que les interceptions par dispositif de proximité soient interdites. Urvoas et gouvernement défavorables. Repoussé 

Amendement 190 : Isabelle Attard veut limiter ces dispositifs à la finalité du terrorisme. Refus d'Urvoas. Sous la sagesse du gouvernement. Rejeté.

Amendement 191 : L'ISMI-catcher sur les correspondances sera une technique extrêmement attentatoire aux libertés individuelles, par son caractère très intrusif et totalement non-discriminant concernant les personnes surveillées, il est indispensable que l’autorisation se conforme à l’avis de la commission. Urvoas n'en veut pas  : l'outil sera utilisé en conformité à l'autorisation accordée.

Amendement 192 : L’IMSI-catcher sur les correspondances étant une technique extrêmement attentatoire aux libertés individuelles, par son caractère extrêmement intrusif et totalement non-discriminant concernant les personnes surveillées, il est indispensable qu’il soit expressément autorisé. Selon Urvoas, c'est déjà satisfait. Rejet.

Amendement 61 : Cet amendement a un double objectif : préciser que la destruction de toutes les correspondances sans lien avec le but recherché ou concernant une personne non impliquées sont détruites, quel que soit leur mode d’interception et préciser de façon plus claire que cette destruction s’effectue sur le champ. Rejet, Urvaos explique que cela nuira à la destruction des données incidentes.

Vote sur l'article 2, scrutin public. Adopté (30 votants, 5 contre).

Article 3 : les surveillances internationales

Lionel Tardy estime que les mesures de contrôle sont plus légères, on zappe tout une partie du formalisme pour les écoutes. Il y a un grand trou, un manque de prévisibilité. Isabelle Attard : vous dites que vous êtes certains de la constitutionnalité de la loi. On vous a demandé si vous saisiriez le Conseil Constitutionnel, on n'a eu aucune réponse. Elle indique que mardi dernier, une QPC a été déposée contre la Loi de programmation militaire. Jean Lassalle : le Conseil Constitutionnel ? Mais il n'existe quasiment plus... Edouardo Riahn Cypel estime que cet article va permettre de sécuriser les agents.

Amendement 152. L’article 3 accorde un nouveau pouvoir aux services de renseignement en leur permettant de sonoriser certains lieux et véhicules et de capter des images et données informatiques. Cette méthode de surveillance particulièrement intrusive implique à la fois la violation de la vie privée et du domicile. Seul le principe de subsidiarité énoncé au nouvel article L 853‑1 du CSI (si les moyens ne peuvent être recueillis par un autre moyen légalement autorisé) vient encadrer ce procédé très intrusif. Cet amendement propose donc d’encadrer davantage ce dispositif en permettant son autorisation à titre exceptionnel.

Urvoas : le principe de subsidiarité exclut cette idée. Il est rejeté.

Amendement 126 et 127 : L’article 3 permet aux services de renseignement de mettre en œuvre de nouvelles techniques de recueil de renseignement, jusque-là uniquement dévolues aux services de police judiciaire : la captation, la fixation, la transmission et l’enregistrement de paroles prononcées à titre privé ou confidentiel, ou d’images dans un lieu privé et la captation, la transmission et l’enregistrement de données informatiques transitant par un système automatisé de données ou contenues dans un tel système. L'amendement vise donc à en limiter l’utilisation à trois finalités, soit l’indépendance nationale, l’intégrité du territoire et la défense nationale ; la prévention du terrorisme ; la prévention de la criminalité et de la délinquance organisées. (le 127 : prévention du terro)

Défavorable pour Urvoas. Restriction jugée néfaste. Le 126 est retiré, mais le 127 reste.

Amendement 47 : vise à préciser les possibilités de captation de données informatiques. La rédaction actuellement prévue va plus loin que les possibilités offertes par le code de procédure pénale. C'est incohérent d’aller dans des dispositifs plus intrusifs que ce qui est permis pour les enquêtes judiciaires et il est donc proposé d’harmoniser les deux rédactions. Urvoas : les praticiens du Code pénal estime que l'article du CP est trop restrictif, donc avis défavorable. Rejet.

Amendement 137 : vise à préciser les possibilités de captation de données informatiques. La rédaction actuellement prévue va plus loin que les possibilités offertes par le code de procédure pénale à l’article 706‑102‑1, tel qu’issue de la loi n° 2014‑1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme. Il semblerait incohérent d’aller dans des dispositifs plus intrusifs que ce qui est permis pour les enquêtes judiciaires et il est donc proposé d’harmoniser les deux rédactions. Repoussé.

Amendement 195 : renouvellement de l'autorisation avec avis conforme de la CNCTR. Repoussé.

Amendement 132 : propose de durcir les conditions de renouvellement du recours aux « IMSI catcher » et aux dispositifs « de proximité ». La demande de renouvellement de l’autorisation, à l’issue des deux mois, devra s’accompagner d’un bilan de l’utilisation de ces techniques et des résultats obtenus, afin de permettre un avis plus éclairé de la Commission nationale de contrôle des techniques de renseignement. Inopportun pour Urvoas, Rejet.

Amendement 351 d'Urvoas : Cet amendement a pour objet de rendre applicables aux paroles captées dans un lieu privé le délai de conservation prévu au a) du I de l’article L. 822‑2, tel qu’il résulte de l’article 1er, amendé, du présent projet de loi (destruction à l’issue d’une durée de trente jours à compter de la première exploitation et dans un délai maximum de six mois à compter de leur recueil). Adopté.

Amendement 350 adopté rédactionnel.

Amendement 32 : Amendement de cohérence avec l’article 1er issu des travaux de la commission et qui vise à introduire une explication motivée donnée par le Premier ministre lorsqu’il passe outre un avis défavorable de la commission. Amendement déjà satisfait pour Urvoas.

Amendement 71 rejet.

Amendement 196 de Coronado : vise à préciser que le renouvellement de l’autorisation de l’introduction dans un système de données ne puisse se faire qu’après un avis conforme de la CNCTR. Rejet.

341, 365, 342, rédactionnels. Tous adoptés.

Amendement 421 du gouvernement : à lire en lien avec celui qui à rétablir la possibilité pour le Conseil d’État de siéger en formation particulière, qui s’accompagne de la possibilité de renvoyer l’affaire en section ou en assemblée du contentieux si cela apparait nécessaire au regard de l’enjeu ou de la difficulté des questions posées par le litige. Adopté.

Amendement 123 : L’article 1er du projet de loi liste de manière limitative les motifs d’intérêt public pour lesquels peut être autorisé le recueil de renseignements par des techniques spéciales prévues par la loi. Parmi ces finalités figuraient, dans le projet présenté par le gouvernement « les intérêts essentiels de la politique étrangère et l’exécution des engagements internationaux de la France ». Lors de l’examen du texte en Commission des Lois, cette finalité a été modifiée, pour devenir « Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère ». Cette finalité concernant exclusivement la politique étrangère, un amendement à l’article 1er a proposé de la supprimer de la liste des finalités communes à tous les services de renseignement, afin de la déplacer. Le présent amendement propose à présent d’inscrire cette finalité à l’article 3 du projet de loi, afin qu’elle s’applique exclusivement à l’article L. 854‑1 du code de la sécurité intérieure, régissant les mesures de surveillance internationale. Retiré.

Amendement 48 : la dernière phrase de l’alinéa 26 prévoit que la durée de conservation des correspondances interceptées court à compter de la date de leur première exploitation, et non de la date de leur collecte.Il n’y a pas lieu de prévoir de durée dérogatoire de conservation pour les correspondances échangées à l’étranger, d’autant qu’aucune limite n’est prévue. C’est pour cela qu’il est proposé de revenir au dispositif de droit commun, en respectant les principes défendus par le Conseil d’État qui « a jugé nécessaire que ce délai commence à courir comme aujourd’hui à compter du recueil des correspondances et non de leur première exploitation ». Adopté.

Amendement 197 : Si la Commission nationale de contrôle des techniques de renseignement constate une irrégularité, elle ne doit pas seulement remettre au Premier ministre un rapport de contrôle, mais pouvoir, le cas échéant saisir le Conseil d’État (défendu par Sergio Coronado)

Sous-amendement du gouvernement 383 : Ouvrirait un champ trop large. Le gouvernement veut que cela se limite aux seules correspondances émises ou reçues sur le territoire national.

Sous-amendement adopté, amendement sous-amendé adopté également.

Amendement 314 (Nauche) : Encadrement des chevaux de troie administratifs selon la même forme qu'en judiciaire. Adopté.