La dernière loi de programmation militaire a modifié l’article L2371-2 du Code de la Défense pour revoir l’encadrement des essais des outils de surveillance en France. En pratique, un véritable laboratoire avant déploiement de solutions opérationnelles. La CNCTR a récemment rendu son avis sur le sujet autorisant ce déploiement.

La prose était très peu encadrée puisque ces opérations ne faisaient l’objet d’aucun autre formalisme. Dans la version revue et corrigée en 2018, l’article a fait l’objet d’une refonte complète.

Initialement , cet article autorisait la direction générale de l’armement, service chargé de qualifier les outils de surveillance et les militaires des unités des forces armées triées sur le volet « à mettre en œuvre les mesures d'interception » aux fins « d'effectuer des essais » sur le territoire.

Les essais sont désormais soumis à une obligation de déclaration préalable auprès de la Commission nationale de contrôle des techniques du renseignement (CNCTR).

Ils sont en outre beaucoup plus détaillés, quoique restant très vastes : ils concernent l’accès aux données de connexion, la géolocalisation et les interceptions de sécurité par IMSI catcher (L. 851-6 et II de l'article L. 852-1), les interceptions opérées sur un réseau de communications fermé exclusivement hertzien (L. 852-2), toute la surveillance des communications internationales (L. 854-1) ou des autres échanges hertziens (L. 855-1 A).

Plusieurs garanties sont maintenant prévues. Les données glanées par des agents individuellement désignés et habilités peuvent être conservées, mais seulement pour la durée de ces essais. Cette dernière n’est pas fixée par le législateur, puisque dépendant de chaque technique et résultat. Ces informations doivent ensuite être détruites au plus tard une fois ces tests terminés.

Toujours selon le nouvel article L2371-2, la CNCTR doit également être « informée du champ et de la nature » de ces essais, par le biais d’un registre des opérations réalisées. Document qui doit lui être communiqué sur demande.

L’avis de la CNCTR sur l’arrêté d’application

Un arrêté publié le 18 janvier dernier au Journal officiel a décrit ces différentes garanties. On apprend que ces tests couvrent « les travaux de recherche et de développement, de vérification, de validation ou de qualification de ces appareils ou dispositifs techniques ». Soit un champ très vaste, là encore.

De même, la déclaration préalable adressée à la CNCTR y est également détaillée. Elle doit intégrer toute une série d’informations :

L'identification du service ou de l'unité déclarant ; Les objectifs des essais et, le cas échéant, le programme dans lequel ils s'inscrivent ; L'identification des appareils ou dispositifs techniques faisant l'objet des essais et la nature de la technique au titre de laquelle ces appareils ou dispositifs sont mis en œuvre ; Les dates de début et de fin de la campagne d'essais ; Le lieu de mise en œuvre de la campagne d'essais ; L'identification du service ou de l'unité conduisant ces essais ; La référence de la demande d'autorisation présentée sur le fondement des dispositions du Code pénal relatives aux interceptions

Enfin, le registre des opérations techniques doit reprendre la quasi-totalité de ces données et identifier les dispositifs de stockage, ainsi que « le certificat de non-exploitation et d'effacement, à l'issue de la campagne d'essais, des données potentiellement recueillies »

Conformément aux vœux du législateur, cet arrêté était lui-même soumis à avis préalable de la CNCTR. Suite à notre demande de communication, la commission a bien voulu diffuser son avis.

Pas d'action en piratage informatique contre les militaires concernés

Ce document du 8 novembre 2018 est précieux puisqu’il indique déjà que ces essais ont pour objectif d’ « appuyer l’action des forces armées engagées dans des opérations à l’étranger, en leur donnant la maitrise des outils qui permettent le recueil hors du territoire national de renseignements d’intérêt militaire ».

Mieux, sans cet encadrement législatif et réglementaire, ces essais constitueraient autant d’infractions pénales, « dès lors qu’ils sont susceptibles d’entraîner l’interception résiduelle de communications privées ».

L’étude d’impact annexée à la LPM2019-2015 ne disait pas autre chose : « Bien que des moyens de communication plastrons soient utilisés pour ces essais, les opérations matérielles de qualification n’en demeurent pas moins potentiellement attentatoires à la vie privée dès lors que des communications privées peuvent être de manière résiduelle interceptées, communications qui ne sont en tout état de cause pas exploitées ».

En somme, les essais sur le terrain ne sont pas censés glaner des communications de tiers, mais ce risque n’est pas impossible. Il était donc nécessaire de sécuriser l’action des agents de la direction générale de l’armement, en écartant toute possibilité de poursuite pénale.

Dans son avis, la CNCTR ne voit finalement aucune objection à la lecture du projet d’arrêté qui lui fut soumis. Elle relève néanmoins que le texte ne fixe aucun délai pour adresser la déclaration préalable.

À tout le moins, elle demande donc à être informée de ces tests dans un « délai suffisant » pour avoir la possibilité d’ « examiner et formuler, le cas échéant, les observations nécessaires pour garantir le respect de la loi ». Même sans délai suffisant entre la déclaration et la mise en œuvre de ces outils, la procédure resterait malgré tout conforme puisque le législateur s’est contenté d’une déclaration simplement « préalable ».