II. CINQ ANS APRÈS : UN BILAN GLOBALEMENT SATISFAISANT, MAIS DES BESOINS PONCTUELS D'AJUSTEMENT
A. LA MISE EN oeUVRE DE LA LOI DE 2015 A CONSTITUÉ UN DÉFI JURIDIQUE, HUMAIN ET TECHNOLOGIQUE MAJEUR, AUJOURD'HUI EN PHASE D'ACHÈVEMENT
L'entrée en vigueur de la loi relative au renseignement a constitué, pour les services de renseignement de même que pour les structures afférentes, en particulier le GIC, un défi juridique, humain et technique sans précédent, qui n'a pas été sans impact sur leur fonctionnement et leur organisation.
Les progrès accomplis sont significatifs et ont permis, en quelques années, une appropriation satisfaisante du nouveau cadre légal.
Il n'en demeure pas moins que des investissements demeurent nécessaires pour parfaire l'efficacité du GIC, désormais au coeur du processus de mise en oeuvre des techniques de renseignement, ainsi que pour respecter les principes de centralisation et de traçabilité des opérations imposés par le législateur.
1. Un cadre juridique lourd et complexe, mais désormais bien assimilé par les services
a) Une appréhension progressive du cadre légal par les services de renseignement
Au regard de la révolution législative que représentait la loi du 24 juillet 2015, les services de renseignement ont, tous, connu une phase d'appréhension du nouveau cadre légal, tant en terme d'appropriation technique, par les agents de renseignement, du nouveau cadre juridique que d'absorption de la charge de travail induite par les nouvelles procédures d'autorisation et de contrôle.
Sur le plan humain, l'impact de la loi demeure difficile à estimer avec précision compte tenu de l'implication de nombreux acteurs, à des niveaux hiérarchiques différents, dans le processus de mise en oeuvre d'une technique de renseignement. Interrogés par la délégation, les services ont d'ailleurs été, pour la plupart, dans l'incapacité de fournir des éléments quantitatifs sur les besoins humains nouveaux générés par les nécessités de gestion de la procédure d'autorisation des techniques de renseignement.
La DGSE afourni une évaluation partielle du coût humain, indiquant que 20 ETP étaient entièrement dédiés à l'application du cadre légal, chiffre qui n'inclut cependant pas les exploitants et l'ensemble de la chaîne hiérarchique de la direction du renseignement chargés de rédiger et de valider les demandes de techniques.
Dans les faits, l'adoption, concomitamment à l'entrée en vigueur de la loi du 24 juillet 2015, de plusieurs plans successifs de lutte contre le terrorisme ayant renforcé de manière sensible les ressources humaines de la plupart des services de renseignement, a, sans aucun doute, facilité l'absorption des nouvelles charges induites.
Certains services ont d'ailleurs profité de cette croissance d'effectifs pour renforcer, voire créer des services juridiques chargés de la gestion des techniques de renseignement. La DNRED a ainsi recruté un agent dédié à cette tâche tandis que la DGSI, plus consommatrice en techniques de renseignement, a renforcé sa structure d'appui et de contrôle des techniques de renseignementDe la même manière, compte tenu de l'éparpillement de ses structures sur le territoire national, le SCRT a créé une structure dédiée au niveau de son administration centrale, appelée le guichet unique, composée de 15 fonctionnaires et qui centralise toutes les demandes de techniques de renseignement formulées par les antennes territoriales.
Au-delà du volume, un effort important de sensibilisation, d'information et de formation des agents au nouveau cadre légal a également dû être conduit pour garantir une parfaite appropriation technique du nouveau cadre juridique. C'est ainsi que la DGSI a engagé la formation de plus de 2 500 agents, enquêteurs, opérateurs et responsables hiérarchiques confondus, sur des sessions d'une durée de 2 jours et demie. Le SCRT a, quant à lui, confié à son guichet unique la conduite d'actions de formation régulières auprès des agents territoriaux.
Ainsi que l'a souligné la DGSE, l'effort de formation n'a pas été seulement ponctuel ; il a également été nécessaire, pour les services, de pérenniser des dispositifs de formation de manière à former les personnels aux évolutions du cadre légal ainsi que les nouveaux arrivants.
Enfin, de manière complémentaire aux efforts conduits par chaque service en interne, le développement à compter de 2016, par le GIC, ***** a permis d'accompagner les services dans l'appréhension de ce nouveau cadre légal et de fluidifier les échanges entre les différents acteurs impliqués. C'est sur cette application que les demandes sont désormais saisies par les services et validées par les ministres de tutelle, que la CNCTR donne un avis et que le Premier ministre accorde ou non son autorisation. Cet outil permet en outre aux différents acteurs d'interagir, par exemple de solliciter, de la part des services, la fourniture d'éléments complémentaires à l'appui de leurs demandes.
Consultés par la délégation, les services de renseignement font état d'un processus désormais fluidifié et normalisé .
Certains directeurs de service entendus par la délégation n'excluent pas que la charge procédurale ait pu conduire des services opérationnels à faire des choix en opportunité et à renoncer, de manière ponctuelle, à la mise en oeuvre de techniques de renseignement . La délégation observe qu'ont notamment fait part de cette difficulté les services de taille plus réduite disposant des marges de manoeuvre les plus faibles sur le plan humain et de services juridiques moins étoffés.
La DGSE a également évoqué une forme de renoncement, mais d'une autre nature, lié moins à la lourdeur des procédures d'autorisation mises en place qu'à la complexité des différents outils et à la nécessité de combiner plusieurs techniques pour atteindre l'objectif recherché. A été donné l'exemple de cas dans lesquels des analystes ont pu renoncer à demander la mise en oeuvre d'une technique de renseignement, anticipant des difficultés d'exploitation en raison de leur volume ou du délai restreint de conservation.
Pour autant, il apparaît exclu, pour la grande majorité des acteurs interrogés par la délégation, que la charge procédurale induite par la loi de 2015 ait pu générer une forme d' « autocensure » généralisée et nuire à l'efficacité de la politique publique de renseignement. En témoigne d'ailleurs l'augmentation constante du nombre de demandes de techniques de renseignement depuis l'entrée en vigueur de la loi ( cf. infra ).
Sur le plan juridique, les services de renseignement paraissent également disposer d'une bonne maîtrise du cadre légal . Tous reconnaissent que l'instauration d'un dialogue permanent et constructif avec la CNCTR, lors de l'exercice de son contrôle a priori , a permis aux agents d'acquérir une meilleure compréhension des principes nouveaux définis par le législateur.
La baisse continue, depuis 2015, des avis défavorables de la CNCTR en est, pour partie, le reflet. Leur taux dans le total des demandes adressées par les services, hors demandes d'accès aux données de connexion, est ainsi passé de 6,9 % en 2016 à 1,4 % en 2019 .
Evolution du taux d'avis défavorables rendus par la CNCTR
2016 |
2017 |
2018 |
2019 |
|
Taux d'avis défavorables (hors accès en temps différé aux données de connexion) |
6,9 % |
3,6 % |
2,1 % |
1,4 % |
Taux d'avis défavorables (accès en temps différé aux données de connexion uniquement) |
0,14 % |
0,3 % |
0,3 % |
0,2 % |
Source : Délégation parlementaire au
renseignement
sur la base des données transmises par la
CNCTR.
Ces statistiques consolidées masquent, certes, des différences importantes entre services. Certains connaissent ainsi des taux très faibles, systématiquement inférieurs à 1 % (en 2018, 0,45 % pour la DGSI, 0,2 % pour le SCRT, 0,2 % pour la DRPP, 1,3 % pour la DNRED, 0 % pour la DRM), alors que la DGSE et la DRSD présentent des taux bien plus élevés, respectivement de 7 % et de 4,2 % au cours de la même année.
*****
b) Des souhaits d'assouplissement de la procédure d'autorisation, qui devront être mis en oeuvre dans le strict respect de la vie privée et du secret des correspondances
Ceci étant, plusieurs acteurs ont émis des souhaits de simplification de la procédure d'autorisation des techniques de renseignement.
La délégation n'exclut pas, par principe, ces évolutions et demeure ouverte aux modifications du cadre législatif de nature à alléger la charge des services de renseignement comme des autres acteurs impliqués dans la procédure, dès lors toutefois qu'elles ne conduisent pas à fragiliser l'équilibre atteint entre efficacité de l'action de renseignement et protection des droits constitutionnellement garantis.
A la lumière de ces éléments, plusieurs pistes lui paraissent mériter d'être étudiées.
Il en est tout d'abord ainsi de la proposition formulée par la CNCTR de simplifier la procédure d'autorisation de l'introduction dans un lieu d'habitation à des fins de retrait d'un dispositif de surveillance 29 ( * ) . En l'état du droit, les demandes d'introduction dans un lieu d'habitation, qu'elle qu'en soit l'objectif, sont examinées par la CNCTR en formation collégiale . Si cette procédure se justifie au moment de la pose d'un équipement de surveillance, au regard de l'atteinte portée à la vie privée, elle apparaît en revanche source de complexité lorsque la demande d'introduction dans un lieu d'habitation est formulée pour le retrait d'un dispositif et ne donne, dans les faits, jamais lieu à un avis défavorable. La CNCTR propose, en conséquence, de renvoyer à la procédure de droit commun, soit un de ses membres statuant seul, l'examen des demandes d'introduction dans un lieu d'habitation à des fins de retrait d'un dispositif de surveillance.
La délégation observe que cette analyse rejoint en partie une demande formulée par le service central du renseignement pénitentiaire (SCRP), qui regrette d'être contraint, en cas de problème de maintenance sur un équipement de surveillance placé dans une cellule de détenu, de devoir formuler systématiquement une nouvelle demande d'introduction dans un lieu d'habitation 30 ( * ) .
De l'avis de la délégation, l'allongement de la durée des autorisations de pénétration dans un lieu privé, et, a fortiori, dans un lieu d'habitation, serait incertain sur le plan constitutionnel au regard de la forte protection accordée par le Conseil constitutionnel au droit de propriété et au droit au respect de la vie privée.
En revanche, suivant le même raisonnement que la CNCTR, elle estime possible d'alléger la procédure d'examen des demandes d'introduction dans un lieu d'habitation formulées à des fins de maintenance, en supprimant l'obligation d'avis en formation collégiale . Bien qu'elle ne soulagerait pas les services de la nécessité de formuler une nouvelle demande, une telle évolution législative permettrait, a minima , de raccourcir les temps de procédure, l'avis de la CNCTR étant alors rendu en 24 heures, contre 72 heures dans le cadre d'une procédure d'avis rendu en formation collégiale.
Recommandation n° 1 : Modifier l'article L. 853-3 du code de la sécurité intérieure afin de renvoyer à la procédure d'avis de droit commun l'examen, par la CNCTR, des demandes de renouvellement des autorisations d'introduction dans un lieu d'habitation à des fins de maintenance ou de retrait de dispositifs techniques de surveillance.
Sans remettre en cause la gradation des techniques de renseignement mise en place par le législateur en 2015, la délégation considère par ailleurs envisageable d'allonger la durée d'autorisation de certaines techniques de renseignement .
Pourrait notamment être concernée la technique de recueil de données de connexion par un dispositif de proximité de type IMSI-catcher , dont la durée, actuellement limitée à 2 mois, pourrait être portée à 4 mois, soit la durée de droit commun. L'atteinte portée à la vie privée et au secret des correspondances par cette technique, qui ne permet pas d'accéder au contenu des correspondances, mais uniquement aux données de connexion, n'est en effet pas plus forte que dans le cadre d'une pose de balise ou d'une géolocalisation en temps réel, dont les durées maximales d'autorisation sont de 4 mois.
De la même manière, la délégation considère possible d'envisager, comme le souhaitent notamment la DRM et la DGSE, un allongement de la durée d'autorisation d'exploitation des données collectées dans le cadre d'une surveillance internationale , qui fait déjà l'objet de garanties plus lâches au regard de la nature des données concernées. Actuellement fixée à 4 mois, elle pourrait par exemple être élevée à 6 mois, ce qui ne nécessiterait qu'un renouvellement par an, contre deux aujourd'hui.
S'agissant en revanche de la nouvelle autorisation d'exploitation des données de surveillance internationale à des fins de surveillance d'une personne située sur le territoire national 31 ( * ) , la délégation juge nécessaire de maintenir la durée maximale d'autorisation à 4 mois, afin d'éviter toute distorsion avec les garanties entourant les autres techniques de renseignement soumises à autorisation sur le territoire national.
Recommandation n° 2 : Allonger :
- à 4 mois la durée maximale d'autorisation de la technique de recueil de données de connexion par un dispositif de proximité prévue par l'article L. 851-6 du code de la sécurité intérieure ;
- à 6 mois la durée maximale d'autorisation d'exploitation des données recueillies dans le cadre d'une surveillance internationale, à l'exception des autorisations d'exploitation données à des fins de surveillance d'une personne située sur le territoire national.
Au regard des arguments formulés précédemment, la délégation demeure en revanche circonspecte sur la proposition de simplification de la procédure d'autorisation des demandes d'accès en temps différé à certaines données de connexion 32 ( * ) formulée par la CNCTR.
Compte tenu de la faible atteinte à la vie privée de ce type de techniques, la CNCTR estime n'avoir que peu de valeur ajoutée dans la conduite de son contrôle, qui se limite, pour l'essentiel, à un contrôle de l'erreur manifeste d'appréciation. Elle suggère, en conséquence, que la responsabilité du contrôle a priori soit confiée au GIC, déjà chargé, de manière centralisée, du recueil des données de connexion auprès des opérateurs, à l'exception des demandes portant sur des personnes bénéficiant par la loi, en raison de leur profession ou du mandat qu'elles exercent, d'une protection particulière (journalistes, avocats, magistrats, parlementaires).
Au regard du volume de dossiers concernés, qui représentent, depuis cinq ans, plus de la moitié du total de demandes traitées par la CNCTR, cette évolution serait, certes, de nature à alléger la charge de la commission et à libérer des ressources pour le renforcement d'autres formes de contrôles. Force est néanmoins de constater d'une part, qu'elle n'aurait que peu d'impact pour les services de renseignement eux-mêmes, qui continueraient de formuler leur demande, d'autre part, qu'elle induirait un transfert de charge vers le GIC, déjà soumis à des tensions importantes en termes de personnels ( cf. infra ).
Sur le fond, la délégation s'interroge au demeurant sur la sécurité juridique, du point de vue constitutionnel, de cette évolution, qui conduirait à confier à une même entité, le GIC, à la fois un rôle de contrôleur et un rôle d'opérateur.
2. Une montée en puissance du GIC qui mérite d'être poursuivie
Au regard de sa position centrale dans le processus de mise en oeuvre des techniques de renseignement ( cf. partie I), le GIC a, à l'instar des services de renseignement, connu une profonde refonte de son organisation de travail à compter de 2015 et changé de dimension, passant, selon les propos de son directeur, d'une simple « officine de mise en oeuvre des écoutes » à l'instrument principal du Premier ministre pour assurer la gestion, la mise en oeuvre et la traçabilité de techniques de renseignement intrusives.
L'enjeu, pour cette structure, était double : d'une part, assurer la centralisation des demandes de techniques issues d'un nombre élargi de services de renseignement ; d'autre part, en tant qu'opérateur, faire face à l'augmentation massive du nombre de techniques à mettre en oeuvre pour le compte des services et, partant, du volume de données collectées.
a) Un service profondément réorganisé, mais encore sous-doté en effectifs
Pour accompagner la mise en oeuvre du cadre légal, le GIC a été profondément restructuré depuis 2015.
Erigé au statut de service à compétence nationale fin 2016 33 ( * ) , il s'est réorganisé pour absorber pleinement ses nouvelles missions. Il est désormais composé de trois départements, respectivement chargés de la technique, des activités opérationnelles, c'est-à-dire du traitement des flux de demandes adressées par les services, et du fonctionnement.
Déjà sous-doté pour assurer ses missions historiques, il a parallèlement bénéficié, dès 2015, d'un schéma d'emploi ambitieux .
D'un effectif de départ de 132 ETP en 2015, la cible à horizon cinq ans a été fixée, en 2015, à 223 ETP, avant d'être revue à la hausse de 20 ETP dès 2016 compte tenu de l'augmentation considérable du recours aux techniques de renseignement par les services dès l'entrée en vigueur de la loi.
Le GIC a, de fait, connu une augmentation sensible de ses effectifs , qui ont atteint, en juin 2020, 229 personnels.
Cette évolution numéraire s'est accompagnée d'une montée en gamme des personnels recrutés, rendue nécessaire par le besoin d'automatiser les processus et de déployer de nouvelles structures informatiques pour absorber les flux croissants de techniques. Précédemment composé de personnels relevant majoritairement des catégories B et C de la fonction publique au regard de ses missions d'exécution, le GIC a ainsi réorienté sa structure d'emploi vers des profils techniques plus qualifiés relevant de la catégorie A (informaticiens, experts réseaux, ingénieurs, chefs de projets).
Bien qu'il soit parvenu à changer d'échelle en seulement quelques années, le service est confronté, depuis deux ans, à des difficultés de recrutement, en particulier dans les secteurs des finances, des achats et de la logistique, qui se traduisent par un écart croissant entre les effectifs prévisionnels et les effectifs réalisés et on conduit à reporter à 2021 le schéma d'emploi initialement prévu pour 2020.
Schéma d'emploi et effectifs réels du GIC depuis 2015 (en ETP)
2015 |
2016 |
2017 |
2018 |
2019 |
2020
|
|
Effectifs prévisionnels |
132 |
160 |
200,6 |
215,6 |
230,6 |
243,6 |
Effectifs réalisés (au 31 décembre) |
132 |
151 |
201 |
194 |
218 |
229 |
Le présent rapport n'a pas pour ambition de formuler des recommandations pour faire face à ces difficultés, qui ont déjà fait l'objet, l'an passé, de développements détaillés par la délégation.
Il n'en demeure pas moins que la croissance continue des demandes de techniques de renseignement ainsi que les besoins nouveaux qui pourraient découler tant des évolutions envisagées de la loi de 2015 que des évolutions techniques susceptibles d'être rendues nécessaires, par exemple par l'entrée en vigueur de la 5G, l'incitent à rappeler ses inquiétudes quant aux difficultés de recrutement et à la sous-dotation en personnels de cette structure et à réitérer, en conséquence, ses recommandations.
b) Des capacités techniques freinées par des difficultés d'hébergement
Parallèlement à l'augmentation de ses effectifs, l'évolution du rôle du GIC dans l'environnement du renseignement a nécessité d'importants investissements dans le but de déployer de nouvelles infrastructures techniques , rendues nécessaires non seulement par les nouvelles exigences légales introduites par la loi de 2015, mais également par l'augmentation du flux de techniques à mettre en oeuvre et, de manière incidente, à l'augmentation du volume de données stockées.
Outre la dématérialisation du circuit d'instruction des demandes de technique de renseignement précédemment évoqué, le GIC a engagé, dès 2016, d'importants programmes de développements techniques , afin de faciliter la collecte et la centralisation du renseignement, pour les techniques qu'il est chargé de mettre en oeuvre de même que pour certaines des techniques déployées directement par les services ( cf. infra ).
Parallèlement, dans le cadre de son activité historique de recueil de données de connexion et d'interceptions de sécurité, le groupement est confronté à une nécessité de moderniser et d'adapter en permanence ses dispositifs d'accès aux communications à l'évolution des normes techniques.
Enfin, pour faire face à l'augmentation exponentielle du volume de données qu'il est amené à stocké, ses capacités techniques, initialement situées sur son site parisien, ont dû être étendues à un second site, situé en province.
Cette extension immobilière demeure toutefois, pour l'heure, très insuffisante. Au-delà de la capacité d'accueil des nouvelles recrues, elle fragilise également les infrastructures de stockage et de traitement, le manque de place conduisant les équipes informatiques du groupement à des pratiques de développement non conformes aux règles de l'art.
Il a été indiqué à la délégation que cette situation était en phase d'être résolue . Il a en effet été procédé, à la fin de l'année 2018, à l'acquisition d'un nouveau bâtiment. D'importants travaux de rénovation étant programmés, notamment en vue d'accueillir un nouveau centre de données, il ne pourra toutefois être ouvert qu'en 2021, ce qui, d'ici là, risque de contraindre les conditions de travail du GIC.
3. L'enjeu de la centralisation et de la traçabilité des données collectées : des efforts à poursuivre en dépit des progrès accomplis
Au-delà de l'appréhension du nouveau cadre légal, l'entrée en vigueur de la loi du 24 juillet 2015 a posé un défi technique majeur à la communauté du renseignement : celui de la centralisation des données collectées et de la traçabilité des opérations d'exploitation, qui, comme évoqué précédemment, constituent une garantie majeure imposée par le législateur pour assurer un contrôle effectif du respect du cadre légal par la CNCTR.
a) Des progrès accomplis en matière de centralisation des données collectées
La CNCTR a, à plusieurs reprises, rappelé les conditions d'une centralisation réussie et, ce faisant, de la conduite, par ses membres, d'un contrôle effectif de la mise en oeuvre des techniques de renseignement :
• l'existence de systèmes d'information et de réseaux de communication solides et sécurisés ;
• le développement d'outils de consultation et d'exploitation à distance des données collectées, pour éviter que la centralisation ne soit qu'un leurre et que ne soient conservées parallèlement, de manière décentralisée, des copies des données ;
• la limitation et le regroupement des lieux de stockage.
Pour satisfaire ces exigences, deux modèles distincts ont été suivis.
A l'instar de ce qui se faisait jusqu'alors, le GIC a, assez logiquement, conservé la mission de centraliser la conservation et l'exploitation des données qu'il est amené lui-même à collecter dans le cadre des techniques de renseignement dont il assure la mise en oeuvre pour le compte des services, à savoir les accès aux données de connexion, les interceptions de sécurité et la géolocalisation en temps réel.
Pour faciliter l'exploitation au plus près du terrain, y compris par les antennes territoriales des services de renseignement, le GIC a accompagné le mouvement de centralisation du déploiement de nouveaux centres d'exploitation sur le territoire national. 7 nouveaux sites ont été ouverts depuis 2016, qui se sont ajoutés aux 28 sites qui préexistaient à l'adoption de la loi de 2015.
La centralisation des données collectées de manière décentralisée, dans le cadre de techniques dites de proximité , constitue un enjeu technique plus important au regard de l'éparpillement des structures de collecte.
En l'espèce, il a été acté, dès l'entrée en vigueur de la loi, que la DGSI et la DGSE, au regard tant de leurs capacités techniques que des volumes de données collectées, déploieraient et assureraient la gestion de leurs propres dispositifs de centralisation pour les techniques de balisage, de captations de paroles et d'images ainsi que de recueil et de captation de données informatiques. La CNCTR fait le constat que d'importants efforts ont été conduits par ces deux services pour se conformer à ses exigences. Des progrès demeurent toutefois encore à accomplir, en particulier par la DGSE, pour assurer la centralisation au niveau de son administration centrale des renseignements collectés par le biais de techniques de proximité.
S'agissant des autres services spécialisés du renseignement et des services du second cercle, le GIC s'est engagé à leur apporter son assistance dans la construction des dispositifs de centralisation.
D'ores et déjà, d'importants chantiers ont pu être engagés, et, pour certains, achevés. Depuis janvier 2017, un système centralisé de conservation centralisée des données collectées dans le cadre de la technique de balisage , associé à une plateforme de consultation à distance, est ainsi opérationnel et pleinement utilisé par l'ensemble des services de renseignement, hors DGSE et DGSI.
Le GIC a également initié, en 2017, le développement d'un dispositif technique destiné à centraliser , au sein de son propre système d'information, les paroles et les images captées sur le fondement de l'article L. 853-1 du code de la sécurité intérieure, qui pourront être exploitées par les agents de renseignement au sein des centres territoriaux du GIC voire, à terme, à distance depuis leurs propres locaux. Ce dispositif est aujourd'hui déployé à la DNRED, au SCRT, à la sous-direction de l'anticipation opérationnelle de la gendarmerie, à la DRPP, au SNRP ainsi qu'à la direction centrale de la police judiciaire. Selon les informations communiquées à la délégation, l'automatisation du transfert des données collectées en vue de leur centralisation dans les systèmes d'information du GIC demeure encore partielle : seules les paroles et images recueillies sur des systèmes compatibles avec les plateformes du GIC sont téléchargées « en ligne », les autres l'étant, manuellement, par les services.
Parallèlement à ces actions, ceux des services de renseignement qui n'ont pas souhaité ou n'ont pas pu reposer sur les dispositifs déployés par le GIC se sont attelés au développement d'applications informatiques unifiées et sécurisées afin de permettre une conservation et une exploitation centralisée, au niveau de leurs administrations centrales, des données collectées dans le cadre de techniques de renseignement.
En dehors de la DGSE et de la DGSI, qui ont déployé leurs propres systèmes de centralisation, cela concerne principalement la DRM qui, afin de se conformer aux nouvelles règles de contrôle, a adapté et rapatrié dans des entrepôts les données interceptées qui étaient préalablement conservées de manière décentralisée, au sein de tous les postes.
En dépit de ces avancées majeures, des progrès sont encore à accomplir pour parfaire les dispositifs de centralisation . Plusieurs techniques, en particulier le recueil de données de connexion par IMSI catcher 34 ( * ) ainsi que le recueil et la captation de données informatiques 35 ( * ) , se caractérisent encore en effet par une collecte et une conservation disparate . A cet égard, la CNCTR relève que certains services continuent, faute de réseau informatique suffisamment sécurisé capable d'acheminer des données sensibles, à conserver les données collectées de manière décentralisée, au sein de leurs antennes territoriales.
L'achèvement de ce processus de centralisation ne pourra, compte tenu de l'ampleur des investissements techniques à conduire et des contraintes d'hébergement physiques rencontrées actuellement par le GIC, que s'inscrire dans la durée .
Il a d'ores et déjà été indiqué à la délégation que le dispositif de centralisation mis en place pour la centralisation des paroles et des images pourrait être utilisé, à terme, pour centraliser les données informatiques captées ou recueillies conformément à l'article L. 853-2 du code de la sécurité intérieure. Le besoin opérationnel demeure toutefois peu établi, dès lors que ces techniques sont pour l'heure principalement utilisées par la DGSI et la DGSE, qui disposent de leurs propres dispositifs de centralisation.
Dans la continuité de ce qui a été opéré jusqu'à présent, elle invite les services, en collaboration avec le GIC, à engager une réflexion sur une possible prise en compte, dans ce même dispositif, des données de connexion recueillies via des dispositifs de proximité de type IMSI-catcher , bien que le recours à cette technique demeure, en volume, plus résiduel.
b) Une traçabilité de l'exploitation des données encore perfectible
L'article L. 822-1 du code de la sécurité intérieure impose aux services de renseignement d'établir un « relevé de chaque mise en oeuvre d'une technique de recueil de renseignement », mentionnant « les dates de début et de fin de cette mise en oeuvre ainsi que la nature des renseignements collectés ».
La CNCTR a eu l'occasion de faire état, dans le cadre de ses derniers rapports d'activité, des progrès accomplis, bien que de manière encore hétérogène, par les services de renseignement, dans la rédaction de ces relevés, communément appelés « fiches de suivi et de traçabilité ».
La principale marge de progression paraît aujourd'hui résider dans le développement encore très inégal, selon les services, de dispositifs de traçabilité des consultations, des transcriptions et des extractions des données , qui pèse, indéniablement, sur la capacité de la CNCTR à conduire un contrôle complet et efficace. Comme elle le relevait dans son rapport d'activité pour l'année 2018, « le contrôle de l'existence même des transcriptions et extractions et, partant, celui de leur bien-fondé et de leurs conformité aux finalités légales peuvent s'en trouver fragilisés ».
Avant même d'affecter le contrôle de légalité externe, l'absence de traçabilité complète du processus de traitement du renseignement technique soulève des questions sérieuses quant à la capacité des services à exercer un contrôle interne pertinent sur la mise en oeuvre des techniques de renseignement. Déjà en 2015 36 ( * ) , la délégation rappelait la nécessité, pour les services de renseignement du premier comme du second cercle, d'organiser des mécanismes de contrôle interne renforcés, à toutes les étapes de la collecte de renseignement et de leur transmission, observant à cet égard : « les nouvelles techniques sont mises en oeuvre à partir de l'enquêteur, qui collecte les données et les exploite lui-même, directement. Ce n'est donc que dans un second temps qu'il les transmet à l'organe de contrôle. Se pose donc la question nouvelle de la non-altération du renseignement transféré aux organismes de contrôle ».
A la lumière des témoignages recueillis par la délégation, il semblerait que les difficultés dont a fait état la CNCTR ne soient pas uniquement liées aux difficultés des services de taille plus modeste à achever, faute de ressources humaines, financières et techniques suffisantes, la mise en oeuvre de ces dispositifs, mais également, dans certains cas, à des carences de certains services dans l'organisation de cette traçabilité et dans la production des « fiches de traçabilité ».
La délégation regrette, en dépit de ses sollicitations, n'avoir pu obtenir d'informations plus précises sur les insuffisances effectivement observées de même que sur les services concernés .
Faute de pouvoir formuler, en conséquence, de recommandation précise, elle estime nécessaire que le Premier ministre, auquel la loi confie la responsabilité d'assurer la traçabilité des techniques de renseignement, diligente une mission de l'inspection des services de renseignement pour dresser un état des lieux de la mise en oeuvre, par les services de renseignement, de cette exigence légale essentielle à l'exercice d'un contrôle adéquat, et, plus globalement, des dispositifs de contrôle interne instaurés pour sécuriser les procédures de demande et de traitement des techniques de renseignement.
Elle demande à ce que les résultats de cette inspection puissent lui être communiqués.
Recommandation n° 3 : Confier à l'inspection des services de renseignement une mission de contrôle de la mise en oeuvre, par les services du premier cercle ainsi que les services listés par décret en application de l'article L. 811-4 du code de la sécurité intérieure, de l'exigence de traçabilité définie par le législateur et, plus globalement, des dispositifs de contrôle interne instaurés pour sécuriser les procédures de demande et de traitement des techniques de renseignement.
Communiquer à la délégation parlementaire au renseignement les résultats de cette inspection.
Pour les services les plus petits, en particulier ceux relevant du second cercle, pour lesquels l'investissement dans un système de traçabilité peut se révéler complexe, il conviendrait de favoriser autant que possible les mutualisations et partages d'expérience avec les services ayant déjà procédé au développement de dispositifs renforcés de traçabilité .
La délégation a noté, à cet égard, que la DGSI avait développé et mis en production, dès la fin de l'année 2015, son propre outil interne de traitement des techniques de renseignement, qui permet de suivre son évolution du stade de la demande initiale formulée par l'enquêteur jusqu'à l'exploitation des données collectées. Ainsi qu'elle l'a indiqué à la délégation, la DGSI est aujourd'hui en capacité de procéder à l'industrialisation de ce dispositif et pourrait, le cas échéant, le déployer au sein d'autres services.
Recommandation n° 4 : Favoriser les mutualisations et les partages d'expérience sur la mise en oeuvre de dispositifs de traçabilité. Etudier la possibilité de déployer le dispositif informatique de traitement des techniques de renseignement de la DGSI au sein des services du second cercle.
* 29 En vertu de l'article L. 853-3 du code de la sécurité intérieure, ne peuvent donner lieu à une introduction dans un lieu privé que les techniques de balisage, de captation de paroles prononcées à titre privé, de captation d'images dans un lieu privé ou de recueil et de captation de données informatiques.
* 30 En droit, la durée de l'autorisation d'introduction dans un lieu privé pour placer un dispositif de surveillance est limitée à 30 jours, alors que celle des techniques de renseignement qu'elle accompagne atteint deux mois.
* 31 Introduite par la loi de programmation militaire pour les années 2019 à 2025, cette autorisation d'exploitation est prévue par le V de l'article L. 854-2 du code de la sécurité intérieure.
* 32 Données d'identification des numéros d'abonnement ou de connexion à un service de communications électroniques, ainsi qu'aux données de recensement de l'ensemble des numéros d'identification ou d'abonnement d'une personne.
* 33 Décret n° 2016-1772 du 20 décembre 2016.
* 34 Art. L. 851-6 du code de la sécurité intérieure.
* 35 Art. L. 853-2 du code de la sécurité intérieure.
* 36 Rapport n° 423 (Sénat, 2015-2016) et n° 3524 (Assemblée nationale, XIV e législature), fait par M. Jean-Pierre Raffarin au nom de la délégation parlementaire au renseignement.