III. UN CONTRÔLE SUR L'ACTIVITÉ DES SERVICES FORTEMENT RENFORCÉ, AU BÉNÉFICE DE LA PROTECTION DES DROITS DES CITOYENS
A. LA CNCTR A SU MONTER EN PUISSANCE POUR ASSUMER PLEINEMENT SA FONCTION DE CONTRÔLE, QUI DEMEURE TOUTEFOIS IMPARFAITE
Pilier de la réforme de 2015, le renforcement du contrôle de l'usage des techniques de renseignement, tant a priori qu' a posteriori, a trouvé une traduction pratique assez rapide, grâce à la montée en puissance de la CNCTR.
Cinq ans après son installation, force est toutefois de constater que le champ du contrôle exercé par cette autorité indépendante demeure limité et ne permet de s'assurer qu'imparfaitement de l'effectivité du cadre prévu par le législateur.
1. La mise en place de la CNCTR : une montée en charge progressive
La CNCTR a été mise en place à compter du 1 er octobre 2015, date de nomination de ses membres 63 ( * ) , et s'est substituée à la CNCIS, qui assurait, depuis 1991, le contrôle de la mise en oeuvre des interceptions de sécurité, et, par la suite, des autres techniques de renseignement autorisées par le législateur.
Au cours des premiers mois qui ont suivi sa création, la CNCTR a dû s'appuyer sur les seuls moyens dont disposaient la CNCIS, qui étaient, par nature, insuffisants au regard de l'élargissement important du champ des missions de l'autorité nouvellement créée.
Dans cette phase de transition, elle a donc concentré son activité sur la mise en oeuvre du dispositif de contrôle a priori ( cf. infra ), qui était prioritaire au regard de la nécessité, pour elle, d'être rapidement en mesure de faire face aux demandes adressées par les services, dans les délais fixés par le législateur.
La CNCTR a, par la suite, bénéficié rapidement de renforts en effectifs, qui lui ont permis de monter en puissance sur sa mission de contrôle a posteriori , au fur et à mesure des recrutements.
Outre les trois membres du collège exerçant leurs fonctions à temps plein, elle s'appuie sur une équipe composée de 17 personnes, chargés de mission, juristes et informaticiens . 11 d'entre elles sont plus particulièrement chargés d'instruire les demandes adressées par les services dans le cadre du contrôle a priori et d'assurer l'organisation et la conduite des contrôles a posteriori .
En l'état de ses missions, la CNCTR estime ces moyens suffisants.
2. Un contrôle a priori fonctionnel
a) Le contrôle a priori, un contrôle de légalité des techniques de renseignement sollicitées
Dans l'exercice de son contrôle a priori , la CNCTR examine les demandes de techniques de renseignement qui lui sont transmises sous trois angles.
Elle s'assure, en premier lieu, de la légalité formelle de la demande. A ce titre, il est notamment vérifié que le service demandeur est bien compétent pour recourir à la technique sollicitée et que la demande comporte bien l'ensemble des éléments formels exigés par la loi : motifs de la demande, personnes, lieux ou véhicules visés, etc .
En second lieu, la CNCTR examine le bien-fondé de la demande . Il s'agit notamment, pour elle, de vérifier que sont apportés suffisamment d'éléments permettant d'établir une menace potentielle pour les intérêts fondamentaux de la Nation, justifiant qu'il soit recouru à une technique de renseignement.
Enfin, en troisième et dernier lieu, le contrôle a priori comporte un contrôle de proportionnalité . Autrement dit, la CNCTR s'assure que l'atteinte à la vie privée et, le cas échéant, au secret des correspondances, engendrée par la technique demandée est proportionnée à la menace décrite, aux enjeux concernés et aux informations recherchées. Pour les techniques les plus intrusives, elle vérifie également le respect du principe de subsidiarité posé par le législateur, c'est-à-dire qu'elle contrôle qu'aucun autre moyen moins intrusif ne permettrait de recueillir les informations recherchées.
b) Une action de contrôle pleinement respectée, qui se nourrit des échanges avec les services
Cinq ans après l'entrée en vigueur de la loi, le rôle de « filtre » confié à la CNCTR apparaît pleinement assumé et respecté, tant par les autorités publiques que par les services utilisateurs de techniques de renseignement.
Depuis 2015, le Premier ministre n'est ainsi jamais passé outre les avis défavorables rendus par la commission . Dans certains cas, il s'est même opposé à la mise en oeuvre d'une technique de renseignement, en dépit d'un avis favorable de la commission.
La CNCTR a su, par ailleurs, inscrire l'exercice de son contrôle dans un rapport de confiance et un dialogue nourri avec les services de renseignement demandeurs. Il est ainsi régulier, pour la CNCTR, de solliciter des informations complémentaires à l'appui d'une demande, lorsqu'elle estime ne pas disposer des éléments suffisants.
Ces échanges se révèlent fructueux à deux niveaux. Comme indiqué précédemment, ils ont tout d'abord permis aux services de renseignement de s'adapter progressivement aux exigences de la commission et de perfectionner la formulation et la motivation de leurs demandes. Il a déjà été rappelé, à cet égard, la diminution importante du taux d'avis défavorables rendus par la CNCTR.
A l'inverse, il apparaît que ce dialogue nourri a également permis à la CNCTR de mieux comprendre les besoins des services, voire, dans certains cas, d'adapter sa doctrine à leurs exigences opérationnelles .
Tel a par exemple été le cas de l'appréciation de la finalité portant sur la préservation et la promotion des intérêts économiques, industriels et scientifiques majeures de la Nation. En 2017, la délégation s'était étonnée de l'approche adoptée par la commission pour apprécier le bien-fondé des demandes qui lui étaient adressées sur cette finalité. Elle avait en particulier regretté que « la CNCTR fonde son appréciation non pas sur ce que l'État aurait défini, notamment dans le cadre de la liste des entités économiques à protéger en priorité, comme présentant un intérêt majeur, mais sur une appréciation “ propre ” de ce qu'elle estime comme tel » 64 ( * ) .
Il semble que la CNCTR, tenant compte des orientations politiques souhaitées par le Gouvernement en matière de protection des intérêts économiques de la France, ait fait évoluer sa doctrine, ce dont la délégation se félicite. En témoigne la réduction du taux de refus pour cette finalité passé, selon les données communiquées par la CNRLT, de plus de 13 % en 2017 à environ 8 % en 2018 65 ( * ) , alors même que le nombre de techniques sollicitées pour la finalité économique a augmenté sur la même période *****.
La CNCTR a également indiqué à la délégation avoir développé une interprétation souple pour la technique de balisage. Elle admet ainsi, pour certaines finalités, la pose d'une balise visant à la fois une personne dont l'identité n'est pas connue et un véhicule non identifié.
Enfin, il est apparu à la délégation que l'efficacité du contrôle a priori était largement reconnue par la communauté du renseignement . Grâce à l'organisation d'un système de permanences, la CNCTR ne s'est, ainsi, jamais trouvée dans la situation où son avis a été réputé rendu faute d'avoir été émis dans le délai légal. Elle semble également faire preuve d'une grande réactivité dans le rendu de ses avis, allant au-delà des contraintes de délais fixés dans la loi. Ainsi, elle a instauré avec les services de renseignement une procédure informelle permettant, en cas de demandes signalées comme prioritaires et spécialement motivées à cet effet, de rendre des avis en moins d'une heure.
Dans les faits d'ailleurs, la procédure d'urgence absolue prévue par l'article L. 821-5 du code de la sécurité intérieure, qui permet au Premier ministre, dans une situation d'urgence, d'autoriser la mise en oeuvre d'une technique sans requérir l'avis préalable de la CNCTR, n'a été mise en oeuvre qu'une fois, en décembre 2015, à l'occasion d'une suspicion d'attentat terroriste au cours de la nuit de Noël. Aucun service n'estime par ailleurs souhaitable de restaurer la procédure d'urgence opérationnelle, censurée par le Conseil constitutionnel (voir I), au regard de la fluidité des échanges avec la commission.
3. Un contrôle a posteriori en cours de consolidation
a) Une mission à inventer, qui, au regard des investissements nécessaires, a connu une montée en charge progressive
Rôle déjà assumé par l'ancienne CNCIS, le contrôle a posteriori a, après la loi du 24 juillet 2015, changé de dimension au regard tant du volume de techniques que du nombre de services concernés. La CNCTR a donc dû, rapidement après l'entrée en vigueur de la loi, s'organiser et se forger une doctrine pour exercer du mieux possible cette mission.
Selon les informations communiquées à la délégation, la commission conduit ses contrôles selon deux méthodes différentes, en fonction de la nature des techniques concernées.
Lorsque les données sont collectées et centralisées par le GIC, à savoir l'accès aux données de connexion en temps différé, la géolocalisation en temps réel, le balisage et les interceptions de sécurité réalisées auprès des opérateurs, la CNCTR exerce un contrôle quotidien, à distance , depuis ses propres locaux, via les applications informatiques sécurisées mises en place par le GIC.
Parallèlement, elle réalise des contrôles sur pièces et sur place au sein de l'ensemble des services de renseignement ainsi qu'au sein des centres territoriaux du GIC . L'organisation de ces contrôles a connu une montée en charge progressive depuis l'entrée en vigueur de la loi, au gré de l'augmentation de ses effectifs. Ainsi, alors que 60 déplacements avaient pu être organisés en 2016, le renforcement du secrétariat général à compter de 2017 a permis de réaliser 130 déplacements en 2017, 120 en 2018 et 105 en 2019.
La fréquence des contrôles réalisés varie selon les services. Elle dépend, en pratique, de l'importance et de la sensibilité des dossiers traités par le service, ainsi que du nombre et de la nature des techniques mises en oeuvre. C'est ainsi que la DGSE et la DGSI, qui sont les principaux consommateurs de techniques de renseignement, font l'objet d'au moins un à deux contrôles sur pièces et sur place par mois. 33 contrôles ont par exemple été menés en 2019 au sein de la DGSE.
A l'inverse, les services qui y recourent de manière ponctuelle ne font l'objet que de quelques contrôles par an. A titre d'exemple :
- un contrôle par mois est effectué au sein des locaux de la DNRED ;
- 9 contrôles par an ont été conduits, en 2018 et en 2019, au sein de la DRSD ;
- le SCRT est en moyenne contrôlé 7 fois par an en centrale, en complément d'autres contrôles organisés de manière plus aléatoires dans les antennes territoriales ;
- 9 contrôles ont été conduits depuis septembre 2018 au sein de la DRPP.
Compte tenu de l'impossibilité évidente de contrôler l'intégralité des techniques mises en oeuvre, des données collectées et des extractions et transcriptions réalisées, la CNCTR fonctionne principalement par ciblage . La plupart de ses contrôles sont réalisés sur des dossiers identifiés dès le stade du contrôle a priori , par exemple en raison du caractère particulièrement intrusif d'une technique demandée. S'agissant du contrôle des techniques de surveillance internationale, elle fonctionne en revanche selon une méthode d'échantillonnage.
La centralisation toujours plus approfondie des données collectées, si elle permet de faciliter les contrôles, n'a pas vocation à se substituer aux contrôles sur pièces et sur place qui, de l'avis de la CNCTR, offrent le plus d'enseignements sur la manière dont le cadre légal est mis en oeuvre et lui permettent, par ailleurs, de diffuser sa doctrine au sein des services et de répondre aux interrogations des agents de terrain. A cet égard, la CNCTR affirme ne pas s'inscrire dans une logique de contrôles-sanctions, mais bien d'interaction permanente avec les services en vue d'améliorer l'appréhension du cadre légal par l'ensemble des acteurs. Comme elle le relève dans son rapport d'activité pour l'année 2017, « la réussite d'un contrôle dépend de la coopération constructive entre le service concerné et la commission ». Cet état d'esprit explique d'ailleurs pourquoi la CNCTR n'a jamais, pour l'heure, recouru à la possibilité d'effectuer des contrôles inopinés, comme le prévoit la loi.
Entendu par la délégation, le président de la commission fait état d'une parfaite collaboration des services de renseignement à l'occasion des contrôles . Afin de fluidifier les échanges, la plupart d'entre eux ont identifié des interlocuteurs privilégiés de la commission, chargés de préparer l'organisation des contrôles. La délégation se félicite, en particulier, que la CNCTR ne rencontre aucune difficulté dans l'accès aux données brutes collectées comme aux extractions et transcriptions réalisées par les services.
Au-delà de ces aspects méthodologiques, la CNCTR indique avoir progressivement approfondi son contrôle depuis l'entrée en vigueur de la loi du 24 juillet 2015. Alors qu'elle s'était principalement consacrée, jusqu'en 2017, sur le contrôle des modalités de recueil et de conservation des données collectées, elle a, à compter de 2018, également fait porter son attention sur les phases d'exploitation et de transcription. La tâche de la commission consiste, en ce domaine, à s'assurer que les extractions et transcriptions réalisées par les services de renseignement ne sont pas utilisées pour d'autres finalités que celles prévues par l'autorisation concernée 66 ( * ) .
b) Des irrégularités très rarement constatées, qui n'ont donné lieu qu'à des recommandations peu nombreuses
Depuis l'entrée en vigueur de la loi, peu d'irrégularités ont été mises à jour par la CNCTR à l'occasion des contrôles qu'elle a pu mener, soit sur les infrastructures du GIC, soit au sein des services de renseignement.
Entendu par la délégation, son président n'a ainsi fait état de la découverte que de trois irrégularités sérieuses .
La première, dont la CNCTR a fait état dans son rapport d'activité pour l'année 2018, a été découverte à l'occasion d'un contrôle sur pièces et sur place. Elle se traduisait par la surveillance d'une personne qui n'était pas visée dans l'autorisation initiale du Premier ministre. Bien que la technique ait déjà pris fin lors du contrôle ayant permis de révéler l'irrégularité, les données collectées étaient conservées par le service, conduisant la CNCTR à faire usage de son pouvoir de recommandation en vue de la destruction des renseignements collectés illégalement.
La délégation a été informée par la CNCTR de deux nouvelles irrégularités significatives en 2019, pour lesquelles elle n'a pu obtenir d'informations complémentaires.
À l'exception de ces trois cas, des anomalies de plus faibles gravité ont été détectées . Celles-ci ont pu porter sur une conservation des données brutes collectées au-delà de la durée légale, ou encore sur la poursuite d'une technique de renseignement alors que des poursuites judiciaires avaient été engagées à l'encontre de la même personne. Selon les informations communiquées par la CNCTR à la délégation, ces anomalies ont toutefois donné lieu à une régularisation immédiate par les services de renseignement concernés et n'ont dès lors pas rendu nécessaire pour la CNCTR de faire usage de son pouvoir de recommandation au Premier ministre.
c) Un contrôle par nature limité
Pour lui permettre d'exercer pleinement son contrôle, le législateur a prévu que la CNCTR puisse bénéficier d'un accès permanent, complet et direct aux renseignements recueillis ainsi qu'aux extractions et transcriptions réalisées à partir de ces renseignements 68 ( * ) .
Bien que d'importants progrès aient été conduits en matière de centralisation et de traçabilité pour faciliter cet accès (voir partie II, I), la CNCTR ne dispose, à l'heure actuelle, d' aucun accès aux fichiers de souveraineté des services de renseignement, ces derniers s'y étant jusqu'à présent opposés.
Entendue par la délégation, la CNCTR y voit une limite à l'exercice de son contrôle . En effet, dès lors que ces fichiers sont susceptibles de contenir des informations recueillies dans le cadre d'une technique de renseignement, elle considère que le fait de ne pouvoir y accéder ne lui permet pas de s'assurer qu'aucune donnée n'a été recueillie, transcrite ou extraite en méconnaissance du cadre légal, voire en l'absence d'une autorisation accordée par le Premier ministre.
Cet obstacle au contrôle de la CNCTR joue non seulement dans le cadre des contrôles a posteriori , mais également lorsque la CNCTR est saisie, préalablement à l'engagement d'un recours devant le Conseil d'État, d'une réclamation par une personne souhaitant vérifier qu'aucune technique de renseignement n'est irrégulièrement mise en oeuvre à son égard.
Dans cette dernière hypothèse, la délégation considère pourtant essentiel, au regard du droit au recours effectif, que la CNCTR soit en mesure d'exercer pleinement la mission de contrôle que la loi lui confère et dispose de tous les moyens lui permettant d'éclairer le Conseil d'État, lorsqu'elle est sollicitée pour fournir un avis dans le cadre d'une procédure de recours.
À cet égard, il peut être observé que la CNIL, dans le cadre du droit d'accès indirect des citoyens aux données figurant dans un fichier de souveraineté, dispose d'un droit d'accès auxdits fichiers 69 ( * ) .
La délégation considère donc qu'il serait également opportun de réfléchir à ouvrir un droit d'accès à ces mêmes fichiers à la CNCTR, sur le seul fondement des réclamations dont elle est saisie . Un tel accès demeurerait, en tout état de cause, ponctuel, au regard du nombre de cas concernés, évalués à moins d'une cinquantaine par la CNCTR à moins d'une cinquantaine par an. La conduite de cette réflexion pourrait être confiée à la CNRLT.
Recommandation n° 17 : Engager une réflexion en vue d'ouvrir un droit d'accès ponctuel aux fichiers de souveraineté à la CNCTR, lorsqu'elle est saisie de réclamations sur le fondement de l'article L. 833-4 du code de la sécurité intérieure, à l'instar des droits actuellement reconnus à la CNIL.
* 63 Décret du Président de la République du 1 er octobre 2015 relatif à la composition de la Commission nationale de contrôle des techniques de renseignement.
* 64 Rapport n° 424 (Sénat, 2017-2018) et n° 875 (Assemblée nationale, XV e législature) fait par M. Philippe Bas au nom de la délégation parlementaire au renseignement, déposé le 12 avril 2018.
* 65 Ces taux sont calculés sur les avis donnés par la CNCTR sur les techniques de renseignement autres que les accès aux données de connexion, en temps réel et en temps différé, via les opérateurs.
* 6667 En vertu de l'article L. 822-3 du code de la sécurité intérieure, les extractions et transcriptions réalisées par les services sur la base des données collectées dans le cadre d'une technique de renseignement
* 68 Art. L. 833-2 du code de la sécurité intérieure.
* 69 L'article 118 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prévoit que, dans le cadre des fichiers relatifs à la sûreté de l'État, le droit d'accès, de rectification ou d'effacement reconnus aux citoyens est exercé de manière indirecte. Les demandes doivent être adressées à la CNIL, qui procède aux vérifications nécessaires. Le demandeur est simplement informé que les vérifications ont été accomplies et de son droit de former un recours juridictionnel.