Loi Renseignement : l’actuel président de la CNCIS réitère ses doutes et critiques

La loi sur le renseignement parviendra-t-elle à combler les lacunes juridiques des services du renseignement ? Jean-Marie Delarue, l'actuel président de la Commission nationale de contrôle des interceptions de sécurité doute, estimant le texte trop centré sur les techniques.

Mardi prochain, la Commission des lois auditionnera Francis Delon, celui dont la nomination a été proposée par François Hollande pour présider la future autorité de contrôle des services du renseignement. En attendant l’installation de cette Commission de contrôle des techniques du renseignement (CNCTR), la Commission nationale de contrôle des interceptions de sécurité (CNCIS) poursuit ses activités. Son président, Jean-Marie Delarue, a justement été auditionné la semaine dernière au Sénat, dans le cadre de la mission sur les autorités administratives indépendantes.

Les armes de la CNCIS sont différentes de celles de la future CNCTR puisque si l’une et l’autre rendent des avis et sont censées contrôler les mesures d’espionnage initiées par l’État, seule cette dernière sera en capacité de saisir le Conseil d’État après avoir émis vainement une recommandation tendant à l’arrêt de la surveillance. Autre différence avec sa future remplaçante, la CNCIS n’a pas de délai pour agir. Mais ce n’est pas handicapant en pratique : « nous répondons toujours dans les 24 heures, et le plus souvent dans les 7 à 8 heures. Lorsque la demande est présentée en urgence, comme la semaine dernière à 3 heures du matin, nous statuons dans les 45 minutes : les services ne peuvent affirmer que leur activité est bridée par notre contrôle ». La petite phrase peut aussi être lue comme une critique du dispositif à venir, puisqu’à l’échelle de la surveillance internationale, il n’a pas été prévu d’avis préalable. Or, si la CNCIS parvient à répondre en quelques dizaines de minutes, pourquoi ne pas rester dans cette logique pour l’encadrement de la surveillance au-delà de nos frontières ?

Le terrorisme représente 39 % des interceptions

Les informations délivrées au Sénat par M. Delarue sont précieuses à quelques semaines de la mise en application de la toute récente loi sur le renseignement. La CNCIS emploie ainsi cinq personnes pour un budget 2015 de 569 000 euros mais elle a vu ses missions fonctionnelles évoluer ces derniers mois. Selon Jean-Marie Delarue, « jusqu'à récemment, la finalité la plus importante en volume a toujours été [la prévention de la criminalité de la délinquance organisée], mais on observe un renversement : sur les quatre derniers mois, la prévention du terrorisme a représenté 39% des interceptions, contre 38% pour la délinquance et la criminalité organisées. »

Le président de la CNCIS relève aussi que ses effectifs sont restés constants depuis la loi de 1991 qui l’a instituée « alors que le champ d'activités de la commission s'est accrue ». Il ajoute même « nous sommes un peu à la peine ». Par exemple, « depuis trois ou quatre ans, disent mes collaborateurs, nous sommes à la peine et manquons de temps ou d'effectifs pour mener notre mission. Notre champ de compétence inclut la visite de la vingtaine de centres d'écoute déconcentrés du Groupement interministériel de contrôle (GIC). Nous voudrions nous rendre dans sept à dix centres par an. En 2014, faute de budget suffisant, ce chiffre a été nettement inférieur, ce qui peut donner aux services l'impression que leur activité est moins suivie ». La loi sur le renseignement a prévu une certaine centralisation de données collectées, mais comme sa définition exacte sera orchestrée par un décret, on ne sait encore ce qu’il en sera.

Dix-huit emplois pour la future CNCTR en 2016

Autre témoignage, « depuis 2006, [la CNCIS] contrôle a priori l'ensemble des données de connexion relatives à la prévention du terrorisme, telles que les codes IMSI (International Mobile Subscriber Identity) et IMEI (International Mobile Equipment Identity) pour la géolocalisation notamment. Depuis le 1er janvier, l'ensemble des données de connexion fait l'objet d'un contrôle, cette fois a posteriori. »

Pour assurer le passage de témoin avec la CNCTR, « la salle d'accès aux données d'enregistrement et de transcription » a été agrandie. De même, le nombre de postes sera rapidement porté de cinq à huit pour pouvoir répondre dans le délai de 24 heures imposé par la loi. « J'ai décidé, par anticipation, de créer un embryon d'équipe technique. Nous avons ainsi été rejoints le 1er septembre dernier par un ingénieur mathématico-informaticien, plus à même qu'un magistrat d'apprécier les dispositifs techniques proposés par les services. J'espère que le président de la CNCTR pourvoira au moins un autre emploi de même nature. J'ai également recruté un troisième magistrat judiciaire, arrivé le 10 septembre. J'ai demandé au Premier ministre, et semble-t-il obtenu, dix-huit emplois pour la future CNCTR, sur l'année budgétaire 2016. »

Au fil de son audition, M. Delarue admet toutefois qu’il ignore « quel volume de données sera recueilli par les services, combien parviendront à la CNCTR, ni comment. »

« Je suis un peu préoccupé par cette évolution » 

Comme la CNCTR, les avis de l’actuelle CNCIS sont simples en ce sens que le Premier ministre est libre de les suivre ou non. Elle émet en tout cas un avis défavorable « lorsque les conditions légales ne sont pas remplies ou quand il existe des interrogations sur le bien-fondé de la demande, par exemple lorsque quelqu'un est présenté comme extrêmement dangereux alors que les faits sont anciens ». Autre signe d’évolution, « on note depuis un an un infléchissement de la politique du Premier ministre à cet égard ». Ainsi, « jusqu'en 2014, les avis ont presque toujours été suivis. Depuis la fin 2014, un plus grand nombre d'avis défavorables n'a pas été suivi, pour des raisons de conjoncture. »

De même, « lorsque nous estimons que l'autorisation a été donnée contra legem [illégalement, ndlr], la loi de 1991 nous autorise à adresser une recommandation au Premier ministre pour lui demander d'interrompre l'interception illégale. Cette année, deux recommandations n'ont pas été suivies, ce qui n'avait jamais été le cas depuis 1991. Le Premier ministre prend des risques juridiques et politiques à passer outre ; à lui de les apprécier. Je suis un peu préoccupé par cette évolution. »

« Un risque considérable »

Enfin, sur le chapitre des techniques de surveillance, il évoque « un risque considérable », pas moins. Pourquoi ? La loi fondatrice de 1991 « interdit aux services de transcrire des éléments sans rapport avec l'affaire pour laquelle la surveillance a été demandée. Tout ce qui est relatif à la vie privée doit disparaître, ou tout ce qui concerne les relations professionnelles d'un avocat ». D’où l’importance d’un contrôle a posteriori. Cependant, « demain, nous accumulerons les données sur encore plus de personnes. Traditionnellement, les écoutes de correspondance représentaient le summum de l'intrusion, le recueil de données téléphoniques n'apportait rien. Aujourd'hui, la géolocalisation en temps réel se fait uniquement sur des données de connexion. La séparation des données que nous accumulons sera de plus en plus difficile. »

Face à ce déluge de métadonnées, « ma crainte est que nous ne soyons pas en mesure de vérifier assez tôt que les données qui n'ont pas trait à l'affaire sont soustraites, comme le prévoit la loi. Que se passera-t-il s'il faut attendre de pouvoir retirer une balise d'un véhicule pour que son contenu soit assimilé ? Et si le service ne me transmet que les données concernant l'affaire, alors que la balise contient des données sur une autre affaire pénale ? Tout cela suppose la bonne foi des services. J'y crois, bien évidemment, mais il vaut mieux vérifier, car nous sommes en démocratie. »

La loi sur le renseignement, une loi trop centrée sur la technique ?

Celui qui n'a jamais été avare de critiques à l'encontre du texte de Valls, regrette que la loi sur le renseignement se soit focalisée sur les techniques plutôt que le degré d’intrusion. « Nous nous trouvons désormais en porte à faux, car les techniques qui ne sont pas mentionnées dans la loi sont réputées illégales. Or l'évolution technologique dans ce domaine est galopante. La loi ne mentionne pas les drones. La préfecture de police en a déjà un. Le survol de propriétés privées risque de poser problème, car il me paraît difficile d'assimiler le drone à une technique existante ».

Bref, avec en se focalisant sur la technique plus que l’intrusion, il est à craindre que la toute récente loi ne comble pas les zones grises ou les pratiques alégales, selon lui. « Le directeur de la sécurité de Google International m'a indiqué qu'il répondrait certainement à la demande de cryptologie de la part des usagers. Cette technique pouvant gêner la prévention de la délinquance, il faudra donc inventer des contre-mesures... J'aurais voulu que le législateur évite de reprendre en permanence ce chantier des évolutions technologiques. »

Enfin, pour faire taire ceux qui évoquent son éviction de la future CNCTR, Jean-Marie Delarue indique au contraire qu’il n’a pas souhaité être désigné. « Le mois dernier, j'ai demandé à ne pas figurer parmi les membres proposés par le vice-président du Conseil d'État. Disons que s'il avait voulu penser à moi, je l'en ai dissuadé, parce que je pense que la loi sur le renseignement d'une part, et les techniques de saisine des données d'autre part, ne me donnent pas les garanties d'un contrôle suffisant. Par conséquent, je ne souhaite pas m'y associer. »