CHAPITRE II :
L'ENCADREMENT DES ÉCHANGES
ENTRE LES SERVICES DE RENSEIGNEMENT FRANÇAIS ET LEURS HOMOLOGUES
ÉTRANGERS
La délégation note avec satisfaction le progrès des travaux conduits par la CNRLT pour la définition d'un cadre susceptible de répondre aux obligations fixées par la Cour européenne des droits de l'Homme (CEDH) dans ses arrêts Big Brother Watch et autres c. Royaume-Uni, et Centrum för rättvisa c. Suède, de mars 2021. Elle note que les réticences des services sur le principe même d'un tel encadrement ont été surmontées, la condamnation prochaine de la France ne faisant aucun doute non plus que la nécessité d'un cadre législatif. *****
Cette solution, *****, est équilibrée. Elle appelle cependant une évolution du contrôle parlementaire et ne répond pas à l'ensemble des questions. S'agissant du contrôle parlementaire, la DPR ne peut actuellement connaître des échanges avec les services étrangers ; cette interdiction ne serait plus compatible avec l'évolution du cadre légal *****. Elle devrait donc disparaître ou, a minima , fortement évoluer. S'agissant des questions non résolues, figure celle du contrôle de l'utilisation des informations fournies à des services étrangers. *****.
Se pose enfin la question du calendrier de la réforme : la CNRLT souhaite attendre l'arrêt condamnant la France pour prévoir un régime répondant exactement aux exigences de la Cour et n'allant pas au-delà. La DPR s'interrogeait initialement sur l'opportunité d'une telle option, le Royaume-Uni ayant, par exemple, fait évoluer sa législation avant d'être condamné, et ce régime ayant été validé par la Cour. Néanmoins le calendrier parlementaire et celui possible de la Cour européenne des droits de l'homme paraissent converger. L'arrêt de la Cour concernant la France pourrait être rendu à l'automne après la reprise de la session ordinaire, ce qui paraît un délai acceptable pour faire évoluer le droit existant. Dans l'attente de l'avis qui sera rendu par la CNCTR sur le dispositif proposé, et sous réserve des évolutions nécessaires du contrôle parlementaire qui doivent être mises en place parallèlement, la DPR estime que celui-ci constitue une réponse satisfaisante à son souhait que le cadre juridique du renseignement soit conforme aux obligations internationales de la France.
*
* *
La CEDH a été saisie de trois affaires contestant chacune des éléments du régime des pouvoirs d'enquête du Royaume-Uni en vertu de la loi de 2000 sur la régulation des pouvoirs d'enquête (RIPA), s'agissant de leur licéité au regard des articles 8 et 10 de la Convention européenne des droits de l'homme (CEDH). Ces affaires portaient en particulier sur l'interception de masse, le partage international de renseignements et l'acquisition ciblée de données de communication 22 ( * ) .
Le présent chapitre s'attachera à présenter la réponse du Royaume-Uni à l'arrêt de la CEDH ainsi que le cadre juridique allemand en vigueur en matière d'échanges de renseignements.
I. LES AJUSTEMENTS OPÉRÉS PAR LE ROYAUME-UNI APRÈS L'ARRÊT DE LA CEDH
Suite à l'arrêt rendu par la CEDH, le Royaume-Uni a adressé au Conseil des ministres du Conseil de l'Europe, le 25 novembre 2021, une communication sur le plan d'action 23 ( * ) relatif à l'affaire Big Brother Watch et autres c. Royaume-Uni.
Dans ce document, le pays indique que :
- la loi sur la régulation des pouvoirs d'enquête de 2000 ( Regulation of Investigatory Powers Act - RIPA), en cause dans la plainte, a été largement remplacée, en 2016, par la loi sur les pouvoirs d'enquête ( Investigatory Powers Act - IPA). Cette dernière inclut des garanties renforcées, au premier rang desquelles un « double verrouillage » puisque les mandats doivent être autorisés par un secrétaire d'État et approuvés par un juge du bureau du commissaire aux pouvoirs d'enquête ( investigatory powers commissioner's office - IPCO) 24 ( * ) . L'IPCO assure, en outre, une surveillance solide et indépendante de la façon dont les pouvoirs sont utilisés ;
- le règlement sur la conservation et l'acquisition de données de 2018 a également renforcé les garanties relatives au régime des données de communication dans le cadre de l'IPA, en introduisant un seuil d'infraction grave (serious crime threshold) et une autorisation indépendante des demandes de données de communication pertinentes ;
- ainsi, l'adoption en 2016 de l'IPA a remédié à la majorité des violations constatées par la CEDH. En particulier, l'appréciation de la Cour selon laquelle « l'autorisation devrait à tout le moins indiquer les types ou catégories de sélecteurs à utiliser » 25 ( * ) en matière d'interception en masse, a été corrigée par l'ajout d'objectifs opérationnels donnant au secrétaire d'État et à l'IPCO plus de détails concernant l'utilisation d'un mandat d'interception en masse.
S'agissant des deux violations non corrigées par l'IPA, le gouvernement britannique précise qu'il s'agit de :
- la nécessité de mettre en place des garanties renforcées « lorsqu'il est clair que les éléments transférés appellent une confidentialité particulière - par exemple s'il s'agit de communications journalistiques confidentielles » ;
- et la nécessité « que l'utilisation de sélecteurs forts se rapportant à des personnes identifiables soit soumise à une autorisation interne préalable comportant une vérification séparée et objective de la conformité de la justification avancée aux principes susmentionnés » .
Dans son plan d'action, le gouvernement britannique envisage que cela pourrait être corrigé notamment en amendant l'IPA, le code de pratique des interceptions ainsi que les orientations et systèmes internes. En attendant l'entrée en vigueur de ces modifications, des mesures temporaires pourront être mises en oeuvre. Le gouvernement indique avoir consulté l'IPCO au sujet de ces violations.
S'agissant de la question de la conservation des données, la Cour a estimé « qu'il aurait été souhaitable que les durées de conservation plus courtes indiquées par le Gouvernement au cours de la présente procédure soient reflétées dans des dispositions législatives et/ou d'autres mesures d'ordre général » . Le gouvernement britannique a précisé qu'il y avait de bonnes raisons derrière des durées de conservation différentes pour les différentes organisations et types de communications, et que chaque cas avait été approuvé par l'IPCO. Ainsi, il a déclaré ne pas vouloir y apporter de modifications.
En conclusion, le gouvernement britannique indique que les modifications identifiées seront présentées devant le Parlement s'agissant de l'IPA, et lors d'une consultation publique s'agissant du code de pratique.
Interception suite à une demande étrangère
L'article 52 de l'IPA est la base juridique en matière d'interception de données suite à une demande provenant d'un autre pays 26 ( * ) . Il dispose qu'une communication peut être interceptée pour le compte d'une demande provenant de l'étranger si quatre conditions sont réunies :
- l'interception est effectuée par l'opérateur de télécommunications, ou en son nom, sur un service dont il est le fournisseur ;
- l'interception fait suite à une demande formulée par les autorités compétentes d'un pays ou d'un territoire en dehors du Royaume-Uni, conformément à un accord international « pertinent », c'est-à-dire auquel le Royaume-Uni est partie et qui a été considéré comme « pertinent » par les autorités ;
- l'interception a pour but d'obtenir des informations sur un individu situé en dehors du territoire britannique, ou supposé être en dehors du territoire britannique ;
- toute autre condition posée par le secrétaire d'État dans un règlement est respectée.
Dans le cas où la demande émane d'un pays ou territoire dans lequel la personne visée par l'interception est passible de la peine de mort, l'accord international ayant servi comme base à la demande ne peut être considéré comme « pertinent », à moins que le secrétaire d'État n'ait sollicité une garantie écrite de non-utilisation des informations obtenues en vertu de l'accord dans le cadre d'une procédure pour une infraction entraînant la peine de mort.
Le code de pratique des interceptions 27 ( * ) , quant à lui, reprend dans son paragraphe 12.9 les conditions posées par l'article 52 précité, et précise dans son paragraphe 12.10 que le secrétaire d'État doit désigner les accords internationaux auxquels l'article 52 s'appliquera (c'est-à-dire les accords internationaux « pertinents ») et qu'il peut aussi adopter des règles fixant des conditions supplémentaires à remplir avant d'accéder à la demande.
Enfin, selon le site de l'IPCO, la « surveillance des pouvoirs d'interception de masse a évolué pour refléter l'arrêt de la Cour européenne des droits de l'homme dans l'affaire Big Brother Watch et autres c. Royaume-Uni » 28 ( * ) .
* 22 https://hudoc.echr.coe.int/fre#{%22tabview%22:[%22notice%22],%22itemid%22:[%22001-210280%22]}
* 23 https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=0900001680a4cd00
* 24 L'IPCO est l'autorité de surveillance de l'utilisation des pouvoirs d'enquête.
* 25 Point 354.
* 26 https://www.legislation.gov.uk/ukpga/2016/25/section/52
* 27 https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/715480/Interception_of_Communications_Code_of_Practice.pdf
* 28 https://www.ipco.org.uk/what-we-do/inspections/carrying-out-an-inspection/bulk-powers/